04 LGPD - Lei geral de proteção de dados

Prévia do material em texto

LGPD - LEI GERAL DE
PROTEÇÃO DE DADOS
Aula 1
INTRODUÇÃO À LGPD
Introdução à LGPD
Olá, estudante! Nesta videoaula você terá uma visão geral da
LGPD, e a partir do contexto histórico e evolução da proteção de
dados pessoais, compreenderá os princípios dessa lei.
Esse conteúdo é importante para a sua prática profissional, pois ao
compreender os princípios da LGPD, você estará mais bem
preparado para garantir a proteção dos dados pessoais sob sua
responsabilidade, contribuindo para a segurança e a privacidade dos
indivíduos.
Prepare-se para essa jornada de conhecimento!
Vamos lá!
08/09/2024, 14:30 LGPD - Lei geral de proteção de dados
https://alexandria-html-published.platosedu.io/5996d9cd-4053-47e0-8db7-7718e1e49863/v1/index.html 1/47
Ponto de Partida
A LGPD entrou em vigor em 2020 e desde então tem aumentado o
interesse das empresas em compreender e aplicar corretamente a
LGPD sem comprometer suas operações. Por isso, é crucial que
gestores de negócios, encarregados de dados, departamentos
jurídicos e outros profissionais tenham acesso a consultores
experientes e especializados, que possam oferecer soluções
modernas para garantir a harmonia entre privacidade, segurança e
eficiência operacional.
Nesta aula veremos a visão geral da LGPD e entenderemos seu
objetivo e abrangência. Também passaremos pelo seu contexto
histórico e a evolução do direito de proteção de dados. Ao final,
veremos os princípios da LGPD. Junte-se a nós!
Vamos Começar!
Visão geral da LGPD
A Lei Geral de Proteção de Dados (LGPD), Lei nº 13.709/18 (Brasil,
2018), surge como parte de um movimento global para proteger as
informações pessoais em um contexto de avanço tecnológico. A
08/09/2024, 14:30 LGPD - Lei geral de proteção de dados
https://alexandria-html-published.platosedu.io/5996d9cd-4053-47e0-8db7-7718e1e49863/v1/index.html 2/47
Jamerson Almeida
Realce
LGPD estabelece padrões mínimos de privacidade e proteção de
dados para pessoas e empresas que lidam com informações
pessoais.
Sancionada em 2018, a LGPD entrou em vigor em 2020, dando
tempo para que as organizações se adaptassem às suas regras. O
objetivo era permitir que os agentes de tratamento de dados
estruturassem medidas para garantir a segurança dos dados
pessoais, incluindo o respeito aos direitos dos titulares (listados no
art. 18 da LGPD).
Para assegurar a efetividade da LGPD, foram estabelecidas
sanções para o descumprimento da lei, que estão em vigor desde
2021. Em 2023, a Autoridade Nacional de Proteção de Dados
publicou o Regulamento de Dosimetria e Aplicação de Sanções
Administrativas (ANPD, 2023a), esclarecendo a aplicação das
sanções previstas, como advertências, multas e bloqueio e
eliminação de dados pessoais (ANPD, 2023b). Isso aumentou a
perspectiva de fiscalização e penalização para quem não cumprir a
lei.
Essas medidas, especialmente as sanções, têm despertado o
interesse das empresas em entender a aplicação da LGPD e em
como utilizar os dados pessoais corretamente, evitando riscos para
os titulares e para a própria empresa, sem que a conformidade com
a lei impeça a continuidade de suas operações. 
Objetivo
A Lei Geral de Proteção de Dados Pessoais (LGPD) tem como
finalidade proteger os direitos fundamentais de liberdade,
privacidade e formação da personalidade de cada indivíduo. Ela
regula o tratamento de dados realizado por pessoas físicas ou
jurídicas de direito público ou privado, abrangendo um amplo
conjunto de operações em meios manuais ou digitais.
08/09/2024, 14:30 LGPD - Lei geral de proteção de dados
https://alexandria-html-published.platosedu.io/5996d9cd-4053-47e0-8db7-7718e1e49863/v1/index.html 3/47
Jamerson Almeida
Realce
Jamerson Almeida
Realce
Abrangência
A LGPD se aplica aos seguintes casos: dados relacionados a
pessoas (brasileiras ou estrangeiras) que estejam no Brasil no
momento da coleta; dados tratados dentro do território nacional,
independentemente do meio utilizado, do país de origem do
operador ou do país onde os dados estão localizados; dados
utilizados para fornecer bens ou serviços.
Exceção
A LGPD não se aplica exclusivamente a: atividades jornalísticas e
artísticas; segurança pública; defesa nacional; segurança do Estado;
investigação e repressão de infrações penais; atividades particulares
(ou seja, a lei se aplica apenas a pessoas físicas ou jurídicas que
gerenciam dados com propósitos econômicos). Além disso, não se
aplica a dados fora do Brasil que não sejam objeto de transferência
internacional.
Siga em Frente...
Contexto histórico
O contexto histórico da Lei Geral de Proteção de Dados remonta à
preocupação com a privacidade e a proteção de dados pessoais,
evidenciada em obras como 1984, de George Orwell. A obra
apresenta uma sociedade governada por um governo totalitário que
controla não apenas os pensamentos, mas também todos os dados
dos cidadãos, alertando contra o controle da privacidade pelas
sociedades modernas.
Embora escrita entre 1947 e 1948, após a Segunda Guerra Mundial,
a obra de Orwell continua relevante, refletindo as preocupações
contemporâneas com a privacidade e a liberdade individual. Essas
preocupações são reconhecidas como direitos fundamentais,
08/09/2024, 14:30 LGPD - Lei geral de proteção de dados
https://alexandria-html-published.platosedu.io/5996d9cd-4053-47e0-8db7-7718e1e49863/v1/index.html 4/47
Jamerson Almeida
Realce
incluindo a proteção da privacidade, que é considerada parte da
dignidade humana.
Apesar da crescente capacidade de tratamento de dados nas
décadas seguintes, somente em 14 de agosto de 2018 a LGPD foi
publicada no Brasil, estabelecendo finalmente uma legislação
abrangente para a proteção de dados pessoais. A LGPD alterou o
Marco Civil da Internet, de 2014, refletindo a necessidade de
atualização das leis para acompanhar o avanço tecnológico e
proteger a privacidade em um ambiente digital em constante
mudança.
A LGPD foi influenciada pela legislação europeia, especialmente
pela Diretiva 95/46/CE, de 1995, que estabeleceu a proteção de
dados na União Europeia e que mais tarde foi substituída pela
GPDR. Essa influência destaca a preocupação global com a
proteção da privacidade e a necessidade de regulamentação para
garantir a segurança e a privacidade dos dados pessoais em um
mundo cada vez mais digitalizado.
Evolução do direito à proteção de dados
O direito à proteção de dados, embora implícito no direito à
privacidade, foi reconhecido de forma genérica e implicitamente em
documentos como a Declaração Universal dos Direitos Humanos de
1948, o Pacto de San José da Costa Rica e a Convenção Europeia
dos Direitos do Homem. A preocupação com a circulação
transfronteiriça de dados pessoais levou o Conselho Europeu a
adotar a Convenção para a Proteção Pessoal em relação ao
Tratamento Automatizado de Dados de Caráter Pessoal em 1981,
seguida pela Diretiva 95/46/CE.
Essas medidas visavam garantir que os sistemas de tratamento de
dados estivessem a serviço do indivíduo, respeitando suas
liberdades e direitos fundamentais, ao mesmo tempo que
promoviam o progresso econômico e social. A União Europeia, como
08/09/2024, 14:30 LGPD - Lei geral de proteção de dados
https://alexandria-html-published.platosedu.io/5996d9cd-4053-47e0-8db7-7718e1e49863/v1/index.html 5/47
Jamerson Almeida
Realce
Jamerson Almeida
Realce
uma entidade federalizada em muitos aspectos, adotou a Diretiva 95
como forma de limitar o tratamento de dados pessoais pelos
Estados-membros e suas instituições.
O reconhecimento expresso do direito à proteção de dados pela
União Europeia ocorreu com a entrada em vigor da Carta de Direitos
Fundamentais em 2009, que consagrou esse direito como parte do
direito primário da UE. Antes disso, a proteção de dados pelas
instituições da UE foi regulamentada pelo Regulamento (CE) n.
45/2001.
No Brasil, a proteção de dados ganhou destaque com a Constituição
Federal de 1988, que, pela primeira vez, expressamente protegia a
intimidade, a vida privada, a honra, a imagem e o sigilo das
comunicações. Apesar dessa previsão, apenas emaberta. O Método Ágil, baseado no
Manifesto Agile, orienta a interação do agente de transformação com
colaboradores e terceiros, priorizando pessoas e interações,
processo executável, engajamento do colaborador e respostas
rápidas para mudanças que geram valor. Ele divide o programa de
transformação em etapas chamadas sprints, com interação diária
08/09/2024, 14:30 LGPD - Lei geral de proteção de dados
https://alexandria-html-published.platosedu.io/5996d9cd-4053-47e0-8db7-7718e1e49863/v1/index.html 44/47
entre a equipe e o líder para acompanhar o progresso e resolver
problemas. Ao final de cada sprints, são avaliados os resultados e
planejados os próximos passos com base nas lições aprendidas.
Referências
BECK, K. et al. Manifesto for Agile Software Development. 2001.
Disponível em: https:// agilemanifesto.org/. Acesso em: 30 dez.
2023. 
BRASIL. Lei nº 13.709, de 14 de agosto de 2018. Lei Geral de
Proteção de Dados Pessoais (LGPD). Brasília, DF: Presidência da
República, 2018. Disponível em:
http://www.planalto.gov.br/ccivil_03/_Ato2015-
2018/2018/Lei/L13709.htm. Acesso em: 8 dez. 2023.
BRASIL supera 400.000 ciberataques e é 2º maior alvo mundial, diz
estudo. Uol, 4 ago. 2021. Disponível em:
https://www.uol.com.br/splash/noticias/efe/2021/08/04/brasil-supera-
400000-ciberataques-e-e-2-maior-alvo-mundial-diz-estudo.htm.
Acesso em: 30 dez. 2023. 
CYBSAFE Ltd. Phishing dominates UK cyber threat landscape,
shows analysis of latest ICO figures. Cybsafe, 16 jan. 2020.
Disponível em: https://www.cybsafe.com/press-releases/phishing-
dominates-uk-cyber-threat-landscape-shows-analysis-of-latest-ico-
figures/. Acesso em: 30 dez. 2023.
ESCOSTEGUY, D. Hacker criptografou todos os processos e emails
do STJ. O Bastidor, 5 nov. 2020. Disponível em:
https://obastidor.com.br/justica/hacker-criptografou-todos-os-
processos-e-emails-do-stj-19. Acesso em: 30 dez. 2023.
GARCIA, L. R. et al. Lei Geral de Proteção de Dados Pessoais
(LGPD): guia de implantação. São Paulo: Blucher, 2020.
08/09/2024, 14:30 LGPD - Lei geral de proteção de dados
https://alexandria-html-published.platosedu.io/5996d9cd-4053-47e0-8db7-7718e1e49863/v1/index.html 45/47
ISACA ENTERPRISES. 9 in 10 Enterprises Report Gaps Between
the Cybersecurity Culture They Have and the One They Want.
Isaca, 15 out. 2018. Disponível em: https://www.isaca.org/about-
us/newsroom/press-releases/2018/9-in-10-enterprises-report-gaps-
between-the-cybersecurity-culture-they-have-and-the-one-they-want.
Acesso em: 30 dez. 2023.
LIMA, A. P. M. C. de et al. LGPD aplicada. São Paulo: Atlas, 2021.
MINISTÉRIO DA JUSTIÇA E SEGURANÇA PÚBLICA. Autoridade
Nacional de Proteção de Dados. Resolução CD/ANPD nº 4, de 24
de fevereiro de 2023. DOU – Imprensa Nacional. Autoridade
Nacional de Proteção de Dados, 2023b. Disponível em:
 https://www.gov.br/anpd/pt-br/assuntos/noticias/anpd-publica-
regulamento-de-dosimetria/Resolucaon4CDANPD24.02.2023.pdf.
Acesso em: 30 dez. 2023.
MINISTÉRIO DA JUSTIÇA E SEGURANÇA PÚBLICA. Autoridade
Nacional de Proteção de Dados. ANPD publica regulamento de
aplicação de sanções administrativas. Autoridade Nacional de
Proteção de Dados, 27 fev. 2023. Disponível em:
https://www.gov.br/anpd/pt-br/assuntos/noticias/anpd-publica-
regulamento-de-dosimetria. Acesso em: 30 dez. 2023.
MINISTÉRIO PÚBLICO FEDERAL. O que é a LGPD? Ministério
Público Federal, 2023. Disponível em:
https://www.mpf.mp.br/servicos/lgpd/o-que-e-a-lgpd. Acesso em: 22
dez. 2023.
NETSCOUT SYSTEMS. Relatório de inteligência de ameaças do
segundo semestre de 2020 da NETSCOUT. Netscout Systems,
2021. Disponível em:
https://www.netscout.com/sites/default/files/2021-05/SECR_016_PT-
2101-%20TR2H2020_Country_Brazil.pdf. Acesso em: 30 dez. 2023. 
PINHEIRO, P. P. Proteção de dados pessoais: comentários à Lei
n. 13.709/2018 (LGPD). 3. ed. São Paulo: Saraiva Jur, 2019.
08/09/2024, 14:30 LGPD - Lei geral de proteção de dados
https://alexandria-html-published.platosedu.io/5996d9cd-4053-47e0-8db7-7718e1e49863/v1/index.html 46/47
https://www.gov.br/anpd/pt-br/assuntos/noticias/anpd-publica-regulamento-de-dosimetria/Resolucaon4CDANPD24.02.2023.pdf
https://www.gov.br/anpd/pt-br/assuntos/noticias/anpd-publica-regulamento-de-dosimetria/Resolucaon4CDANPD24.02.2023.pdf
https://www.gov.br/anpd/pt-br/assuntos/noticias/anpd-publica-regulamento-de-dosimetria.
https://www.gov.br/anpd/pt-br/assuntos/noticias/anpd-publica-regulamento-de-dosimetria.
https://www.mpf.mp.br/servicos/lgpd/o-que-e-a-lgpd.
https://www.netscout.com/sites/default/files/2021-05/SECR_016_PT-2101-%20TR2H2020_Country_Brazil.pdf.
https://www.netscout.com/sites/default/files/2021-05/SECR_016_PT-2101-%20TR2H2020_Country_Brazil.pdf.
PORTARIA SEPRT nº 3.733 de 10 de fevereiro de 2020. Normas
Legais, [s. d.]. Disponível em:
 https://www.normaslegais.com.br/legislacao/portaria-seprt-3733-
2020.htm. Acesso em: 20 jan. 2024.
PWC. The journey to digital trust. PwC, 2018. Disponível em:
https://www.pwc.com/us/en/services/consulting/assets/journey-to-
digital-trust.pdf. Acesso em: 30 dez. 2023.
UMA em quatro empresas brasileiras sofreu ciberataque em um ano.
Monitor Mercantil, 27 jan. 2022. Disponível em:
https://monitormercantil.com.br/uma-em-quatro-empresas-
brasileiras-sofreu-ciberataque-em-um-ano/. Acesso em: 30 dez.
2023.
08/09/2024, 14:30 LGPD - Lei geral de proteção de dados
https://alexandria-html-published.platosedu.io/5996d9cd-4053-47e0-8db7-7718e1e49863/v1/index.html 47/47
https://www.normaslegais.com.br/legislacao/portaria-seprt-3733-2020.htm.
https://www.normaslegais.com.br/legislacao/portaria-seprt-3733-2020.htm.
https://www.pwc.com/us/en/services/consulting/assets/journey-to-digital-trust.pdf.
https://www.pwc.com/us/en/services/consulting/assets/journey-to-digital-trust.pdf.
https://monitormercantil.com.br/uma-em-quatro-empresas-brasileiras-sofreu-ciberataque-em-um-ano/
https://monitormercantil.com.br/uma-em-quatro-empresas-brasileiras-sofreu-ciberataque-em-um-ano/2018, 30 anos
depois da promulgação da Constituição, foi aprovada a Lei Geral de
Proteção de Dados (LGPD), que regulamenta a proteção de dados
pessoais no país.
Essa evolução constitucional e legislativa reflete a crescente
preocupação global com a proteção da privacidade e a necessidade
de regulamentação para garantir a segurança e a privacidade dos
dados pessoais em um mundo cada vez mais digitalizado.
Princípios da LGPD
É fundamental que o tratamento de dados pessoais seja pautado
pela boa-fé. Além disso, é essencial pensar em questões como
"Qual é o propósito desse tratamento?", "É realmente necessário
utilizar essa quantidade de dados?", "O indivíduo em questão
consentiu com isso?" e "O uso desses dados pode resultar em
discriminação?". Estas são apenas algumas das perguntas que
devem ser consideradas.
Os seguintes princípios (Artigo 6º, LGPD) devem ser seguidos ao
tratar dados pessoais (Ministério Público Federal, 2023):
08/09/2024, 14:30 LGPD - Lei geral de proteção de dados
https://alexandria-html-published.platosedu.io/5996d9cd-4053-47e0-8db7-7718e1e49863/v1/index.html 6/47
Jamerson Almeida
Realce
Finalidade: realização do tratamento para propósitos legítimos,
específicos, explícitos e informados ao titular, sem possibilidade
de tratamento posterior de forma incompatível com essas
finalidades.
Adequação: compatibilidade do tratamento com as finalidades
informadas ao titular, de acordo com o contexto do tratamento.
Necessidade: limitação do tratamento ao mínimo necessário
para a realização de suas finalidades, com abrangência dos
dados pertinentes, proporcionais e não excessivos em relação
às finalidades do tratamento de dados.
Livre acesso: garantia, aos titulares, de consulta facilitada e
gratuita sobre a forma e a duração do tratamento, bem como
sobre a integralidade de seus dados pessoais.
Qualidade dos dados: garantia, aos titulares, de exatidão,
clareza, relevância e atualização dos dados, de acordo com a
necessidade e para o cumprimento da finalidade de seu
tratamento.
Transparência: garantia, aos titulares, de informações claras,
precisas e facilmente acessíveis acerca da realização do
tratamento e os respectivos agentes de tratamento, observados
os segredos comercial e industrial.
Segurança: utilização de medidas técnicas e administrativas
aptas a proteger os dados pessoais de acessos não
autorizados e de situações acidentais ou ilícitas de destruição,
perda, alteração, comunicação ou difusão.
Prevenção: adoção de medidas para prevenir a ocorrência de
danos em virtude do tratamento de dados pessoais.
Não discriminação: impossibilidade de realização do tratamento
para fins discriminatórios ilícitos ou abusivos.
Responsabilização e prestação de contas: demonstração, pelo
agente, da adoção de medidas eficazes e capazes de
comprovar a observância e o cumprimento das normas de
proteção de dados pessoais e, inclusive, da eficácia dessas
medidas.
08/09/2024, 14:30 LGPD - Lei geral de proteção de dados
https://alexandria-html-published.platosedu.io/5996d9cd-4053-47e0-8db7-7718e1e49863/v1/index.html 7/47
Jamerson Almeida
Realce
Jamerson Almeida
Realce
Jamerson Almeida
Realce
Jamerson Almeida
Realce
Jamerson Almeida
Realce
Jamerson Almeida
Realce
Jamerson Almeida
Realce
Jamerson Almeida
Realce
Jamerson Almeida
Realce
Jamerson Almeida
Realce
Vamos Exercitar?
Imagine que você trabalha em uma empresa de tecnologia que
desenvolve aplicativos de saúde. Como parte do seu trabalho, você
lida com dados pessoais sensíveis, como informações médicas e de
saúde dos usuários. Com a entrada em vigor da LGPD, a empresa
precisa se adequar às novas regulamentações para proteção de
dados pessoais.
 Considerando o cenário apresentado, como a Lei Geral de Proteção
de Dados (LGPD) impacta a forma como a sua empresa coleta,
armazena e utiliza informações pessoais de seus usuários? Além de
cumprir as exigências legais, como a empresa pode garantir a
segurança e privacidade dos dados dos usuários, mantendo a
confiança deles e demonstrando responsabilidade ética em relação
ao tratamento dessas informações sensíveis?
Saiba Mais
Em 25 de outubro de 2023, a Agência Nacional de Transportes
Terrestres (ANTT) e o Fórum de Ouvidores das Agências
Reguladoras Federais realizaram o Seminário LGPD, que tratou da
Lei Geral de Proteção de Dados. Neste evento, o diretor-presidente
da ANPD, Waldemar Ortunho Júnior, apresentou uma visão geral da
Lei Geral de Proteção de Dados. A seguir você tem a indicação do
artigo publicado pela ANTT e os links para a apresentação.
Seminário debate Lei Geral de Proteção de Dados na ANTT. 25
out. 2023.
Para saber mais acerca dos objetivos e abrangência da LGPD, veja
esta página especial que o Serpro preparou.
Objetivo e abrangência da LGPD. Serpro, 2023.
08/09/2024, 14:30 LGPD - Lei geral de proteção de dados
https://alexandria-html-published.platosedu.io/5996d9cd-4053-47e0-8db7-7718e1e49863/v1/index.html 8/47
https://www.gov.br/antt/pt-br/assuntos/ultimas-noticias/seminario-debate-lei-geral-de-protecao-de-dados-na-antt/
https://www.serpro.gov.br/lgpd/menu/tratamento-dos-dados/objetivo-e-abrangencia-da-lgpd
Seguindo com os estudo a respeito do contexto histórico, o governo
do DF elaborou uma página especial com o histórico da LGPD.
Histórico. Distrito Federal, 2023.
Para absorver melhor os princípios da LGPD, veja este infográfico
preparado pelo Serpro.
Princípios da LGPD. Serpro, 2023.
Referências Bibliográficas
BRASIL. Lei nº 13.709, de 14 de agosto de 2018. Lei Geral de
Proteção de Dados Pessoais (LGPD). Brasília, DF: Presidência da
República, 2018. Disponível em:
http://www.planalto.gov.br/ccivil_03/_Ato2015-
2018/2018/Lei/L13709.htm. Acesso em: 08 dez. 2023.
MINISTÉRIO DA JUSTIÇA E SEGURANÇA PÚBLICA. Autoridade
Nacional de Proteção de Dados. ANPD publica regulamento de
aplicação de sanções administrativas. Autoridade Nacional de
Proteção de Dados, 27 fev. 2023a. Disponível em:
https://www.gov.br/anpd/pt-br/assuntos/noticias/anpd-publica-
regulamento-de-dosimetria. Acesso em: 30 dez. 2023.
MINISTÉRIO DA JUSTIÇA E SEGURANÇA PÚBLICA. Autoridade
Nacional de Proteção de Dados. Resolução CD/ANPD nº 4, de 24
de fevereiro de 2023. DOU – Imprensa Nacional. Autoridade
Nacional de Proteção de Dados, 2023b. Disponível em:
 https://www.gov.br/anpd/pt-br/assuntos/noticias/anpd-publica-
regulamento-de-dosimetria/Resolucaon4CDANPD24.02.2023.pdf.
Acesso em: 30 dez. 2023.
MINISTÉRIO PÚBLICO FEDERAL. O que é a LGPD? Ministério
Público Federal, 2023. Disponível em:
https://www.mpf.mp.br/servicos/lgpd/o-que-e-a-lgpd. Acesso em: 22
dez. 2023.
08/09/2024, 14:30 LGPD - Lei geral de proteção de dados
https://alexandria-html-published.platosedu.io/5996d9cd-4053-47e0-8db7-7718e1e49863/v1/index.html 9/47
https://lgpd.df.gov.br/historico/
https://www.serpro.gov.br/lgpd/menu/tratamento-dos-dados/principios-da-lgpd
http://www.planalto.gov.br/ccivil_03/_Ato2015-2018/2018/Lei/L13709.htm.
http://www.planalto.gov.br/ccivil_03/_Ato2015-2018/2018/Lei/L13709.htm.
https://www.gov.br/anpd/pt-br/assuntos/noticias/anpd-publica-regulamento-de-dosimetria.
https://www.gov.br/anpd/pt-br/assuntos/noticias/anpd-publica-regulamento-de-dosimetria.
https://www.gov.br/anpd/pt-br/assuntos/noticias/anpd-publica-regulamento-de-dosimetria/Resolucaon4CDANPD24.02.2023.pdf
https://www.gov.br/anpd/pt-br/assuntos/noticias/anpd-publica-regulamento-de-dosimetria/Resolucaon4CDANPD24.02.2023.pdf
https://www.mpf.mp.br/servicos/lgpd/o-que-e-a-lgpd.
Aula 2
ESTRUTURA E
DISPOSIÇÕES DA LGPD
Estrutura e disposições da LGPD
Olá, estudante! Nesta videoaula, você conhecerá as estruturas e
disposições da LGPD, com uma visão geral dos capítulos e artigos
da LGPD. Ao final, daremos destaque ao artigo que aborda as
sanções previstas na lei.
Esse conteúdo é importante para a sua prática profissional, pois é
essencial para aplicar corretamente a legislação. Conhecer os
capítulos e artigos da LGPD ajuda a garantir que você esteja ciente
das normas e diretrizes que regem o tratamento de dados pessoais,
possibilitandouma atuação em conformidade com a lei e evitando
possíveis sanções.
Prepare-se para essa jornada de conhecimento!
Vamos lá!
08/09/2024, 14:30 LGPD - Lei geral de proteção de dados
https://alexandria-html-published.platosedu.io/5996d9cd-4053-47e0-8db7-7718e1e49863/v1/index.html 10/47
Ponto de Partida
A LGPD entrou em vigor em 2020, desde 2021 estão em vigor
sanções para quem descumprir a lei, e em 2023 foi publicado o
Regulamento de Dosimetria e Aplicação de Sanções
Administrativas. Essas medidas têm despertado o interesse das
empresas em compreender e aplicar corretamente a LGPD, sem
comprometer suas operações.
Nesta aula, discutiremos os principais pontos da LGPD, que conta
com 10 capítulos e 65 artigos. Destacaremos a importância do
consentimento do titular, a definição clara das finalidades do
tratamento, os direitos dos titulares, as obrigações dos agentes de
tratamento, as medidas de segurança e a prestação de contas. A
LGPD prevê sanções para o descumprimento, como multas e
suspensão de atividades. Adequar-se à LGPD não só significa
cumprir a lei, mas também proteger-se de riscos e ganhar a
confiança dos consumidores.
Junte-se a nós!
Vamos Começar!
Capítulos e artigos da LGPD
A Lei Geral de Proteção de Dados (Brasil, 2018) tem 10 capítulos e
65 artigos.
O Capítulo I trata das disposições gerais, incluindo os princípios que
fundamentam a proteção de dados pessoais, o escopo territorial da
lei e conceitos básicos. Os fundamentos da LGPD incluem o
respeito à privacidade, a autodeterminação informativa e a liberdade
de expressão. A lei também estabelece situações específicas de
tratamento de dados pessoais que não são regulamentadas por ela.
08/09/2024, 14:30 LGPD - Lei geral de proteção de dados
https://alexandria-html-published.platosedu.io/5996d9cd-4053-47e0-8db7-7718e1e49863/v1/index.html 11/47
Jamerson Almeida
Realce
Jamerson Almeida
Realce
Jamerson Almeida
Realce
Jamerson Almeida
Realce
A classificação dos dados pessoais divide-se em dados pessoais e
dados pessoais sensíveis. O tratamento de dados pessoais abrange
uma ampla gama de atividades, como coleta, produção, recepção,
classificação, utilização, acesso, reprodução, transmissão,
distribuição, processamento, arquivamento, armazenamento,
eliminação, avaliação, controle, modificação, comunicação,
transferência, difusão ou extração.
A LGPD define os papéis de titular, controlador, operador e
encarregado pelo tratamento de dados pessoais. Os princípios a
serem observados no tratamento de dados incluem finalidade,
adequação, necessidade, livre acesso, qualidade dos dados,
transparência, segurança, prevenção, não discriminação,
responsabilização e prestação de contas.
O Capítulo II estabelece requisitos para o tratamento de dados
pessoais, dados pessoais sensíveis, dados pessoais de crianças e
adolescentes, e as hipóteses para o término do tratamento de
dados. O artigo 7º apresenta as bases legais para o tratamento de
dados pessoais, como consentimento, obrigação legal e execução
de contrato, entre outros.
Os direitos dos titulares são detalhados no Capítulo III, com
mecanismos para exercê-los e prazos para atendimento das
solicitações.
O Capítulo IV trata do tratamento de dados pessoais pelo Poder
Público e sua responsabilização em caso de infração à LGPD.
Os demais capítulos abordam temas como transferência
internacional de dados, agentes de tratamento de dados, segurança,
fiscalização, a Autoridade Nacional de Proteção de Dados (ANPD) e
disposições finais e transitórias.
Principais disposições da LGPD
08/09/2024, 14:30 LGPD - Lei geral de proteção de dados
https://alexandria-html-published.platosedu.io/5996d9cd-4053-47e0-8db7-7718e1e49863/v1/index.html 12/47
Jamerson Almeida
Realce
Os principais pontos introduzidos pela Lei Geral de Proteção de
Dados (LGPD) incluem o consentimento do titular, a definição das
finalidades do tratamento de dados, os direitos do titular, as
obrigações dos agentes de tratamento de dados, a aplicação de
medidas de segurança e governança, e a prestação de contas
(accountability).
O consentimento é a manifestação livre, informada e inequívoca
pela qual o titular concorda com o tratamento de seus dados
pessoais para uma finalidade específica. Esse consentimento deve
ser explícito e nunca pré-selecionado. No caso de crianças e
adolescentes, o consentimento deve ser dado por pelo menos um
dos pais ou pelo responsável legal. É dispensável o consentimento
quando os dados são tornados manifestamente públicos pelo titular,
desde que respeitados os seus direitos e os princípios da lei.
A finalidade do tratamento dos dados é a realização do tratamento
para propósitos legítimos, específicos, explícitos e informados ao
titular, sem possibilidade de tratamento posterior de forma
incompatível com essas finalidades. A finalidade deve estar clara e
transparente no momento do consentimento, ser específica e, se
alterada posteriormente, requer novo consentimento do titular.
A LGPD garante novos direitos ao titular dos dados, como acesso
aos dados armazenados pela empresa, correção, edição,
anonimização e exclusão dos dados, conhecimento a respeito do
compartilhamento e transferência desses dados.
Os agentes de tratamento de dados, como controladores e
operadores, têm a obrigação de aplicar a lei e proteger os dados dos
usuários. O encarregado é a pessoa responsável pelo tratamento
dos dados na empresa, facilitando a comunicação entre o
controlador, os titulares dos dados e a Autoridade Nacional de
Proteção de Dados (ANPD).
08/09/2024, 14:30 LGPD - Lei geral de proteção de dados
https://alexandria-html-published.platosedu.io/5996d9cd-4053-47e0-8db7-7718e1e49863/v1/index.html 13/47
As empresas devem adotar medidas de segurança e governança
para proteger os dados pessoais contra acessos não autorizados e
situações acidentais ou ilícitas de destruição, perda ou alteração.
Em caso de incidentes, devem comunicar à autoridade nacional e
aos titulares dos dados, podendo ser necessária uma divulgação
pública do incidente.
A accountability exige que as empresas prestem contas a respeito
das medidas de proteção de dados pessoais adotadas, podendo ser
solicitado um relatório de impacto à proteção de dados pessoais
pela autoridade nacional. Como informam Lima et al. (2021), esse
princípio da prestação de contas institui a obrigação contínua do
controlador e do operador na adoção de regras e normativos para
gestão eficaz da proteção de dados pessoais. As empresas
precisarão criar boas práticas de gestão compartilhada e
transparente da governança de riscos e medidas técnicas
organizacionais eficientes.
Siga em Frente...
Sanções previstas na LGPD
Foram previstas as seguintes penalidades pelo art. 52 da LGPD,
sendo que o critério de aplicação deverá observar alguns requisitos,
especialmente o da proporcionalidade (Brasil, 2018):
I. Advertência, com indicação de prazo para adoção de medidas
corretivas.
II. Multa simples, de até 2% (dois por cento) do faturamento da
pessoa jurídica de direito privado, grupo ou conglomerado no
Brasil no seu último exercício, excluídos os tributos, limitada, no
total, R$ 50.000.000 (cinquenta milhões de reais) por infração.
III. Multa diária, observado o limite total a que se refere o inciso II.
IV. Publicização da infração após devidamente apurada e
confirmada a sua ocorrência.
08/09/2024, 14:30 LGPD - Lei geral de proteção de dados
https://alexandria-html-published.platosedu.io/5996d9cd-4053-47e0-8db7-7718e1e49863/v1/index.html 14/47
V. Bloqueio dos dados pessoais a que se refere a infração até a
sua regularização.
VI. Eliminação dos dados pessoais a que se refere a infração.
VII. (Vetado).
VIII. (Vetado).
IX. (Vetado).
X. Suspensão parcial do funcionamento do banco de dados a que
se refere a infração pelo período máximo de 6 (seis) meses,
prorrogável por igual período, até a regularização da atividade
de tratamento pelo controlador.
XI. Suspensão do exercício da atividade de tratamento dos dados
pessoais a que se refere a infração pelo período máximode 6
(seis) meses, prorrogável por igual período.
XII. Proibição parcial ou total do exercício de atividades
relacionadas a tratamento de dados.
Adequar a empresa à Lei Geral de Proteção de Dados além de atuar
em conformidade com a lei, protege de riscos que podem trazer
grandes prejuízos, e ainda ajuda a conquistar a confiança do
consumidor.
A LGPD estabelece que as sanções serão aplicadas após um
procedimento administrativo que permita a ampla defesa, podendo
ser graduais, isoladas ou cumulativas. As penalidades dos incisos X,
XI e XII só podem ser aplicadas após pelo menos uma das sanções
dos incisos II, III, IV, V e VI para o mesmo caso. Vários fatores
podem ser considerados para minimizar uma punição, como a
gravidade da infração e a boa-fé do infrator, entre outros. A
governança corporativa precisa adotar os princípios da LGPD para
garantir a sustentabilidade do negócio. Para a Administração
Pública, a LGPD prevê a aplicação de algumas penalidades, mas
não se aplica a multa pecuniária. No entanto, empresas públicas
sujeitas à concorrência têm o mesmo tratamento que empresas
privadas de acordo com a LGPD.
08/09/2024, 14:30 LGPD - Lei geral de proteção de dados
https://alexandria-html-published.platosedu.io/5996d9cd-4053-47e0-8db7-7718e1e49863/v1/index.html 15/47
Como conclui Pinheiro (2019), um programa de gestão de dados
pessoais bem implementado pode ajudar na redução das penas, na
hipótese de ocorrência de um tipo de infração que enseje a
aplicação de alguma penalidade.
Vamos Exercitar?
Você é gerente de uma empresa de e-commerce que recentemente
expandiu suas operações para incluir o mercado internacional.
Durante uma reunião de equipe, é discutida a importância de se
adequar à LGPD, considerando as sanções previstas, como multas
elevadas e até suspensão das atividades. Diante disso, como você
avalia a importância de garantir a conformidade com a LGPD em um
cenário de expansão internacional? Quais medidas você considera
essenciais para evitar possíveis sanções e manter a reputação da
empresa?
Saiba Mais
O Tribunal Regional do Trabalho da 12ª Região elaborou uma
página especial com um resumo dos capítulos e artigos da LGPD.
O que é a LGPD? Tribunal Regional do Trabalho da 12ª
Região, 2023.
E, para auxiliar na compreensão da sua estrutura, veja o infográfico
da LGPD disponível no link a seguir.
LGPD – Lei Geral de Proteção de Dados Pessoais. 2023.
Para saber mais a respeito das disposições da LGPD, veja o artigo
indicado a seguir, que aborda as principais disposições da Lei Geral
de Proteção de Dados (LGPD) no Brasil, os elementos e os
parâmetros da governança em privacidade.
Principais disposições da governança em privacidade à luz da
Lei Geral de Proteção de Dados no Brasil. Revista Justiça do
08/09/2024, 14:30 LGPD - Lei geral de proteção de dados
https://alexandria-html-published.platosedu.io/5996d9cd-4053-47e0-8db7-7718e1e49863/v1/index.html 16/47
https://portal.trt12.jus.br/lgpd/o-que-e-a-lgpd
https://nicoliadvogados.adv.br/lgpd-lei-geral-de-protecao-de-dados-pessoais/
https://seer.upf.br/index.php/rjd/article/view/13379
https://seer.upf.br/index.php/rjd/article/view/13379
Direito, [S. l.], v. 36, n. 1, p. 204-230, 2022. DOI:
10.5335/rjd.v36i1.13379.
Para aprofundar um pouco mais a questão das penalidades e
sanções, veja este artigo da especialista em direito digital, Juliana
Abrusio, que trata da aplicação de multas pela ANPD.
Aplicações de multas pela autoridade de proteção de dados.
ConJur, 22 mar. 2023.
Referências Bibliográficas
BRASIL. Lei nº 13.709, de 14 de agosto de 2018. Lei Geral de
Proteção de Dados Pessoais (LGPD). Brasília, DF: Presidência da
República, 2018. Disponível em:
http://www.planalto.gov.br/ccivil_03/_Ato2015-
2018/2018/Lei/L13709.htm. Acesso em: 8 dez. 2023.
LIMA, A. P. M. C. de et al. LGPD aplicada. São Paulo: Atlas, 2021.
PINHEIRO, P. P. Proteção de dados pessoais: comentários à Lei
n. 13.709/2018 (LGPD). 3. ed. São Paulo: Saraiva Jur, 2019.
Aula 3
PROGRAMAS DE
TRANSFORMAÇÕES
Programas de transformações
08/09/2024, 14:30 LGPD - Lei geral de proteção de dados
https://alexandria-html-published.platosedu.io/5996d9cd-4053-47e0-8db7-7718e1e49863/v1/index.html 17/47
https://www.conjur.com.br/2023-mar-22/juliana-abrusio-multas-autoridade-protecao-dados/
http://www.planalto.gov.br/ccivil_03/_Ato2015-2018/2018/Lei/L13709.htm.
http://www.planalto.gov.br/ccivil_03/_Ato2015-2018/2018/Lei/L13709.htm.
Olá, estudante! Nesta videoaula você vai conhecer a gestão de
cibersegurança, incluindo a gestão de identidades e acessos, e verá
exemplos de ameaças mais comuns.
Esse conteúdo é importante para a sua prática profissional, pois
oferecerá uma compreensão aprofundada de como gerenciar a
segurança da informação em ambientes digitais, incluindo a
proteção de identidades e acessos. Compreender esses conceitos é
crucial para garantir a segurança dos dados e sistemas de uma
organização, além de ajudar na identificação e prevenção de
possíveis ataques cibernéticos. Essas habilidades são fundamentais
em um mundo digital cada vez mais complexo e interconectado, no
qual a proteção da informação é essencial para o sucesso e a
reputação de qualquer empresa.
Prepare-se para essa jornada de conhecimento!
Vamos lá!
Ponto de Partida
Não existe privacidade sem segurança, esse é um princípio muito
adotado entre os especialistas em proteção de dados. Mas você já
parou para pensar nos impactos da gestão de cibersegurança na
conformidade com a LGPD? Quais ataques são mais críticos para a
08/09/2024, 14:30 LGPD - Lei geral de proteção de dados
https://alexandria-html-published.platosedu.io/5996d9cd-4053-47e0-8db7-7718e1e49863/v1/index.html 18/47
proteção de dados? Como profissional de dados, o que fazer ao
sofrer um ataque?
Nesta aula, você verá os conceitos de cibersegurança e a
importância de sua gestão, bem como a participação da alta gestão.
Também entenderá como e por que a boa gestão dos acessos
contribui para manter a excelência no gerenciamento de dados e ser
uma grande aliada no acompanhamento da LGPD. Por fim, verá o
que é um plano de continuidade de negócios e a sua relação com a
LGPD.
Junte-se a nós!
Vamos Começar!
Gestão de cibersegurança
Na era moderna, a informação é considerada um recurso valioso,
essencial para os processos de negócios das organizações.
Proteger essa informação tornou-se uma necessidade crucial, dada
a crescente quantidade de ameaças no ambiente empresarial.
A cibersegurança é um conjunto de ações e técnicas para proteger
sistemas, programas, redes e equipamentos de invasões, visando
garantir a segurança de dados valiosos contra-ataques cibernéticos,
que podem incluir acesso não autorizado, roubo de senhas,
sequestro de dados e fraudes financeiras. De acordo com pesquisa
feita pela Netscout Systems (2021), o Brasil é o segundo país com
mais ciberataques, registrando mais de 439 mil tentativas de
invasões e ataques DDoS, o que levou mais da metade das
empresas brasileiras a planejarem investimentos nessa área (Brasil,
2021). A cibersegurança é crucial, pois de acordo com a Pesquisa
Nacional BugHunt de Segurança da Informação, uma em cada
quatro empresas no Brasil sofre pelo menos um ataque virtual por
08/09/2024, 14:30 LGPD - Lei geral de proteção de dados
https://alexandria-html-published.platosedu.io/5996d9cd-4053-47e0-8db7-7718e1e49863/v1/index.html 19/47
ano (Uma em cada quatro empresas…, 2022), destacando a
importância de investir em medidas para evitar prejuízos financeiros.
A cibersegurança, antes uma preocupação exclusiva da área de TI,
agora precisa ser encarada como uma responsabilidade global,
envolvendo toda a organização. Para ser eficaz, a gestão da
cibersegurança deve ser implementada de forma abrangente e
apoiada pela alta administração. Os gestores devem dar atenção
séria à cibersegurança e adotar modelos comprovados de gestão e
governança que garantam o controle de riscos em todos os
aspectos da organização, incluindo processos, pessoas e
tecnologia.
Exemplos de ameaças
A cibersegurançaé essencial para proteger sistemas e redes contra
uma variedade de ameaças virtuais. Alguns exemplos comuns de
ameaças combatidas pela cibersegurança incluem:
Ataques DDoS (Distributed Denial of Service): esses ataques
visam sobrecarregar um sistema ou rede com um grande
volume de tráfego, tornando-o inacessível para usuários
legítimos.
Malwares: são softwares maliciosos que podem ser usados
para roubar informações ou danificar sistemas. Eles podem ser
distribuídos por e-mail ou mensagens, muitas vezes
disfarçados como arquivos ou links aparentemente legítimos.
APT (Advanced Persistent Threat): são ataques complexos e
direcionados que envolvem invasores persistentes que
procuram acesso prolongado a sistemas ou redes para roubar
informações ou realizar atividades maliciosas.
Ataque man-in-the-middle (MITM): nesse tipo de ataque, um
invasor intercepta a comunicação entre duas partes e pode
acessar ou alterar os dados transmitidos, muitas vezes para
roubar informações confidenciais.
08/09/2024, 14:30 LGPD - Lei geral de proteção de dados
https://alexandria-html-published.platosedu.io/5996d9cd-4053-47e0-8db7-7718e1e49863/v1/index.html 20/47
Ransomware: trata-se de um tipo de malware que criptografa
os dados de um sistema, tornando-os inacessíveis ao usuário
legítimo. Os invasores exigem um resgate para desbloquear os
dados, tornando-o um tipo de crime de extorsão.
Phishing: nesse tipo de ataque, os invasores tentam enganar
os usuários, geralmente por e-mail, para que revelem
informações pessoais, como senhas ou detalhes de cartões de
crédito, fingindo ser uma entidade confiável, como um banco ou
empresa.
DNS Spoofing: nesse tipo de ataque, os invasores
comprometem o sistema de nome de domínio (DNS) para
redirecionar o tráfego da internet de um site legítimo para um
endereço IP falso. Isso pode levar os usuários a acessar sites
falsos ou maliciosos, comprometendo a segurança e a
privacidade de suas informações. 
Sniffing: é uma técnica na qual os atacantes interceptam e
monitoram o tráfego de dados em uma rede. Isso pode incluir a
captura de pacotes de dados não criptografados, como
informações de login, senhas ou outras informações
confidenciais que estão sendo transmitidas pela rede. O
objetivo é obter acesso não autorizado a informações
sensíveis.
Siga em Frente...
Gestão de identidades e acessos (IAM)
Uma boa solução de gestão de identidades e acessos (IAM) pode
ser crucial para empresas que buscam conformidade com a LGPD
devido aos seus rigorosos protocolos de segurança.
A LGPD requer que as organizações adotem medidas de segurança
para proteger os dados pessoais contra acessos não autorizados,
conforme o art. 46 da lei (Brasil, 2018).
08/09/2024, 14:30 LGPD - Lei geral de proteção de dados
https://alexandria-html-published.platosedu.io/5996d9cd-4053-47e0-8db7-7718e1e49863/v1/index.html 21/47
Embora não seja uma exigência específica, a implementação de
uma solução de IAM pode fazer toda a diferença na segurança dos
dados. É importante compreender como a LGPD se relaciona com a
gestão de acessos e como essa abordagem pode beneficiar sua
empresa.
Execução segura
O termo “execução segura” de tarefas é muito associado à
segurança do trabalho. A NR 18 – Segurança e Saúde no Trabalho
na Indústria da Construção, no item 18.4.6.2, a define:
As tarefas envolvendo soluções alternativas somente devem
ser iniciadas com autorização especial, precedida de análise
de risco e permissão de trabalho, que contemple os
treinamentos, os procedimentos operacionais, os materiais,
as ferramentas e outros dispositivos necessários à execução
segura da tarefa (Portaria SEPRT, 2020).
No âmbito da LGPD, a execução segura de tarefas envolve a
implementação de práticas e procedimentos que visam assegurar a
privacidade e a segurança dos dados pessoais. Isso inclui a
definição de políticas claras de segurança da informação, a
realização de avaliações de riscos regulares, a adoção de medidas
técnicas e organizacionais para proteção dos dados e a capacitação
dos colaboradores para lidar com informações pessoais de forma
segura e responsável.
Continuidade de negócios
A LGPD não se limita à privacidade, abrangendo também a
segurança da informação. Além dos dados confidenciais, a lei
enfatiza a disponibilidade e integridade das informações. A invasão
ao STJ em 2020 ressalta a importância de cuidar de todos os
08/09/2024, 14:30 LGPD - Lei geral de proteção de dados
https://alexandria-html-published.platosedu.io/5996d9cd-4053-47e0-8db7-7718e1e49863/v1/index.html 22/47
aspectos da segurança da informação. Como descrevem Beggiato
Junior (2021) e Escosteguy (2020), esse ataque, conhecido como
ransomware, tornou os sistemas do tribunal indisponíveis durante
mais de uma semana, e motivou, posteriormente, a instituição do
Comitê de Segurança Cibernética do Poder Judiciário, por parte do
CNJ.
O Plano de Continuidade de Negócios (PCN), conforme a norma
ABNT NBR ISO 22301:2020, é uma ferramenta crucial para
gerenciar riscos cibernéticos e garantir a conformidade com a
LGPD. Um PCN bem estruturado pode ser essencial para a rápida
retomada das operações após eventos adversos, evitando impactos
significativos nos negócios. Portanto, a conformidade com a LGPD
deve integrar diretrizes de boas práticas de governança de TI e
segurança da informação para garantir a eficácia dos programas de
segurança.
Vamos Exercitar?
Imagine que você é um consultor de segurança da informação e foi
contratado por uma empresa de médio porte que está buscando
fortalecer suas práticas de cibersegurança e conformidade com a
LGPD. A empresa está preocupada com a segurança de seus
sistemas e a proteção de dados pessoais de seus clientes e
colaboradores.
Considerando o contexto da empresa, discorra acerca da
importância da execução segura de tarefas no contexto da LGPD e
do gerenciamento de riscos cibernéticos. Explique como a execução
segura de tarefas pode contribuir para a proteção dos dados
pessoais e para a conformidade com a LGPD, bem como para a
mitigação de riscos cibernéticos que possam impactar as operações
da empresa. Além disso, destaque a relevância de práticas como a
implementação de políticas claras de segurança da informação,
avaliações regulares de riscos, medidas técnicas e organizacionais
08/09/2024, 14:30 LGPD - Lei geral de proteção de dados
https://alexandria-html-published.platosedu.io/5996d9cd-4053-47e0-8db7-7718e1e49863/v1/index.html 23/47
de proteção de dados, e a capacitação dos colaboradores para lidar
com informações pessoais de forma segura e responsável.
Saiba Mais
Para saber mais a respeito dos resultados da pesquisa da Netscout
e consequentemente entender a importância da cibersegurança,
veja a reportagem indicada a seguir.
Brasil é o maior alvo de ataques cibernéticos na América
Latina.
Para conhecer mais IAM, sua importância e benefícios, veja este
artigo elaborado pela Microsoft.
O que é gerenciamento de identidades e acesso (IAM)?
Em se tratando das políticas de segurança da informação, prática
que pode ser adotada para uma execução segura de atividades,
veja o texto indicado a seguir. 
Política de segurança da informação: saiba como fazer.
Para conhecer mais a respeito da importância do plano de
continuidade de negócios e a LGPD, veja o artigo indicado a seguir.
Nem "só" de privacidade vive a LGPD: a importância do plano
de continuidade de negócios.
Referências Bibliográficas
BEGGIATO JUNIOR, S. L. Nem "só" de privacidade vive a LGPD:
a importância do plano de continuidade de negócios. Migalhas, 7
jan. 2021. Disponível em:
https://www.migalhas.com.br/depeso/338658/nem--so--de-
privacidade-vive-a-lgpd--a-importancia-do-plano-de-continuidade-de-
negocios. Acesso em: 30 dez. 2023.
08/09/2024, 14:30 LGPD - Lei geral de proteção de dados
https://alexandria-html-published.platosedu.io/5996d9cd-4053-47e0-8db7-7718e1e49863/v1/index.html 24/47
https://oglobo.globo.com/economia/tecnologia/noticia/2023/06/brasil-e-o-maior-alvo-de-ataques-ciberneticos-na-america-latina-veja-ranking.ghtml
https://oglobo.globo.com/economia/tecnologia/noticia/2023/06/brasil-e-o-maior-alvo-de-ataques-ciberneticos-na-america-latina-veja-ranking.ghtmlhttps://www.microsoft.com/pt-br/security/business/security-101/what-is-identity-access-management-iam
https://www.totvs.com/blog/gestao-para-assinatura-de-documentos/politica-de-seguranca-da-informacao/
https://www.migalhas.com.br/depeso/338658/nem--so--de-privacidade-vive-a-lgpd--a-importancia-do-plano-de-continuidade-de-negocios
https://www.migalhas.com.br/depeso/338658/nem--so--de-privacidade-vive-a-lgpd--a-importancia-do-plano-de-continuidade-de-negocios
https://www.migalhas.com.br/depeso/338658/nem--so--de-privacidade-vive-a-lgpd--a-importancia-do-plano-de-continuidade-de-negocios.
https://www.migalhas.com.br/depeso/338658/nem--so--de-privacidade-vive-a-lgpd--a-importancia-do-plano-de-continuidade-de-negocios.
https://www.migalhas.com.br/depeso/338658/nem--so--de-privacidade-vive-a-lgpd--a-importancia-do-plano-de-continuidade-de-negocios.
BRASIL. Lei nº 13.709, de 14 de agosto de 2018. Lei Geral de
Proteção de Dados Pessoais (LGPD). Brasília, DF: Presidência da
República, 2018. Disponível em:
http://www.planalto.gov.br/ccivil_03/_Ato2015-
2018/2018/Lei/L13709.htm. Acesso em: 8 dez. 2023.
BRASIL supera 400.000 ciberataques e é 2º maior alvo mundial, diz
estudo. Uol, 4 ago. 2021. Disponível em:
https://www.uol.com.br/splash/noticias/efe/2021/08/04/brasil-supera-
400000-ciberataques-e-e-2-maior-alvo-mundial-diz-estudo.htm.
Acesso em: 30 dez. 2023. 
ESCOSTEGUY, D. Hacker criptografou todos os processos e emails
do STJ. O Bastidor, 5 nov. 2020. Disponível em:
https://obastidor.com.br/justica/hacker-criptografou-todos-os-
processos-e-emails-do-stj-19. Acesso em: 30 dez. 2023.
NETSCOUT SYSTEMS. Relatório de inteligência de ameaças do
segundo semestre de 2020 da NETSCOUT. Netscout Systems,
2021. Disponível em:
https://www.netscout.com/sites/default/files/2021-05/SECR_016_PT-
2101-%20TR2H2020_Country_Brazil.pdf. Acesso em: 30 dez. 2023.
PORTARIA SEPRT nº 3.733 de 10 de fevereiro de 2020. Normas
Legais, [s. d.]. Disponível em:
 https://www.normaslegais.com.br/legislacao/portaria-seprt-3733-
2020.htm. Acesso em: 20 jan. 2024.
UMA em quatro empresas brasileiras sofreu ciberataque em um ano.
Monitor Mercantil, 27 jan. 2022. Disponível em:
https://monitormercantil.com.br/uma-em-quatro-empresas-
brasileiras-sofreu-ciberataque-em-um-ano/. Acesso em: 30 dez.
2023.
 
08/09/2024, 14:30 LGPD - Lei geral de proteção de dados
https://alexandria-html-published.platosedu.io/5996d9cd-4053-47e0-8db7-7718e1e49863/v1/index.html 25/47
http://www.planalto.gov.br/ccivil_03/_Ato2015-2018/2018/Lei/L13709.htm.
http://www.planalto.gov.br/ccivil_03/_Ato2015-2018/2018/Lei/L13709.htm.
https://www.uol.com.br/splash/noticias/efe/2021/08/04/brasil-supera-400000-ciberataques-e-e-2-maior-alvo-mundial-diz-estudo.htm.
https://www.uol.com.br/splash/noticias/efe/2021/08/04/brasil-supera-400000-ciberataques-e-e-2-maior-alvo-mundial-diz-estudo.htm.
https://obastidor.com.br/justica/hacker-criptografou-todos-os-processos-e-emails-do-stj-19.
https://obastidor.com.br/justica/hacker-criptografou-todos-os-processos-e-emails-do-stj-19.
https://www.netscout.com/sites/default/files/2021-05/SECR_016_PT-2101-%20TR2H2020_Country_Brazil.pdf.
https://www.netscout.com/sites/default/files/2021-05/SECR_016_PT-2101-%20TR2H2020_Country_Brazil.pdf.
https://www.normaslegais.com.br/legislacao/portaria-seprt-3733-2020.htm.
https://www.normaslegais.com.br/legislacao/portaria-seprt-3733-2020.htm.
https://monitormercantil.com.br/uma-em-quatro-empresas-brasileiras-sofreu-ciberataque-em-um-ano/
https://monitormercantil.com.br/uma-em-quatro-empresas-brasileiras-sofreu-ciberataque-em-um-ano/
Aula 4
ELEMENTOS DA
METODOLOGIA BEST
Elementos da metodologia BEST
Olá, estudante! Nesta videoaula você vai conhecer os princípios da
metodologia BEST (Business Engaged Security Transformation) e a
sua relação com a cultura de cibersegurança.
Esse conteúdo é importante para a sua prática profissional, pois ao
compreender esses princípios, você estará apto a implementar
sistemas ágeis de gestão de cibersegurança e proteção de dados
mais eficazes, minimizando os riscos. Adicionalmente, promoverá
uma cultura de proteção de dados.
Prepare-se para essa jornada de conhecimento!
Vamos lá!
Ponto de Partida
08/09/2024, 14:30 LGPD - Lei geral de proteção de dados
https://alexandria-html-published.platosedu.io/5996d9cd-4053-47e0-8db7-7718e1e49863/v1/index.html 26/47
Para garantir a conformidade contínua e sustentável com os
requisitos da LGPD, uma organização precisa implementar um
sistema de gestão que abranja todos os aspectos do negócio,
incluindo processos, pessoas e tecnologia. A experiência adquirida
desde os anos 1990, com a implementação de sistemas de gestão
da qualidade, oferece um modelo comprovado de sucesso. A
implementação desse sistema de gestão envolve um projeto de
transformação guiado por uma das muitas metodologias de gestão
de projetos disponíveis. Nesse contexto, a metodologia BEST
emerge como uma opção viável. 
Nesta aula veremos a sua origem e seus princípios, a sua influência
na cultura de cibersegurança, e como ela se relaciona com a
metodologia ágil.
Junte-se a nós!
Vamos Começar!
Metodologia BEST
Para que uma organização atenda continuamente e de maneira
sustentável aos requisitos da LGPD, é necessário implementar um
sistema de gestão que abranja todas as áreas de negócio, incluindo
processos, pessoas e tecnologias. A experiência acumulada desde
os anos 1990, com a implementação de sistemas de gestão da
qualidade, fornece um modelo bem-sucedido a seguir. A
implementação desse sistema de gestão envolve o desenvolvimento
de um projeto de transformação, conduzido por uma das diversas
metodologias de gestão de projetos disponíveis no mercado (Garcia
et al., 2020).
A metodologia BEST (Business Engaged Security Transformation)
oferece uma abordagem holística e adaptável para a implementação
de sistemas de gestão de cibersegurança e privacidade de dados,
08/09/2024, 14:30 LGPD - Lei geral de proteção de dados
https://alexandria-html-published.platosedu.io/5996d9cd-4053-47e0-8db7-7718e1e49863/v1/index.html 27/47
independentemente do porte das operações ou área de atuação.
Desenvolvida pela Fundação Vanzolini, seu principal diferencial está
na conscientização e engajamento dos colaboradores para tornar os
sistemas de informação mais seguros, resilientes e confiáveis. A
metodologia é organizada em programas de transformação que
integram questões de negócios com as de segurança cibernética,
buscando alinhar as práticas de segurança com as metas
organizacionais.
Princípios da metodologia BEST
A metodologia BEST foi concebida com base nos seguintes
princípios (Garcia et al., 2020):
Mindset e cultura: mindset (atitude) que olha para o indivíduo e
que deve ser refletido na cultura (coletivo). Somente a
transformação do mindset dos colaboradores é que garante a
estabilidade do atendimento das obrigações de cibersegurança
de uma organização e a construção de uma cultura de
cibersegurança.
Responsabilidade: cada colaborador está orientado à execução
das atividades de negócio sob sua responsabilidade que geram
valor para seus clientes internos e externos.
Engajamento: o engajamento do colaborador na transformação
de processos e atividades de negócio para o atendimento de
obrigações de cibersegurança demanda necessariamente um
mapeamento mental claro entre atendimento de requisitos de
cibersegurança e fatores de sucesso das atividades do
ambiente de negócios. Em outras palavras, é preciso ter
consciência de que, sem atender aos requisitos de
cibersegurança, todas as atividades de negócio falham na
entrega do resultado para o seu respectivo cliente.
Agente de transformação: para que o esforço de
conscientização e mudança da mentalidade do colaborador
tenha uma boa relação de custo-benefício, é preciso que haja a
08/09/2024, 14:30 LGPD - Lei geral de proteção de dados
https://alexandria-html-published.platosedu.io/5996d9cd-4053-47e0-8db7-7718e1e49863/v1/index.html 28/47
articulação de um agente externo (agente de transformação) a
fim defacilitar a superação das dificuldades pessoais,
organizacionais e tecnológicas do processo.
Velocidade: o ritmo e os objetivos de transformação precisam
estar alinhados com as demandas e os fluxos naturais dos
negócios, reduzindo fricções e conflitos com clientes.
Metodologia adequada: os métodos ágeis se adaptam melhor
ao alinhamento entre atividades de transformação de
cibersegurança e atividades de negócio porque são mais
flexíveis, estão focados em pessoas e interações, visam gerar
valor a cada interação e promovem uma resposta rápida a
demandas específicas, comuns no ambiente de negócios.
Alinhamento estratégico: a alta direção e os gestores devem
incorporar em seu modelo de avaliação do sucesso das
atividades de negócio e do nível de competência dos
colaboradores o efetivo atendimento dos respectivos requisitos
de segurança associados.
Melhoria contínua: é preciso estabelecer um ciclo de melhoria
contínua de avaliação de processos, procedimentos, sistemas
e registros, pelo qual todos são responsáveis, que identifique
causas e consequências de eventos de cibersegurança para os
negócios, lições aprendidas, oportunidades de melhoria e
próximos passos.
Cultura de cibersegurança
Não basta apenas investir em soluções de proteção de dados se na
empresa não existir uma cultura de cibersegurança. A importância
da cultura de cibersegurança em uma organização vai além das
tecnologias e soluções de proteção de dados. A conscientização e a
participação ativa de todos os colaboradores, desde os executivos
ao pessoal da limpeza, passando por todos que acessam a rede de
internet corporativa, são fundamentais para garantir a segurança da
informação e a proteção contra ameaças cibernéticas.
08/09/2024, 14:30 LGPD - Lei geral de proteção de dados
https://alexandria-html-published.platosedu.io/5996d9cd-4053-47e0-8db7-7718e1e49863/v1/index.html 29/47
Um estudo da PwC (2018) apontou que apenas 27% dos executivos
acreditam que seu conselho recebe métricas adequadas para o
gerenciamento de riscos cibernéticos e de privacidade. Ou seja,
existem dados que mostram que apenas algumas pessoas do
conselho das empresas têm conhecimento e sabem usar as
ferramentas certas diante de um ataque, o que é preocupante.
Além disso, de acordo com a análise de Cybsafe (2020) da pesquisa
realizada pela UK Information Commissioner’s Office (ICO), 90%
das violações de dados são causadas por erros humanos.
A Systems Audit and Control Association (ISACA) realizou uma
pesquisa (2018) em que 95% dos entrevistados identificaram uma
lacuna entre sua cultura organizacional atual e a desejada de
cibersegurança organizacional, e concordam que há muito
progresso a ser feito. Um número significativo de 33% dos
executivos pesquisados reconhece uma lacuna substancial.
Na Metodologia BEST, o fortalecimento da cultura de
cibersegurança é fundamentado em diversos aspectos-chave.
A liderança desempenha um papel central, com a definição de
princípios e ações claras que valorizam comportamentos
seguros por parte da alta diretoria e gestores das áreas de
negócio.
A ética é um pilar crucial, ao estabelecer que o cumprimento
das obrigações de cibersegurança é um dos mais elevados
princípios éticos, com foco na proteção das informações de
clientes, investidores, colaboradores, terceiros, parceiros e da
sociedade em geral.
A responsabilidade é compartilhada por todos os membros da
alta diretoria, gestores, colaboradores, terceiros, parceiros e
clientes, que são diretamente responsáveis pela segurança e
privacidade das informações sob sua guarda, devendo
empenhar-se no cumprimento dessas obrigações.
08/09/2024, 14:30 LGPD - Lei geral de proteção de dados
https://alexandria-html-published.platosedu.io/5996d9cd-4053-47e0-8db7-7718e1e49863/v1/index.html 30/47
Outros aspectos-chave incluem:
Capacitação, que espera o engajamento de todos os
profissionais nos treinamentos disponibilizados, garantindo que
suas decisões e atividades de negócio sejam baseadas em
princípios de segurança.
Governança, que orienta para que todas as atividades,
especialmente as relacionadas à cibersegurança, contribuam
para alcançar objetivos de negócio de maneira consciente,
controlada e mensurável, alinhadas com a missão da empresa.
Comunicação aberta e direta acerca de questões de
cibersegurança, promovendo uma atitude cooperativa diligente
e responsável na formação de equipes multidisciplinares de
trabalho, fortalecendo a prática de sempre buscar ajuda e
orientação em caso de dúvida junto a colegas e superiores.
Siga em Frente...
Método Ágil
O Método Ágil, baseado no Manifesto Agile (Beck, 2001), guia a
interação do agente de transformação com colaboradores e
terceiros com foco em: 
Pessoas e interações, ao contrário de processos e ferramentas.
Processo executável, ao contrário de documentação extensa e
confusa.
Engajamento do colaborador, ao contrário de pressões pelo
cumprimento de prazos e cláusulas contratuais.
Respostas rápidas para mudanças que geram valor, ao
contrário de seguir planos previamente definidos, com longas
cadeias de tomada de decisão para incorporação da mudança
positiva.
08/09/2024, 14:30 LGPD - Lei geral de proteção de dados
https://alexandria-html-published.platosedu.io/5996d9cd-4053-47e0-8db7-7718e1e49863/v1/index.html 31/47
O método consiste em dividir um programa de transformação em
etapas chamadas sprints, cada uma com duração de 15 dias
corridos. Equipes de transformação são formadas, compostas por
um agente de transformação (project owner), um líder (scrum
master) e outros membros. No início de cada sprint, são
identificados programas necessários, requisitos de cibersegurança,
estratégia de transformação, recursos necessários e estimativas de
esforço e sucesso. 
Durante o sprint, o líder interage diariamente com a equipe,
formalmente em reuniões breves, e informalmente, acompanhando
o progresso e resolvendo problemas. Ele também interage com o
agente de transformação para tomadas de decisão, consolidação de
resultados, avaliação do clima da equipe e ajustes de estratégia. Ao
final do sprint, são avaliados os resultados, planejados os próximos
passos e registradas as lições aprendidas para orientar o próximo
sprint.
Dimensões
No atendimento de requisitos de cibersegurança em todos os
programas de transformação, sete dimensões funcionais devem ser
consideradas (Garcia et al., 2020):
1. Pessoas: definir os profissionais e atribuir papéis e
responsabilidades dos envolvidos.
2. Mudanças: adotar um fluxo de gestão de mudanças de
processos, procedimentos e controles de tecnologia de
informação e comunicação na organização. 
3. Requisitos: devem ser identificados todos os requisitos de
políticas de cibersegurança endereçados por cada atividade de
transformação.
4. Auditoria: toda ação de transformação deve gerar registros
auditáveis e incorporar, quando necessário, funções intrínsecas
08/09/2024, 14:30 LGPD - Lei geral de proteção de dados
https://alexandria-html-published.platosedu.io/5996d9cd-4053-47e0-8db7-7718e1e49863/v1/index.html 32/47
de auditoria nos processos, procedimentos e controles de
segurança.
5. Emergências: devem ser consideradas situações emergenciais
de exceção no momento da definição de processos,
procedimentos e controles.
6. Comunicação: deve ser considerado o aspecto da
comunicação de informações sobre as atividades de
transformação executadas, definindo a sequência e o conteúdo
de mensagens, públicos-alvo e canais de comunicação.
7. Recursos: para todas as atividades, devem ser relacionados
explicitamente os recursos necessários para a sua execução.
Requisitos e controles
A relação de requisitos de cibersegurança, riscos associados,
controles de infraestrutura de TIC e registros faz parte do escopo de
08/09/2024, 14:30 LGPD - Lei geral de proteção de dados
https://alexandria-html-published.platosedu.io/5996d9cd-4053-47e0-8db7-7718e1e49863/v1/index.html 33/47
entrega de cada programa de transformação. Ela pode ser feita na
forma de um quadro ou uma planilha eletrônica (Garcia et al.,2020).
POLÍ
TICA 
PO003 – Política de atendimento de
requisições de proteção de dados
pessoais. 
REQ
UISIT
O 
Atender a todas as requisições de
proteção de dados pessoais em
tempo hábil. 
RISC
O 
Falha no atendimento de requisição
de proteção de dados pessoais em
tempo hábil. 
CON
TRO
LE 
Manter cadastro eletrônico atualizado
de todas as solicitações, com
respectivos estados de atendimento. 
REGI
STR
O 
Cadastro de atendimento a
requisições de proteção de dados
pessoais. 
NOT
AS 
O cadastro deve conter as seguintes
informações de cada solicitação: 
• Número único sequencial de
solicitação. 
• Estado da solicitação. 
• Data da solicitação. 
08/09/2024, 14:30 LGPD - Lei geral de proteção de dados
https://alexandria-html-published.platosedu.io/5996d9cd-4053-47e0-8db7-7718e1e49863/v1/index.html 34/47
Quadro 1 | Exemplo de quadro de requisitos e controles associados.
 Fonte: Garcia et al. (2020).
Vamos Exercitar?
Imagine que a empresa em questão atua no setor de varejo, com
uma rede de lojas físicas e com uma presença significativa no
comércio eletrônico. Nos últimos anos, a empresa experimentou um
crescimento substancial, expandindo suas operações e aumentando
sua base de clientes. No entanto, esse crescimento também trouxe
desafios em termos de segurança cibernética.
Com o aumento da digitalização e da coleta de dados dos clientes, a
empresa passou a lidar com informações sensíveis, como dados de
pagamento e informações pessoais dos clientes. Isso a tornou um
• Autor da solicitação. 
• Responsável pela recepção. 
• Data prevista de atendimento. 
• Responsável pelo atendimento. 
• Data de atendimento efetivo. 
• Responsável pelo envio da
resposta. 
• Responsável pelo recebimento. 
• Descrição da solicitação. 
• Nível de complexidade. 
• Nível de criticidade. 
• Observações. 
08/09/2024, 14:30 LGPD - Lei geral de proteção de dados
https://alexandria-html-published.platosedu.io/5996d9cd-4053-47e0-8db7-7718e1e49863/v1/index.html 35/47
alvo mais atraente para possíveis ataques cibernéticos, que
poderiam comprometer não apenas a segurança dos dados, mas
também a reputação da empresa e a confiança dos clientes.
Apesar de ter implementado algumas soluções de segurança
cibernética, a empresa percebeu que ainda há lacunas significativas
em sua cultura organizacional quando se trata de cibersegurança.
Muitos colaboradores não têm plena consciência dos riscos
cibernéticos e das melhores práticas de segurança, e há uma falta
de engajamento geral em relação à segurança da informação.
A empresa reconhece a importância de fortalecer sua cultura de
cibersegurança para proteger seus ativos digitais e garantir a
confiança de seus clientes. Por isso, decidiu buscar a consultoria de
um especialista em segurança cibernética para orientá-la na
implementação de melhores práticas e na criação de uma cultura
organizacional mais segura e consciente em relação à
cibersegurança.
No papel do consultor, como você abordaria essa questão?
Saiba Mais
Para saber mais a respeito dos princípios da metodologia BEST,
acesse o site da Fundação Vanzolini. 
Fundação Vanzolini.
Durante a semana da cibersegurança de 2023, a Revista Exame
publicou uma reportagem completa abordando a cultura de
cibersegurança. 
Criando uma cultura de cibersegurança descentralizada,
robusta e escalável.
No artigo a seguir, os autores fazem uma interessante revisão das
literaturas a respeito da metodologia ágil.
08/09/2024, 14:30 LGPD - Lei geral de proteção de dados
https://alexandria-html-published.platosedu.io/5996d9cd-4053-47e0-8db7-7718e1e49863/v1/index.html 36/47
https://vanzolini.org.br/solucoes/ciberseguranca-protecao-de-dados/ciberseguranca-protecao-de-dados/
https://exame.com/future-of-money/criando-uma-cultura-de-ciberseguranca-descentralizada-robusta-e-escalavel/
https://exame.com/future-of-money/criando-uma-cultura-de-ciberseguranca-descentralizada-robusta-e-escalavel/
As origens da metodologia ágil: de onde saímos e onde
estamos? Uma revisão sistemática da literatura. Revista de
Gestão e Projetos, [S. l.], v. 14, n. 1, p. 11–41, 2023. DOI:
10.5585/gep.v14i1.23723.
Na monografia indicada a seguir, o autor propõe um novo framework
baseado na metodologia BEST, em que os controles são agrupados
em quatro: Programa de Sistema de Gestão de Cibersegurança e
Segurança da Informação (SGCSI); Programa de Proteção da
Informação; Programa de Aprimoramento da privacidade; e
Programa de Atitudes Seguras.
Transações de Dados e Privacidade à luz da Lei Geral de
Proteção de Dados Pessoais (LGPD). Universidade de Brasília.
Brasília. 2021
Referências Bibliográficas
BECK, K. et al. Manifesto for Agile Software Development. 2001.
Disponível em: https:// agilemanifesto.org/. Acesso em: 30 dez.
2023.
CYBSAFE Ltd. Phishing dominates UK cyber threat landscape,
shows analysis of latest ICO figures. Cybsafe, 16 jan. 2020.
Disponível em: https://www.cybsafe.com/press-releases/phishing-
dominates-uk-cyber-threat-landscape-shows-analysis-of-latest-ico-
figures/. Acesso em: 30 dez. 2023. 
GARCIA, L. R. et al. Lei Geral de Proteção de Dados Pessoais
(LGPD): guia de implantação. São Paulo: Blucher, 2020.
ISACA ENTERPRISES. 9 in 10 Enterprises Report Gaps Between
the Cybersecurity Culture They Have and the One They Want.
Isaca, 15 out. 2018. Disponível em: https://www.isaca.org/about-
us/newsroom/press-releases/2018/9-in-10-enterprises-report-gaps-
08/09/2024, 14:30 LGPD - Lei geral de proteção de dados
https://alexandria-html-published.platosedu.io/5996d9cd-4053-47e0-8db7-7718e1e49863/v1/index.html 37/47
https://periodicos.uninove.br/gep/article/view/23723
https://periodicos.uninove.br/gep/article/view/23723
https://bdm.unb.br/bitstream/10483/30277/1/2021_EvandroThallesValeCastro_tcc.pdf
https://bdm.unb.br/bitstream/10483/30277/1/2021_EvandroThallesValeCastro_tcc.pdf
https://www.isaca.org/about-us/newsroom/press-releases/2018/9-in-10-enterprises-report-gaps-between-the-cybersecurity-culture-they-have-and-the-one-they-want.
https://www.isaca.org/about-us/newsroom/press-releases/2018/9-in-10-enterprises-report-gaps-between-the-cybersecurity-culture-they-have-and-the-one-they-want.
between-the-cybersecurity-culture-they-have-and-the-one-they-want.
Acesso em: 30 dez. 2023.
PWC. The journey to digital trust. PwC, 2018. Disponível em:
https://www.pwc.com/us/en/services/consulting/assets/journey-to-
digital-trust.pdf. Acesso em: 30 dez. 2023.
Encerramento da Unidade
LGPD - LEI GERAL DE
PROTEÇÃO DE DADOS
Videoaula de Encerramento
Olá, estudante! Nesta videoaula você vai rever os principais pontos
da LGPD e como esses pontos se relacionam com a privacidade e
proteção de dados. 
Esse conteúdo é importante para a sua prática profissional, pois a
LGPD impacta diretamente a maneira como as empresas lidam com
dados pessoais, exigindo a adoção de medidas específicas para
garantir a conformidade legal e a proteção da privacidade dos
indivíduos. 
Prepare-se para essa jornada de conhecimento!
Vamos lá!
08/09/2024, 14:30 LGPD - Lei geral de proteção de dados
https://alexandria-html-published.platosedu.io/5996d9cd-4053-47e0-8db7-7718e1e49863/v1/index.html 38/47
https://www.isaca.org/about-us/newsroom/press-releases/2018/9-in-10-enterprises-report-gaps-between-the-cybersecurity-culture-they-have-and-the-one-they-want.
https://www.pwc.com/us/en/services/consulting/assets/journey-to-digital-trust.pdf.
https://www.pwc.com/us/en/services/consulting/assets/journey-to-digital-trust.pdf.
Ponto de Chegada
Olá, estudante!
Para desenvolver a competência desta unidade, que é a
compreensão e aprendizagem da Lei Geral de Proteção de Dados
(LGPD), você deverá primeiramente ter uma visão geral e conhecer
o contexto histórico, os princípios e os objetivos da Lei. E para evitar
multas, é extremamente importante conhecer as sanções que
podem ser aplicadas às organizações. Os conceitos da execução
segura e a metodologia BEST são outros conhecimentos adicionais
importantes.
É Hora de Praticar!
A LGPD é válida para todos os tipos de organizações,tendo ênfase
naquelas que comercializam e ganham dinheiro com dados
pessoais e sensíveis, como companhias de telemarketing e e-
commerce – as quais devem ser mais transparentes no uso dessas
informações a fim de garantir a proteção do titular desses dados.
Para isso, essas empresas devem pensar a privacidade desde a
concepção dos produtos (privacy by design), tornando esse um
processo contínuo. Mas somente as grandes empresas e
multinacionais devem se atentar à lei, já que elas têm mais
08/09/2024, 14:30 LGPD - Lei geral de proteção de dados
https://alexandria-html-published.platosedu.io/5996d9cd-4053-47e0-8db7-7718e1e49863/v1/index.html 39/47
capacidade financeira e coletam, compartilham e armazenam dados
de um maior contingente populacional? Como evitar que elas sofram
sanções, multas e demais penalidades e fazer com que continuem
tendo lucro e satisfazendo aos seus consumidores?
Reflita
1. Como a implementação da Lei Geral de Proteção de Dados
(LGPD) pode impactar a sua empresa e quais os principais
desafios que você identifica nesse processo?
2. Qual é a importância da cultura de cibersegurança em uma
organização, e como você percebe que ela pode ser fortalecida
entre os colaboradores?
3. Considerando a metodologia BEST e o Método Ágil
apresentados, como você imagina que poderiam ser aplicados
na sua empresa para promover uma transformação eficaz na
gestão de cibersegurança e privacidade de dados?
Resolução do estudo de caso
Com a vigência da Lei Geral de Proteção de Dados, as pessoas
físicas que tratam dados de terceiros e todo e qualquer tipo de
empresas, incluindo as de pequeno, médio e grande porte, serão
impactadas. Tendo em vista que a LGPD tem o objetivo de evitar
incidentes e acidentes no tratamento de dados – devido à utilização
inadequada de determinada informação ou, o que é pior, ao
vazamento dos dados –, a cibersegurança passou a ser uma das
prioridades da gestão de TI, que deve, necessariamente, atentar-se
à implementação de sistemas capazes de prevenir, detectar e
remediar possíveis violações de dados pessoais. 
Cumpre ressaltar, ademais, que a adoção das boas práticas de
governança de dados que foram listadas no artigo 50 da LGPD pode
servir de critério atenuante das sanções e penalidades a serem
impostas pela ANPD e, nessa trilha, a política interna da empresa
deve ser eficaz.
08/09/2024, 14:30 LGPD - Lei geral de proteção de dados
https://alexandria-html-published.platosedu.io/5996d9cd-4053-47e0-8db7-7718e1e49863/v1/index.html 40/47
Mas como colocar isso em prática? Não existe uma resposta certa e
padronizada. Basicamente, as empresas devem preocupar-se com a
criação de um comitê de segurança e com o controle do acesso aos
dados tratados, buscando atender aos princípios da minimização e
da segurança e, sempre que possível, anonimizá-los – recorde-se
de que a LGPD não é aplicável a dados anonimizados.
Dê o play!
Assimile
08/09/2024, 14:30 LGPD - Lei geral de proteção de dados
https://alexandria-html-published.platosedu.io/5996d9cd-4053-47e0-8db7-7718e1e49863/v1/index.html 41/47
Nesta unidade, nós solidificamos os conhecimentos a respeito da
LGPD. Estudamos a relação entre a lei e a gestão de
cibersegurança, conhecendo a potencialização de uma ameaça ao
explorar uma vulnerabilidade, gerando um risco que, por sua vez,
poderá impactar os negócios das empresas.
Vimos que a Lei Geral de Proteção de Dados (LGPD) foi sancionada
em 2018 e entrou em vigor em 2020, com o objetivo de proteger os
dados pessoais em um contexto de avanço tecnológico. Ela
estabelece padrões mínimos de privacidade e proteção de dados
para pessoas e empresas que lidam com informações pessoais. A
LGPD prevê sanções para o descumprimento da lei, que incluem
advertências, multas e bloqueio e eliminação de dados pessoais. A
Autoridade Nacional de Proteção de Dados publicou o Regulamento
de Dosimetria e Aplicação de Sanções Administrativas em 2023,
aumentando a perspectiva de fiscalização e penalização para quem
08/09/2024, 14:30 LGPD - Lei geral de proteção de dados
https://alexandria-html-published.platosedu.io/5996d9cd-4053-47e0-8db7-7718e1e49863/v1/index.html 42/47
não cumprir a lei. A LGPD se aplica a dados relacionados a pessoas
presentes no Brasil, tratados dentro do território nacional ou
utilizados para fornecer bens ou serviços. No entanto, existem
exceções para atividades específicas, como jornalismo, segurança
pública e defesa nacional. A lei foi influenciada pela legislação
europeia, refletindo a preocupação global com a proteção da
privacidade. A evolução do direito à proteção de dados incluiu a
criação de legislação específica, como a Diretiva 95/46/CE da União
Europeia, e a Carta de Direitos Fundamentais da União Europeia.
No Brasil, a Constituição Federal de 1988 foi um marco na proteção
da privacidade, e a LGPD representou uma atualização necessária
para acompanhar o avanço tecnológico. A LGPD estabelece
princípios a serem seguidos no tratamento de dados pessoais, como
finalidade, adequação, necessidade, livre acesso, qualidade dos
dados, transparência, segurança, prevenção, não discriminação e
responsabilização e prestação de contas.
Abordamos as estruturas e disposições da LGPD. Ela tem 10
capítulos e 65 artigos, estabelece princípios, como o respeito à
privacidade, define os papéis de quem lida com os dados e detalha
direitos dos titulares. A LGPD introduz novidades, como a
necessidade de consentimento explícito do titular, definição clara
das finalidades do tratamento, direitos sobre os dados,
responsabilidades dos agentes de tratamento, medidas de
segurança e prestação de contas. A lei prevê sanções para quem
descumprir, como advertências, multas, bloqueio ou eliminação de
dados e suspensão de atividades relacionadas ao tratamento de
dados. As sanções são aplicadas após procedimento administrativo
que permite a defesa do infrator, e podem ser graduais, isoladas ou
cumulativas. A governança corporativa precisa adotar os princípios
da LGPD para garantir a sustentabilidade do negócio. Para a
Administração Pública, a LGPD prevê sanções específicas e não se
aplica a multa pecuniária.
08/09/2024, 14:30 LGPD - Lei geral de proteção de dados
https://alexandria-html-published.platosedu.io/5996d9cd-4053-47e0-8db7-7718e1e49863/v1/index.html 43/47
Estudamos programas de transformações. A cibersegurança é
essencial para proteger sistemas contra ameaças virtuais, como
ataques DDoS, malwares, APTs, ataques MITM, ransomware,
phishing, DNS Spoofing e sniffing. A gestão de cibersegurança deve
ser uma preocupação global, envolvendo toda a organização e
apoiada pela alta administração. Uma boa solução de gestão de
identidades e acessos (IAM) pode ser crucial para empresas que
buscam conformidade com a LGPD, garantindo medidas de
segurança para proteger os dados pessoais contra acessos não
autorizados. A execução segura de tarefas, tanto no contexto da
segurança do trabalho quanto da LGPD, é essencial para garantir a
privacidade e a segurança dos dados pessoais. Além disso, a
continuidade de negócios também é importante, e um plano de
continuidade de negócios (PCN) bem estruturado pode ser crucial
para a rápida retomada das operações após eventos adversos,
evitando impactos significativos nos negócios.
Por fim, vimos a metodologia BEST. Essa metodologia oferece uma
abordagem holística para implementar sistemas de gestão de
cibersegurança e privacidade de dados, destacando-se pelo
engajamento dos colaboradores. Seus princípios incluem cultura de
segurança, responsabilidade individual, engajamento, uso de
agentes de transformação, alinhamento estratégico, metodologias
ágeis, melhoria contínua e velocidade na transformação. A cultura
de cibersegurança é crucial e vai além das soluções técnicas,
envolvendo conscientização e treinamento adequado para reduzir as
vulnerabilidades causadas por erros humanos. Na metodologia
BEST, o fortalecimento da cultura de cibersegurança baseia-se em
liderança, ética, responsabilidade compartilhada, capacitação,
governança e comunicação