Atuação do Encarregado na LGPD - Função de Orientar

Prévia do material em texto

Governo e Transformação Digital 
Atuação do Encarregado 
na LGPD: A Função de 
Orientar
Enap, 2024
Fundação Escola Nacional de Administração Pública
Diretoria de Desenvolvimento Profissional
SAIS - Área 2-A - 70610-900 — Brasília, DF
Fundação Escola Nacional de Administração Pública
Diretoria de Desenvolvimento Profissional
Conteudista/s
João Batista Ribas de Moura (2024).
3
Sumário
Módulo 1: O Papel Estratégico do Encarregado à Proteção da Privacidade .....5
Unidade 1: Atividades do Encarregado na LGPD no Brasil e no Mundo ..........5
1.1 A Atividade de Orientar .............................................................................................. 6
1.2 Terminologia "Encarregado" versus "DPO" ............................................................. 7
1.3 Comparação das Atividades do Encarregado no Brasil (Art. 41 §2º da LGPD) em 
Relação aos DPOs de Outros Países ............................................................................... 9
Referências ............................................................................................................ 12
Unidade 2: Posicionamento Hierárquico do Encarregado LGPD ......................14
2.1 Impactos do "Empoderamento" do Encarregado para Execução das Atividades 
Previstas na LGPD ............................................................................................................14
2.2 Papel do Encarregado LGPD para a Gestão e para Governança ........................ 16
Referências ............................................................................................................ 18
Módulo 2: Orientando sobre Gestão da Privacidade .........................................20
Unidade 1: Gestão da Privacidade ....................................................................... 20
1.1 Diferenciando Privacidade de Proteção de Dados ............................................... 20
1.2 Diferenciando Dado Pessoal de Informação ....................................................... 21
1.3 Grupos de Atividades que Causam Danos à Privacidade ................................... 23
1.4 Dano Subjetivo e Dano Objetivo à Privacidade .................................................... 25
Referências ............................................................................................................ 27
Unidade 2: Aspectos Práticos da Gestão de Privacidade ..................................29
2.1 Níveis de Maturidade Organizacional Referente à Privacidade ......................... 29
2.2 Princípios da LGPD (Art. 6º) Aplicáveis ao Tratamento de Dados Pessoais ...... 29
Referências ............................................................................................................ 32
Módulo 3: Orientando a Área de Tecnologia da Informação ............................34
Unidade 1: Gestão de Privacidade versus Gestão de Segurança da Informação ..34
1.1 Ciclo de Vida dos Dados ...........................................................................................34
1.2 Gestão da Privacidade versus Gestão da Segurança da Informação ................. 36
Referências ............................................................................................................ 37
4Enap Fundação Escola Nacional de Administração Pública
Unidade 2: Integrando a Privacidade nas Atividades de Tecnologia .............38
2.1 Inventário de Dados ................................................................................................38
2.2 Aplicação dos Mecanismos de Consentimento ..................................................... 40
2.3 Integração da Proteção de Dados "by Design/by Default" no Desenvolvimento 
de Sistemas Computacionais .........................................................................................42
Referências ............................................................................................................ 43
Módulo 4: Orientando a Área de Gestão de Pessoas .........................................45
Unidade 1: Gestão de Riscos Aplicada à Gestão de Pessoas ............................45
1.1 Desfazendo a Confusão do Conceito de "Risco" .................................................. 45
1.2 Gestão de Riscos de Privacidade aplicada à Gestão de Pessoas ........................ 51
1.3 Categorias de Solove para Cálculo do Risco de Privacidade ............................... 53
1.4 Riscos Relacionados à Inteligência Artificial no Tratamento de Dados Pessoais 54
Referências ............................................................................................................ 56
Unidade 2: Leis Setoriais Brasileiras ................................................................... 58
2.1 Leis Setoriais Brasileiras ............................................................................................58
2.2 Hipóteses de Tratamento de Dados Pessoais (Art. 7º) ......................................... 60
Referências ............................................................................................................ 63
Enap Fundação Escola Nacional de Administração Pública 5
Videoaula: Apresentação e Boas-vindas
Seja muito bem-vindo(a) ao curso Atuação do Encarregado na LGPD: A Função de 
Orientar! 
Antes de continuar, assista ao vídeo de apresentação do curso: 
Prepare-se para uma experiência educativa dinâmica, na qual você desenvolverá as 
habilidades essenciais para o encarregado guiar e inspirar uma cultura de proteção 
de dados em sua organização. Serão abordadas as áreas mais críticas e as práticas 
indispensáveis para garantir a efetiva proteção de dados pessoais. 
O curso está dividido em quatro módulos. 
• Módulo 1: O Papel Estratégico do Encarregado à Proteção da Privacidade; 
• Módulo 2: Orientando sobre Gestão da Privacidade; 
• Módulo 3: Orientando a Área de Tecnologia da Informação; 
• Módulo 4: Orientando a Área de Gestão de Pessoas.
Pronto(a) para iniciar? Então, continue a leitura e bons estudos!
Apresentação e Boas-vindas
https://youtu.be/I0xgfMU4zRw
https://youtu.be/I0xgfMU4zRw
6Enap Fundação Escola Nacional de Administração Pública
Módulo
 O Papel Estratégico do
 Encarregado à Proteção da
Privacidade1
Neste módulo, você começará sua trajetória rumo à compreensão do papel do 
encarregado na LGPD. A Lei Geral de Proteção de Dados representa um divisor de 
águas na regulamentação da privacidade e proteção de dados pessoais no Brasil, 
alinhando o país às práticas globais de segurança e privacidade. 
Com diretrizes claras para o tratamento de dados pessoais, a LGPD destaca a figura 
do encarregado – também conhecido internacionalmente como Data Protection 
Officer (DPO). Este papel é fundamental na estrutura de governança de dados 
das organizações, agindo como um elo fundamental entre os titulares dos dados, 
a Autoridade Nacional de Proteção de Dados (ANPD) e o próprio controlador dos 
dados. 
A seguir, você conhecerá as atribuições do encarregado no Brasil, comparando-as 
com outros países para entender como esse profissional contribui para a promoção 
de uma cultura de conformidade e proteção de dados. 
Bons estudos!
Unidade 1: Atividades do Encarregado na LGPD no Brasil e 
no Mundo 
Objetivo de aprendizagem
Ao final da unidade, você deverá ser capaz de resumir as atividades a serem exercidas 
pelo encarregado junto às diversas áreas organizacionais. 
 
Enap Fundação Escola Nacional de Administração Pública 7
A Lei Geral de Proteção de Dados do Brasil estabelece uma série de responsabilidades 
específicas para o encarregado pelo tratamento de dados pessoais. Esse papel é 
crucial para a conformidade das organizações com a legislação e abrange várias 
atividades detalhadas, principalmente em seu Artigo 41: 
A efetiva proteção de dados pessoais depende de um processo trabalhoso de 
mudança cultural em diversas áreas da organização. A área de Tecnologia, por 
exemplo, domina os procedimentos de segurança da informação (controles de 
acesso, criptografiasFreepik (2024).
O cenário hipotético de vazamento de dados, provocado pelo uso de uma ferramenta 
de IA que processa dados pessoais fora do país, sem as devidas precauções, pode 
configurar uma violação da LGPD. Isso se deve à potencial falta de garantias de 
que o processamento de dados no exterior siga os níveis de proteção exigidos pela 
legislação brasileira. 
Você chegou ao final desta unidade de estudo. Caso ainda tenha dúvidas, reveja o 
conteúdo e se aprofunde nos temas propostos. Até a próxima!
Enap Fundação Escola Nacional de Administração Pública 57
BRASIL. Lei nº 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados 
Pessoais (LGPD). Brasília, DF: Presidência da República, 2018. Disponível em: https://
www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm. Acesso em: 28 
set. 2024. 
FREEPIK COMPANY. [Banco de Imagens]. Freepik, Málaga, 2024. Disponível em: 
https://www.freepik.com/. Acesso em: 28 set. 2024. 
SOLOVE, D. J. Understanding Privacy. Cambridge: First Harvard University Press 
paperback edition, 2009. 
Referências 
https://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm
https://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm
58Enap Fundação Escola Nacional de Administração Pública
Glossário
N°: Termo: Definição / significado: 
1 Backup 
Cópia de segurança de dados armazenados, criada para prevenir a perda 
de informações importantes em caso de falha de sistema ou outros 
incidentes. 
2 Chat 
Sistema de comunicação em tempo real na internet, permitindo a troca 
de mensagens instantâneas entre usuários em uma interface específica 
ou aplicativo. 
Enap Fundação Escola Nacional de Administração Pública 59
Unidade 2: Leis Setoriais Brasileiras
Objetivo de aprendizagem
Ao final da unidade, você deverá ser capaz de reconhecer as leis setoriais brasileiras 
aplicadas à proteção de dados. 
 
Em um cenário onde a proteção de dados pessoais se torna cada vez mais essencial, 
a LGPD surge como um divisor de águas na regulamentação da privacidade no Brasil. 
Sua efetividade é amplificada quando integrada a uma série de outras leis setoriais. 
A Lei Geral de Proteção de Dados (LGPD) representa um marco na regulamentação 
da privacidade e proteção de dados no Brasil, estabelecendo diretrizes claras para 
o tratamento de dados pessoais. No entanto, a eficácia desta legislação não se dá 
isoladamente, mas em conjunto com leis setoriais que abordam aspectos específicos da 
proteção de dados e da privacidade nas mais diversas áreas, desde a internet até a saúde 
e o direito penal. A integração da LGPD com estas leis setoriais destaca a complexidade e 
a abrangência da proteção de dados no contexto brasileiro, exigindo dos encarregados 
uma compreensão profunda tanto da LGPD quanto das especificidades setoriais. 
A seguir, você irá conhecer outras legislações que se entrelaçam à LGPD para formar 
uma robusta rede de proteção de dados.
Estabelece princípios, garantias, direitos e deveres para o uso da internet no 
Brasil, incluindo disposições sobre privacidade e proteção de dados. 
Tipifica delitos informáticos e fortalece a segurança dos dados pessoais 
contra acessos e divulgações não autorizadas. 
Proteção de dados pessoais dos consumidores como parte dos seus 
direitos básicos.
Marco Civil da Internet (Lei nº 12.965/2014)
Lei Carolina Dieckmann (Lei nº 12.737/2012)
Código de Defesa do Consumidor (CDC)
2.1 Leis Setoriais Brasileiras
60Enap Fundação Escola Nacional de Administração Pública
A atuação do encarregado pela proteção de dados se torna ainda mais crucial 
neste cenário multifacetado. Ele deve não apenas garantir a conformidade com a 
LGPD, mas também navegar pelo complexo sistema de leis setoriais, assegurando 
que a organização respeite todas as normativas aplicáveis. Isso envolve desde a 
adequação dos processos de tratamento de dados à identificação e mitigação de 
riscos específicos de cada setor. 
Essa abordagem integrada e abrangente é fundamental para que a proteção de 
dados pessoais no Brasil seja efetiva, refletindo não apenas o cumprimento de 
obrigações legais, mas também a valorização da privacidade como um direito 
fundamental dos cidadãos. 
Protege informações relativas a menores de idade. 
Reforça essa rede de proteção, incluindo expressamente a proteção de dados 
pessoais entre os direitos e garantias fundamentais e fixando a competência 
privativa da União para legislar sobre o tema. Esta emenda solidifica a base 
constitucional para a LGPD e outras leis relacionadas à proteção de dados. 
Também contribui para a proteção da privacidade e dos dados pessoais, 
especialmente no que se refere aos direitos da personalidade. O Art. 21, 
por exemplo, resguarda a vida privada da pessoa natural, reiterando o 
compromisso do ordenamento jurídico com a proteção da privacidade. 
Aborda a invasão de dispositivos informáticos alheios (Art. 154-A), 
estabelecendo penalidades para a violação de dados pessoais. 
Legislações voltadas para a saúde
Exemplos como a Resolução CFM nº 1.821/2007 e a Portaria nº 2.073/2011 
do Ministério da Saúde regulamentam a proteção de dados no contexto da 
prestação de serviços de saúde. 
Estatuto da Criança e do Adolescente (Lei nº 8.069/1990)
Emenda Constitucional nº 115
Código Civil de 2002
Código Penal
Enap Fundação Escola Nacional de Administração Pública 61
Sugere-se, portanto, que o leitor dedique tempo para ler e se aprofundar nas 
legislações citadas neste texto, visando uma compreensão ampla e detalhada sobre 
como cada uma contribui para a construção de um ambiente seguro e respeitoso 
em relação à privacidade e aos dados pessoais no Brasil. 
O tratamento de dados pessoais só é possível – considerado lícito – se realizado 
sob condições específicas como, por exemplo, para execução de políticas públicas 
ou o cumprimento de obrigações legais e regulatórias. Em outras palavras, não é 
permitido processar dados pessoais sem aplicação de alguma “hipótese” elencada 
no Artigo 7º da LGPD. 
Mesmo quando o tratamento de dados pessoais se dá para execução de políticas 
públicas, é fundamental que se continue a observar os princípios da LGPD, como a 
As hipóteses de tratamento de dados pessoais estabelecidas na LGPD são cruciais 
para garantir a efetividade do direito à privacidade e delinear o escopo de sua 
aplicabilidade prática. 
2.2 Hipóteses de Tratamento de Dados Pessoais (Art. 7º)
Fonte: Freepik (2024).
A análise destas hipóteses é essencial para assegurar tanto a 
proteção dos direitos fundamentais de liberdade e de privacidade 
quanto a possibilidade de realização de atividades que atendam 
ao interesse público. 
62Enap Fundação Escola Nacional de Administração Pública
finalidade, a necessidade, a transparência, entre outros. Isso garante que os direitos 
dos titulares dos dados sejam respeitados e que haja uma gestão de dados pessoais 
responsável e alinhada com os valores de proteção à privacidade e à liberdade 
individual. 
Podem ocorrer outras situações excepcionais que passem a exigir o “consentimento 
do titular”. Conheça quais são elas a seguir.
Quando um órgão público deseja utilizar dados pessoais coletados para uma 
finalidade específica em uma nova finalidade que não esteja diretamente 
relacionada às suas atribuições legais ou à execução de políticas públicas, o 
consentimento do titular dos dados pode ser requerido. 
Embora a LGPD permita o tratamento de dados pessoais sensíveis sem o 
consentimento do titular em certas circunstâncias, como para a proteção 
da vida ou tutela da saúde, teoricamente, se ocorrerem situações em que 
dados pessoais sensíveis de saúde não satisfaçam as condições previstas, o 
consentimento expresso do titular também será necessário. 
Se órgãos públicos realizarem pesquisas que vão além de suas finalidades 
públicas legítimas ou que não estejam claramente relacionadas à execução 
de políticas públicas, o consentimento dos titulares dos dados pode ser 
necessário, especialmentese a pesquisa envolver a coleta de dados sensíveis 
ou potencialmente invasivos.
O setor público, ao implementar novas tecnologias ou projetos piloto que 
envolvam o tratamento de dados pessoais e cujos impactos na privacidade 
dos cidadãos ainda não estejam totalmente claros ou regulamentados, pode 
necessitar do consentimento dos titulares para garantir a legalidade e a ética 
do tratamento (processamento de dados pessoais).
Uso de Dados para Fins não Previstos Originalmente
Tratamento de Dados Pessoais Sensíveis sem Previsão Legal Específica 
Atividades de Pesquisa que Excedam as Finalidades Públicas Legítimas 
Projetos Piloto ou Inovações Tecnológicas 
Enap Fundação Escola Nacional de Administração Pública 63
Quando a administração pública oferece programas voluntários, serviços 
adicionais ou benefícios que requerem o tratamento de dados pessoais e que 
não se enquadram nas obrigações legais ou na execução de políticas públicas, 
o consentimento pode ser necessário para participação dos cidadãos.
Programas Voluntários ou Serviços Adicionais
É importante destacar que o consentimento, quando necessário, deve ser obtido 
de forma livre, informada e inequívoca, assegurando que os titulares dos dados 
compreendam para quais finalidades seus dados serão utilizados. Além disso, a 
LGPD enfatiza a importância da transparência e da possibilidade de revogação do 
consentimento a qualquer momento, reforçando o compromisso com a proteção 
dos direitos fundamentais de liberdade e de privacidade dos cidadãos. 
Que bom que você chegou até aqui! Agora é a hora de testar seus conhecimentos. 
Para isso, acesse o exercício avaliativo disponível no ambiente virtual. Bons estudos! 
64Enap Fundação Escola Nacional de Administração Pública
BRASIL. Lei nº 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados 
Pessoais (LGPD). Brasília, DF: Presidência da República, 2018. Disponível em: https://
www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm. Acesso em: 28 
set. 2024. 
FREEPIK COMPANY. [Banco de Imagens]. Freepik, Málaga, 2024. Disponível em: 
https://www.freepik.com/. Acesso em: 28 set. 2024. 
Referências 
https://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm
https://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm
	Unidade 1: Atividades do Encarregado na LGPD no Brasil e no Mundo 
	1.1 A Atividade de Orientar 
	1.2. Terminologia "Encarregado" versus "DPO" 
	1.3 Comparação das Atividades do Encarregado no Brasil (Art. 41 §2º da LGPD) em Relação aos DPOs de Outros Países 
	Referências 
	Unidade 2: Posicionamento Hierárquico do Encarregado LGPD
	2.1 Impactos do "Empoderamento" do Encarregado para Execução das Atividades Previstas na LGPD
	2.2 Papel do Encarregado LGPD para a Gestão e para Governança
	Referências 
	Unidade 1: Gestão da Privacidade
	1.1 Diferenciando Privacidade de Proteção de Dados 
	1.2 Diferenciando Dado Pessoal de Informação 
	1.3 Grupos de Atividades que Causam Danos à Privacidade 
	1.3 Grupos de Atividades que Causam Danos à Privacidade 
	Referências 
	Unidade 2: Aspectos Práticos da Gestão de Privacidade
	2.1 Níveis de Maturidade Organizacional Referente à Privacidade 
	2.2 Princípios da LGPD (Art. 6º) Aplicáveis ao Tratamento de Dados Pessoais 
	Referências 
	Unidade 1: Gestão de Privacidade versus Gestão de Segurança da Informação 
	1.1 Ciclo de Vida dos Dados 
	1.2 Gestão da Privacidade versus Gestão da Segurança da Informação
	Referências 
	Unidade 2: Integrando a Privacidade nas Atividades de Tecnologia
	2.1 Inventário de Dados  
	2.2 Aplicação dos Mecanismos de Consentimento
	2.3 Integração da Proteção de Dados "by Design/by Default" no Desenvolvimento de Sistemas Computacionais; 
	Referências 
	Unidade 1: Gestão de Riscos Aplicada à Gestão de Pessoas
	1.1 Desfazendo a Confusão do Conceito de "Risco" 
	1.2 Gestão de Riscos de Privacidade aplicada à Gestão de Pessoas
	1.3 Categorias de Solove para Cálculo do Risco de Privacidade
	1.4 Riscos Relacionados à Inteligência Artificial no Tratamento de Dados Pessoais 
	Referências 
	2.1 Leis Setoriais Brasileiras
	2.2 Hipóteses de Tratamento de Dados Pessoais (Art. 7º)
	Referênciase cópias de segurança), que é um universo bastante diferente 
da proteção de dados pessoais. Cabe ao encarregado alertar e orientar sobre 
esse novo conjunto de cuidados, desde a etapa de concepção de novos sistemas 
informacionais. 
O Encarregado como orientador central.
Elaboração: CEPED/UFSC (2024).
[...] III - orientar os funcionários e os contratados da 
entidade a respeito das práticas a serem tomadas 
em relação à proteção de dados pessoais [...] (Brasil, 
2018, Art. 41) 
1.1 A Atividade de Orientar 
8Enap Fundação Escola Nacional de Administração Pública
No Brasil e em Portugal, o termo "encarregado" é adotado, enquanto em muitos 
outros países utiliza-se a designação "Data Protection Officer" (DPO). 
Portugal 
Em Portugal, por exemplo, a Lei nº 58/2019, de 8 de agosto de 2019, incorpora para 
a ordem jurídica portuguesa as disposições do Regulamento Geral sobre a Proteção 
de Dados (GDPR) da União Europeia: 
União Europeia 
Sob o GDPR, o termo “DPO” é predominante e de nomeação obrigatória para 
organizações que realizam tratamentos de dados pessoais em larga escala, realizam 
monitoramento sistemático de escalas largas dos titulares de dados ou tratam 
categorias especiais de dados. Essa obrigatoriedade visa assegurar uma supervisão 
efetiva do cumprimento das normas de proteção de dados, garantindo que as 
organizações tenham um responsável claro por fomentar a cultura de proteção de 
dados, monitorar a conformidade com o GDPR, oferecer aconselhamento e atuar 
como ponto de contato entre a organização e as autoridades regulatórias. 
1.2 Terminologia "Encarregado" versus "DPO" 
[...] são funções do encarregado de proteção de dados: 
a) Assegurar a realização de auditorias, quer 
periódicas, quer não programadas; 
b) Sensibilizar os utilizadores para a importância 
da deteção atempada de incidentes de segurança e 
para a necessidade de informar imediatamente o 
responsável pela segurança; 
c) Assegurar as relações com os titulares dos dados 
nas matérias abrangidas pelo RGPD e pela legislação 
nacional em matéria de proteção de dados (Portugal, 
2019). 
Enap Fundação Escola Nacional de Administração Pública 9
Artigo 39 
Funções do encarregado da proteção de dados 
1. O encarregado da proteção de dados tem, pelo menos, as seguintes funções: 
a) Informa e aconselha o responsável pelo tratamento ou o subcontratante, 
bem como os trabalhadores que tratem os dados, a respeito das suas obrigações 
nos termos do presente regulamento e de outras disposições de proteção de 
dados da União ou dos Estados-Membros; 
b) Controla a conformidade com o presente regulamento, com outras disposições 
de proteção de dados da União ou dos Estados-Membros e com as políticas 
do responsável pelo tratamento ou do subcontratante relativas à proteção de 
dados pessoais, incluindo a repartição de responsabilidades, a sensibilização 
e formação do pessoal implicado nas operações de tratamento de dados, e as 
auditorias correspondentes; 
c) Presta aconselhamento, quando tal lhe for solicitado, no que respeita à 
avaliação de impacto sobre a proteção de dados e controla a sua realização nos 
termos do artigo 35; 
d) Coopera com a autoridade de controle; 
e) Ponto de contato para a autoridade de controlo sobre questões relacionadas 
com o tratamento, incluindo a consulta prévia a que se refere o artigo 36.o, e 
consulta, sendo caso disso, esta autoridade sobre qualquer outro assunto. 
2. No desempenho das suas funções, o encarregado da proteção de dados tem 
em devida consideração os riscos associados às operações de tratamento, tendo 
em conta a natureza, o âmbito, o contexto e as finalidades do tratamento (União 
Europeia, 2016, Art. 39, grifo nosso). 
10Enap Fundação Escola Nacional de Administração Pública
Independentemente da terminologia, o ob-
jetivo é promover uma governança eficaz de 
dados que proteja os direitos dos indivíduos 
e assegure que as organizações operem de 
forma transparente e responsável. A nome-
ação de um DPO ou encarregado demons-
tra um compromisso organizacional com a 
conformidade legal e a proteção da privaci-
dade, servindo como um pilar fundamental 
para construir a confiança dos stakeholders 
e dos titulares dos dados na era digital. 
Fonte: Freepik (2024).
A importância de se comparar as atividades exercidas pelo encarregado no Brasil 
com seu equivalente em diversos outros países vai além da mera análise técnica ou 
regulatória. 
Este exercício de comparação não visa esgotar o tema em suas múltiplas dimensões, 
mas dar início a um processo de reflexão crítica sobre como diferentes jurisdições 
abordam a responsabilidade pela proteção de dados, levando a possíveis 
aprimoramentos das práticas nas organizações públicas brasileiras. Veja, a seguir, 
alguns exemplos de atribuições do encarregado em diferentes países.
1.3 Comparação das Atividades do Encarregado no Brasil (Art. 41 §2º 
da LGPD) em Relação aos DPOs de Outros Países 
Legislação: Lei Geral de Proteção de Dados (LGPD) 
Atribuições: 
• Receber e responder a reclamações; 
• Comunicar-se com a ANPD; 
• Orientar os funcionários e contratados sobre práticas de 
proteção de dados; 
• Realizar outras tarefas definidas pelo controlador ou pela ANPD. 
Brasil 
https://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm
Enap Fundação Escola Nacional de Administração Pública 11
Legislação: Personal Information Protection and Electronic Documents Act 
(PIPEDA) 
Atribuições dos indivíduo(s) designado(s): 
• Supervisionar o compliance organizacional; 
• Desenvolver e implementar procedimentos para proteger 
informações pessoais; 
• Treinar e comunicar a equipe sobre políticas e práticas; 
• Estabelecer procedimentos para receber e responder a 
reclamações e perguntas; 
• Desenvolver informações públicas sobre as políticas da 
organização. 
Legislação: General Data Protection Regulation (GDPR) 
Atribuições do DPO: 
• Informar e aconselhar sobre os requisitos de proteção de 
dados; 
• Monitorar a conformidade; 
• Aconselhar a organização sobre avaliações de impacto de 
proteção de dados; 
• Cooperar com a Autoridade de Proteção de Dados (DPA); 
• Atuar como ponte de comunicação entre Titulares e a DPA.
Canadá 
Estados Membros da União Europeia (27 países) 
https://laws-lois.justice.gc.ca/eng/acts/P-8.6/page-7.html#h-417659
https://laws-lois.justice.gc.ca/eng/acts/P-8.6/page-7.html#h-417659
https://eur-lex.europa.eu/legal-content/PT/TXT/?uri=celex%3A32016R0679
12Enap Fundação Escola Nacional de Administração Pública
Legislação: Ley de Protección de Datos Personales
 
Atribuições do Encarregado: 
• Implementar medidas técnicas de segurança; 
• Garantir a conformidade com a legislação uruguaia; 
• Aconselhar e orientar; 
• Propor medidas para estar em conformidade com os 
regulamentos e normas internacionais sobre proteção de dados; 
• Comunicar-se com a URCDP (autoridade de proteção de dados). 
Uruguai 
Embora a LGPD não detalhe explicitamente a autonomia funcional, a natureza das 
responsabilidades descritas no Art. 41 da Lei implica a necessidade de o encarregado 
operar com um certo grau de independência. Isso é essencial para que possa executar 
suas funções de maneira imparcial, sem conflitos de interesse, especialmente ao 
atuar como intermediário entre o controlador de dados e a autoridade reguladora 
ou os titulares dos dados. 
Você chegou ao final desta unidade de estudo. Caso ainda tenha dúvidas, reveja o 
conteúdo e se aprofunde nos temas propostos. Até a próxima!
https://www.gub.uy/unidad-reguladora-control-datos-personales/comunicacion/publicaciones/guia-para-cumplimiento-obligaciones-entidades-extranjeras/guia-para-2
Enap Fundação Escola Nacional de Administração Pública 13
AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS. Guia orientativo para 
definições dos agentes de tratamento de dados pessoais e do encarregado. 
Brasília, DF, 2023. 23 p. Disponível em: https://www.gov.br/anpd/pt-br/documentos-
e-publicacoes/guia-agentes-de-tratamento-e-encarregado-versao-1-0-defeso-eleitoral.pdf. Acesso em: 25 set. 2024. 
BRASIL. Lei nº 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados 
Pessoais (LGPD). Brasília, DF: Presidência da República, 2018. Disponível em: https://
www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm. Acesso em: 25 
set. 2024. 
FREEPIK COMPANY. [Banco de Imagens]. Freepik, Málaga, 2024. Disponível em: 
https://www.freepik.com/. Acesso em: 25 set. 2024. 
PORTUGAL. Lei n.º 58/2019, de 08 de agosto. Assegura a execução, na ordem 
jurídica nacional, do Regulamento (UE) 2016/679 do Parlamento e do Conselho, de 
27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao 
tratamento de dados pessoais e à livre circulação desses dados. Lisboa: Procuradoria 
Distrital-Geral de Lisboa, 2019. Disponível em: https://www.pgdlisboa.pt/leis/lei_
mostra_articulado.php?nid=3118&tabela=leis&nversao=&so_miolo=. Acesso em: 25 
set. 2024. 
UNIÃO EUROPEIA. Regulamento (UE) 2016/679 do Parlamento Europeu e do 
conselho de 27 de abril de 2016. Bruxelas, 2016. Disponível em: https://eur-lex.
europa.eu/legal-content/PT/TXT/PDF/?uri=CELEX:32016R0679. Acesso em: 25 set. 
2024.
Referências 
https://www.gov.br/anpd/pt-br/documentos-e-publicacoes/guia-agentes-de-tratamento-e-encarregado-versao-1-0-defeso-eleitoral.pdf
https://www.gov.br/anpd/pt-br/documentos-e-publicacoes/guia-agentes-de-tratamento-e-encarregado-versao-1-0-defeso-eleitoral.pdf
https://www.gov.br/anpd/pt-br/documentos-e-publicacoes/guia-agentes-de-tratamento-e-encarregado-versao-1-0-defeso-eleitoral.pdf
https://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm
https://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm
https://www.pgdlisboa.pt/leis/lei_mostra_articulado.php?nid=3118&tabela=leis&nversao=&so_miolo=
https://www.pgdlisboa.pt/leis/lei_mostra_articulado.php?nid=3118&tabela=leis&nversao=&so_miolo=
https://eur-lex.europa.eu/legal-content/PT/TXT/PDF/?uri=CELEX:32016R0679
https://eur-lex.europa.eu/legal-content/PT/TXT/PDF/?uri=CELEX:32016R0679
14Enap Fundação Escola Nacional de Administração Pública
Glossário
N°: Termo: Definição / significado: 
1 Compliance 
É o conjunto de ações e medidas adotadas por uma organização para 
garantir que suas atividades estejam em conformidade com as leis, 
regulamentos, normas e políticas internas e externas aplicáveis. No 
contexto da LGPD, compliance significa assegurar que o tratamento de 
dados pessoais esteja de acordo com a lei. 
2 DPO Data Protection Officer 
3 GDPR General Data Protection Regulation
4 Stakeholders
São todas as partes interessadas ou afetadas pelas atividades de uma 
organização. No contexto da LGPD, os stakeholders incluem os titulares 
de dados (pessoas cujos dados são tratados), a empresa que trata os 
dados, os funcionários, parceiros de negócios, autoridades de proteção 
de dados e a sociedade em geral.
5 Conformidade
É o estado de estar em acordo com as leis, regulamentos, normas e 
políticas aplicáveis. No contexto da LGPD, a conformidade significa que 
uma organização está tratando os dados pessoais de acordo com as 
regras estabelecidas pela lei.
6 Controlador
Pessoa física ou jurídica responsável por tomar as decisões relativas ao 
tratamento de dados pessoais, incluindo a finalidade e os meios pelos 
quais os dados são processados. Citado no Artigo 5º, inciso VI.
Enap Fundação Escola Nacional de Administração Pública 15
Unidade 2: Posicionamento Hierárquico do Encarregado 
LGPD
Objetivo de aprendizagem
Ao final da unidade, você deverá ser capaz de reconhecer a importância do apoio da 
Alta Administração na função orientadora do encarregado para proteção dos direitos 
fundamentais de privacidade. 
 
O Artigo 41, §2º, da LGPD não menciona explicitamente a independência ou 
necessidade de apoio da alta administração, mas a natureza e a amplitude das 
responsabilidades citadas no artigo sugerem que ele necessita operar com um 
grau significativo de autonomia e ter o apoio para desempenhar suas funções 
eficazmente. 
2.1 Impactos do "Empoderamento" do Encarregado para Execução 
das Atividades Previstas na LGPD
Fonte: Freepik (2024).
16Enap Fundação Escola Nacional de Administração Pública
Embora não mencionado explicitamente, este artigo da LGPD sugere que a efetividade 
do Encarregado depende de um ambiente em que a governança de dados seja 
priorizada pela alta administração. Isso implica um sistema em que o encarregado, 
com o devido suporte, desempenha um papel estratégico na orientação das diversas 
áreas da organização rumo à conformidade com a LGPD. 
A tecnologia de gestão de pessoas chamada “Empowerment” minimiza a hierarquia 
valorizando (e motivando) quem está em contato direto com a base da pirâmide 
organizacional (Araújo, 2017). Nesse sentido, o apoio da Alta Administração tem 
potencial para impactar positivamente a execução das atividades previstas para o 
Encarregado executar. Taieb-Jaskierowicz e Stenz (2018) complementam: 
Para conhecer melhor o que significa Empowerment e os benefícios dessa abordagem, 
ouça o podcast a seguir: 
O Artigo 50 da LGPD aborda a governança em privacidade, 
exigindo que as organizações adotem medidas eficazes e capazes 
de comprovar a observância e o cumprimento das normas de 
proteção de dados, incluindo políticas de privacidade claras, 
a realização de análises sobre as operações de tratamento de 
dados e a adequação dessas operações às normas de proteção 
de dados.
“[...] Em suma, não importa a quem o DPO se reporte, 
é sua missão tornar-se visível em todos os níveis da 
organização e garantir que seu gerente, seja quem for, 
apoie proativamente o esforço para a conformidade 
com a proteção de dados exigida pela lei (Taieb-
Jaskierowicz; Stenz, 2018)”.
Podcast: Empoderamento do Encarregado para 
Execução das Atividades Previstas na LGPD
https://open.spotify.com/embed/episode/5DXmHOESJkmL93bqZF6CSY?utm_source=generator
https://open.spotify.com/embed/episode/5DXmHOESJkmL93bqZF6CSY?utm_source=generator
Enap Fundação Escola Nacional de Administração Pública 17
Em resumo, o encarregado necessita ter apoio superior para agir de forma eficaz e 
conseguir se apresentar em todos os espaços organizacionais que necessitam de 
orientações às melhores práticas destinadas à proteção de dados. 
O Encarregado pela Proteção de Dados, conforme estabelecido pela LGPD, 
desempenha uma função central tanto na gestão da proteção de dados quanto na 
governança corporativa. Ele vai além da simples conformidade para se tornar um 
pilar essencial na estratégia e na operação de uma organização. 
Para aprofundar a compreensão do papel multifacetado do encarregado, veja como 
ele atua tanto na gestão da proteção de dados quanto na governança da organização. 
2.2 Papel do Encarregado LGPD para a Gestão e para Governança
O Encarregado atua na sensibilização de áreas de gestão que fazem o 
tratamento de dados pessoais e dados pessoais sensíveis para o correto 
cumprimento das disposições legais, estabelecendo uma cultura de proteção 
de dados e educando os colaboradores sobre as melhores práticas. Por 
exemplo, orientando a área de tecnologia nas práticas de “Privacy by Design” 
desde a concepção dos sistemas computacionais e orientando que sejam 
adotadas medidas de segurança, técnicas e administrativas aptas a proteger 
os dados pessoais de acessos não autorizados e de situações acidentais ou 
ilícitas de destruição, perda, alteração, comunicação ou difusão (LGPD, Art. 
46, 2018). 
Gestão da Proteção de Dados
Você sabe a diferença conceitual entre governança e gestão? 
Confira a seguir:
18Enap Fundação Escola Nacional de Administração Pública
A efetividade do encarregado na promoção de uma governança sólida de dados 
está intrinsecamente ligada à sua autonomia (empoderamento) e ao apoio que 
recebe da alta administração. Isso envolve acesso direto aos decisores chave e a 
capacidade de influenciar políticas e práticas corporativas relativas à privacidade e 
proteção de dados. 
Que bomque você chegou até aqui! Agora é a hora de testar seus conhecimentos. 
Para isso, acesse o exercício avaliativo disponível no ambiente virtual. Bons estudos! 
O Artigo 50 da LGPD destaca que as organizações poderão formular regras 
de boas práticas e de governança, que obviamente devem implementar 
processos eficientes de proteção de dados, incluindo resposta a incidentes 
e processos de comunicação com titulares e autoridades. O recebimento 
de comunicações da ANPD e a respectiva adoção de providência deve 
ser realizado pelo encarregado (Art. 41, §2º, II). Novamente, embora o 
encarregado não seja mencionado diretamente, sua função consultiva é 
essencial para o desenvolvimento e a implementação dessas práticas de 
governança, porque é o agente que se especializou na legislação, normas e 
práticas de proteção de dados pessoais. 
Governança Corporativa
Enap Fundação Escola Nacional de Administração Pública 19
ARAÚJO, L. C. G. Organização, Sistemas e Métodos. 4. ed. v. 2. São Paulo: Atlas, 
2017. 
CHIAVENATO, I. Comportamento Organizacional: A dinâmica do sucesso nas 
organizações. 3 ed. Barueri: Editora Manole Ltda, 2014. 
FREEPIK COMPANY. [Banco de Imagens]. Freepik, Málaga, 2024. Disponível em: 
https://www.freepik.com/. Acesso em: 25 set. 2024. 
LACOMBE, F.; HEILBORN, G. Administração princípios e tendências. São Paulo: 
Editora Saraiva, 2008. 
TAIEB, S.; STENZ, C. Determining the Reporting Line of the DPO. International 
Association of Privacy Professionals (IAPP), 22 maio 2018. Disponível em: https://
iapp.org/news/a/determining-the-reporting-line-of-the-dpo/. Acesso em: 25 set. 
2024. 
Referências 
https://iapp.org/news/a/determining-the-reporting-line-of-the-dpo/
https://iapp.org/news/a/determining-the-reporting-line-of-the-dpo/
20Enap Fundação Escola Nacional de Administração Pública
Glossário
N°: Termo: Definição / significado: 
1 Empowerment 
Empowerment é uma tecnologia de gestão de pessoas que promove a 
descentralização de poder e a autonomia dos colaboradores, permitindo 
maior participação nas decisões e objetivos de trabalho. 
Enap Fundação Escola Nacional de Administração Pública 21
 Módulo
 Orientando sobre Gestão da
Privacidade2
Neste módulo, será explorada a gestão da privacidade, a fim de compreender seus 
conceitos-chave. Serão abordados os tipos de danos à privacidade, os níveis de 
maturidade organizacional nesse aspecto e a aplicação prática dos princípios da 
LGPD no tratamento de dados pessoais. 
A compreensão dos conceitos de privacidade e proteção de dados é fundamental 
para as atividades orientativas do encarregado. Os termos estão interligados, mas 
não são sinônimos. 
A privacidade, conforme articulado por Carissa Véliz (2020), é uma forma de poder: 
Privacidade também se refere ao direito de manter aspectos da vida pessoal longe 
do olhar e do julgamento alheio, seja na esfera digital ou física. Esse conceito abrange 
a capacidade de controlar informações sobre nós mesmos e decidir quando, como e 
a quem essas informações podem ser reveladas ou processadas. 
Unidade 1: Gestão da Privacidade
Objetivo de aprendizagem
Ao final da unidade, você deverá ser capaz de diferenciar a gestão da privacidade, o valor 
da privacidade e as dimensões do dano à privacidade. 
 
1.1 Diferenciando Privacidade de Proteção de Dados 
"Privacidade é poder. A ausência de privacidade mata 
mais que o terrorismo" (Véliz, 2020). 
22Enap Fundação Escola Nacional de Administração Pública
Você sabe a diferença entre “dado pessoal” e “informação”? Confira: 
Alguns exemplos de mecanismos que a LGPD traz para que os titulares controlem 
por si mesmos sua privacidade (autodeterminação informativa – Art. 2º, II, LGPD) 
são:
• o consentimento (LGPD, Art. 7º, I, 2018); 
• a finalidade (LGPD, Art. 9º, I, 2018); 
• a revogação do consentimento (LGPD, Art. 9º, §2º, 2018) etc.
1.2 Diferenciando Dado Pessoal de Informação 
Enquanto a privacidade é o direito de manter aspectos da nossa 
vida sob controle, longe do acesso não consentido, a proteção de 
dados fornece as ferramentas legais e técnicas para que esse 
direito seja respeitado e implementado. 
Fonte: Freepik (2024).
Enap Fundação Escola Nacional de Administração Pública 23
• Dado pessoal: a LGPD diz que “dado pessoal é a informação relacionada 
a pessoal natural identificada ou identificável” (LGPD, Art. 5º, I, 2018). 
• Informação: o termo "informação" pode abranger fatos gerais, 
estatísticas, ideias, opiniões até dados técnicos que podem, ou não, ter 
relação direta com indivíduos. 
Dentro do universo de informações, quando uma informação possui elementos 
relacionados a pessoa, então essa informação passa a ser classificada como “dado 
pessoal”. 
A definição é ampla e abrange uma vasta gama de informações desde o óbvio, como 
o nome, documentos de identidade, dados de contato, localização, informações 
financeiras, endereço, data de nascimento, até o menos óbvio, como endereços IP 
ou preferências de navegação na web. 
Na figura a seguir, você pode observar exemplos para “informação”, “dado pessoal” 
e “dado pessoal sensível”. Confira! 
Saber distinguir “dado pessoal” de “informação” é importante 
na atividade orientativa de áreas que fazem processamento 
intenso. Enquanto a informação em seu sentido amplo pode 
ser livremente coletada, processada e distribuída (desde que 
não infrinja outras leis), os dados pessoais são rigorosamente 
regulamentados para proteger a privacidade dos indivíduos. 
Vale lembrar que existe uma subcategoria de dados pessoais 
chamada de “dados pessoais sensíveis” que necessitam de 
maiores cuidados, conforme determinado na LGPD. 
24Enap Fundação Escola Nacional de Administração Pública
Daniel Solove (2009), um respeitado professor de Direito e autor, discute em suas 
obras o conceito de "Grupos de Violações à Privacidade", um termo que busca 
abordar as diversas maneiras pelas quais a privacidade das pessoas pode ser 
comprometida na era digital. 
Solove argumenta que a privacidade não deve ser vista apenas como uma questão 
de dados pessoais sendo expostos sem consentimento ou base legal justificando o 
tratamento (processamento), mas também como uma série de práticas e ações que 
podem afetar a autonomia, dignidade ou a liberdade individual. 
No seu livro "Understanding Privacy", o autor propõe uma taxonomia para entender 
e categorizar as diferentes formas de violações à privacidade em quatro grandes 
grupos, conforme demonstrado na imagem a seguir. 
Exemplos de “informação”, “dado pessoal” e “dado pessoal sensível".
Elaboração: CEPED/UFSC (2024).
1.3 Grupos de Atividades que Causam Danos à Privacidade 
Enap Fundação Escola Nacional de Administração Pública 25
Grupos de Violações à Privacidade.
Fonte: Solove (2009). Elaboração: CEPED/UFSC (2024).
A compreensão mais detalhada desses quatro grupos é crucial para entender os 
desafios contemporâneos da privacidade, oferecendo uma estrutura para pensar 
sobre como nossas informações pessoais são coletadas, usadas e compartilhadas 
no mundo digital. 
A seguir, assista a videoaula que apresenta o primeiro grupo de violação à privacidade: 
a coleta. 
Videoaula: Grupos de Violações à 
Privacidade: Coleta de Informações
https://youtu.be/Rb2UTZDXH6g
https://youtu.be/Rb2UTZDXH6g
https://youtu.be/Rb2UTZDXH6g
26Enap Fundação Escola Nacional de Administração Pública
Nesta segunda videoaula, você irá conhecer o segundo grupo de violação à 
privacidade: o processamento de informações. 
Agora, compreenda o terceiro grupo de violação à privacidade, segundo Solove 
(2009): a disseminação da informação. 
Por fim, nesta videoaula você irá conhecer o último grupo de violação à privacidade: 
a Invasão. 
Videoaula: Grupos de Violações à Privacidade: 
Processamento de Informações
Videoaula: Grupos de Violações à Privacidade:
Disseminação da Informação
Videoaula: Grupos de Violações à Privacidade: Invasão
Ryan Calo (2011) é professor associado na Universidade Washington School of Law 
e falasobre impactos que violações de privacidade podem ter sobre os indivíduos. 
Ele categoriza esses danos em dois grupos principais: "dano subjetivo" e "dano 
objetivo", cada um refletindo diferentes maneiras pelas quais a privacidade pode 
ser comprometida e suas consequências. 
A seguir, conheça melhor cada um desses grupos.
1.4 Dano Subjetivo e Dano Objetivo à Privacidade
O "dano subjetivo" refere-se às experiências pessoais, percepções e 
sentimentos de uma pessoa em relação à perda de privacidade. Esse tipo 
de dano é intrinsecamente ligado à sensação de desconforto, ansiedade ou 
violação que um indivíduo pode sentir quando sabe ou suspeita que sua 
privacidade foi invadida. Por exemplo, se alguém descobre que suas conversas 
privadas foram indevidamente escutadas ou que suas informações pessoais 
foram expostas sem consentimento, o impacto emocional e psicológico 
dessa descoberta constitui um dano subjetivo. Essa categoria de dano é 
altamente individual e pode variar significativamente de pessoa para pessoa, 
dependendo de seus valores, expectativas de privacidade e sensibilidade a 
tais invasões. 
Dano Subjetivo
https://youtu.be/xXTkItw_RkI
https://youtu.be/xXTkItw_RkI
https://youtu.be/xXTkItw_RkI
https://youtu.be/_JNdSFjI4fU
https://youtu.be/_JNdSFjI4fU
https://youtu.be/_JNdSFjI4fU
https://youtu.be/UO5lnYT_ezA
https://youtu.be/UO5lnYT_ezA
Enap Fundação Escola Nacional de Administração Pública 27
O "dano objetivo", por outro lado, diz respeito aos prejuízos concretos e 
mensuráveis resultantes de uma violação de privacidade. Isso inclui perdas 
financeiras, danos à reputação, discriminação e outras consequências 
tangíveis que podem ser diretamente atribuídas à invasão da privacidade. 
Por exemplo, se informações pessoais sensíveis, como dados bancários, 
são roubadas e utilizadas para cometer fraude ou roubo de identidade, os 
prejuízos financeiros sofridos pela vítima representam um dano objetivo. 
Dano Objetivo 
O conhecimento aprofundado sobre "dano subjetivo" e "dano objetivo" é crucial não 
apenas à prevenção de prejuízos, mas também como uma ferramenta poderosa de 
orientação e sensibilização das equipes sobre a importância de proteger os dados 
pessoais.
Entender e comunicar como as violações de privacidade afetam o bem-estar 
psicológico e a dignidade dos indivíduos (dano subjetivo), além dos prejuízos 
financeiros ou legais (dano objetivo), permite ao encarregado criar argumentos mais 
persuasivos e abrangentes. Essa abordagem enriquece a orientação e promove uma 
cultura organizacional que valoriza os aspectos tangíveis e intangíveis da privacidade. 
Você chegou ao final desta unidade de estudo. Caso ainda tenha dúvidas, reveja o 
conteúdo e se aprofunde nos temas propostos. Até a próxima!.
Fonte: Freepik (2024).
28Enap Fundação Escola Nacional de Administração Pública
CALO, M. R. The Boundaries of Privacy Harm. Indiana Law Journal, Indiana, v. 86, n. 
3, p. 1131 - 1162, 2011. Disponível em: https://www.repository.law.indiana. edu/ilj/
vol86/iss3/8. Acesso em: 26 set. 2024. 
FREEPIK COMPANY. [Banco de Imagens]. Freepik, Málaga, 2024. Disponível em: 
https://www.freepik.com/. Acesso em: 25 set. 2024. 
SOLOVE, D. J. Understanding Privacy. Cambridge: First Harvard University Press 
paperback edition, 2009. 
VÉLIZ, C. Privacy is Power: why and how you should take back control of your data. 
London: Penguin Books, 2020. 
Referências 
https://www.repository.law.indiana. edu/ilj/vol86/iss3/8
https://www.repository.law.indiana. edu/ilj/vol86/iss3/8
Enap Fundação Escola Nacional de Administração Pública 29
Glossário
N°: Termo: Definição / significado: 
1 IP 
IP (Internet Protocol) é um conjunto de regras que governam o formato de 
dados enviados através da internet ou de redes locais. Cada dispositivo 
conectado à internet tem um endereço IP semelhante ao número de 
cada casa em uma rua, para que o carteiro saiba onde entregar os 
pacotes (de dados). 
2 Cookie 
Pequeno arquivo de texto armazenado no navegador do internauta por 
um site para rastrear e lembrar informações sobre escolhas da interação 
do usuário com o site, facilitando uma experiência de navegação 
personalizada. 
3 Taxonomia 
Sistema de classificação que organiza conceitos ou entidades em grupos 
ou categorias baseadas em critérios comuns, facilitando a organização e 
a compreensão de informações complexas. 
30Enap Fundação Escola Nacional de Administração Pública
Unidade 2: Aspectos Práticos da Gestão de Privacidade
Objetivo de aprendizagem
Ao final da unidade, você deverá ser capaz de recordar aspectos da avaliação do nível 
de maturidade organizacional em privacidade e a aplicação dos princípios da LGPD no 
tratamento de dados pessoais. 
 
2.1 Níveis de Maturidade Organizacional Referente à Privacidade 
A avaliação da maturidade em privacidade é essencial para as organizações 
entenderem seu progresso na proteção de dados. 
A IAPP (International Association of Privacy Professionals) discute conceitos relacionados 
à gestão de programas de privacidade, incluindo a avaliação da maturidade 
organizacional em privacidade de dados. 
A Autoridade de Dados francesa CNIL (Comissão Nacional da Informática e das 
Liberdades) propõe um modelo de “Autoavaliação de maturidade na gestão da 
proteção de dados”, com cinco níveis de maturidade que variam desde a ausência 
de práticas de proteção de dados até a otimização contínua. Esse modelo ajuda as 
organizações a identificarem seu próprio nível de maturidade em privacidade 
e a determinarem ações para melhorar a gestão da proteção de dados . 
Para aprofundar seu conhecimento sobre esses modelos de maturidade, assista à 
videoaula a seguir: 
Videoaula: Mensurando a Maturidade Organizacional em Privacidade
2.2 Princípios da LGPD (Art. 6º) Aplicáveis ao Tratamento de Dados 
Pessoais 
Após avaliar o nível de maturidade organizacional em proteção de dados, o próximo 
passo é comparar as práticas existentes (ou a inexistência delas) com os princípios 
norteadores da LGPD. Essa comparação é fundamental para determinar quais 
processos necessitam ser iniciados, ampliados/especializados ou corrigidos. 
https://youtu.be/FiYDHgPTvIQ
https://youtu.be/FiYDHgPTvIQ
Enap Fundação Escola Nacional de Administração Pública 31
Os princípios do Art. 6º da LGPD formam a espinha dorsal para o tratamento de 
dados pessoais no Brasil, orientando como as informações dos indivíduos devem 
ser coletadas, processadas, armazenadas e compartilhadas. Aqui está um resumo 
desses princípios e suas aplicações práticas:
Finalidade: antes de coletar dados, a organização deve definir claramente 
porque os dados são necessários e comunicar isso aos indivíduos de forma 
transparente. Existe um processo formal para essa comunicação?
Adequação: o processamento dos dados (tratamento) deve ser compatível 
com as finalidades inicialmente informadas ao titular. Se, por exemplo, foi 
solicitado o e-mail pessoal para ser a chave de acesso em uma biblioteca 
pública, esse dado pessoal não poderia ser utilizado, por exemplo, para envio 
de propaganda de novos livros a partir do gosto de leitura detectado. 
Necessidade: também conhecido internacionalmente como princípio da 
minimização, complementa o princípio da adequação ao coletar a quantidade 
mínima de dados, ou apenas o necessário à finalidade especificada.
 
Livre Acesso: existem processos implementados que permitam aos titulares 
consultar seus dados pessoais de maneira simples e sem custos?
Qualidade dos Dados: com que facilidade o titular consegue solicitar a 
correção de seus dados? Qual o nível de burocracia existente?
Transparência: existe política de privacidade definida e divulgada informando 
como os dados são tratados?
 
Segurança: os sistemas de segurança da informação estão atualizados e 
são robustos e testados contra ataques hackers, acessos não autorizados ou 
vazamentos?
Prevenção: existe avaliação de riscos relacionados ao tratamento de dados 
para processos de mitigação?
 
Não discriminação:há garantias de que o tratamento de dados não resulte 
em discriminação racial, de gênero ou qualquer outra forma?
Responsabilização e prestação de contas: há manutenção de registros 
detalhados das atividades de tratamento de dados, incluindo medidas de 
segurança e compliance?
1
2
3
4
5
6
7
8
9
10
32Enap Fundação Escola Nacional de Administração Pública
A prática desses princípios representa uma abordagem proativa da organização, 
requerendo não apenas procedimentos específicos, mas também a existência ou 
construção de uma cultura organizacional que valorize e proteja a privacidade dos 
dados pessoais. É fundamental que essas diretrizes sejam integradas em todos os 
níveis da organização, desde a alta gestão até as áreas operacionais. 
Que bom que você chegou até aqui! Agora é a hora de testar seus conhecimentos. 
Para isso, acesse o exercício avaliativo disponível no ambiente virtual. Bons estudos! 
Enap Fundação Escola Nacional de Administração Pública 33
CNIL. Autoavaliação de maturidade na gestão da proteção de dados. França, 
2021. Disponível em: https://www.cnil.fr/sites/cnil/files/atoms/files/autoevaluation_
de_maturite_en_gestion_de_la_protection_des_donnees.pdf. Acesso em: 29 set. 
2024. 
DENSMORE, R. (org.). Privacy program management: tools for managing privacy 
within your organization. Portsmouth, 2019. 
FREEPIK COMPANY. [Banco de Imagens]. Freepik, Málaga, 2024. Disponível em: 
https://www.freepik.com/. Acesso em: 29 set. 2024. 
Referências 
https://www.cnil.fr/sites/cnil/files/atoms/files/autoevaluation_de_maturite_en_gestion_de_la_protection_des_donnees.pdf
https://www.cnil.fr/sites/cnil/files/atoms/files/autoevaluation_de_maturite_en_gestion_de_la_protection_des_donnees.pdf
34Enap Fundação Escola Nacional de Administração Pública
Glossário
N°: Termo: Definição / significado: 
1 Backup 
Cópia de segurança de dados armazenados em dispositivos eletrônicos, 
feita para prevenir a perda de informações em caso de falha de sistema 
ou outros incidentes. 
2 Conformidade 
Adesão a leis, regulamentos, padrões e políticas estabelecidos, 
garantindo que as operações e procedimentos de uma organização 
estejam alinhados com requisitos legais e éticos. 
Enap Fundação Escola Nacional de Administração Pública 35
 Módulo
 Orientando a Área de
Tecnologia da Informação3
A orientação do encarregado de dados vai além da conformidade com a LGPD. 
Prepare-se para uma mudança de paradigma na forma como a TI lida com dados 
pessoais! Neste módulo, você verá conceitos essenciais para o encarregado, como 
o ciclo de vida dos dados, a diferença crucial entre segurança da informação e 
privacidade, o inventário de dados e os princípios inovadores de "privacy by design" 
e "privacy by default". 
O conceito de "ciclo de vida dos dados" na gestão de privacidade abrange todas 
as fases pelas quais os dados pessoais transitam, desde a sua coleta até a sua 
eliminação final, assegurando a proteção e a privacidade dos dados em cada etapa. 
Este ciclo é crucial para entender como, onde e por que os dados pessoais 
são manipulados, armazenados e descartados, permitindo às organizações 
implementar práticas eficazes de proteção de dados. 
Veja detalhadamente cada etapa desse ciclo.
Unidade 1: Gestão de Privacidade versus Gestão de 
Segurança da Informação 
Objetivo de aprendizagem
Ao final da unidade, você será capaz de reconhecer o ciclo de vida dos dados e observar 
as diferenças entre gestão da privacidade e gestão de segurança da informação. 
 
1.1 Ciclo de Vida dos Dados 
36Enap Fundação Escola Nacional de Administração Pública
Ciclo de vida dos dados.
Elaboração: CEPED/UFSC (2024).
Coleta de Dados: esta etapa inicial do ciclo envolve a obtenção dos dados 
pessoais dos indivíduos. É fundamental que os sistemas de TI estejam 
programados para obter o consentimento explícito dos indivíduos para coleta 
e uso de seus dados pessoais e forneçam aviso claro sobre como esses dados 
serão usados. O aviso deve incluir, entre outras coisas, o propósito da coleta 
de dados, como eles serão processados e como os indivíduos podem exercer 
seus direitos em relação aos seus dados. O princípio da finalidade deve ser 
observado.
Processamento e Retenção: uma vez coletados, os dados são processados 
e armazenados. Nesta fase, é importante aplicar os princípios da adequação 
e da necessidade.
Destruição: após o período de retenção ou quando os dados não são 
mais necessários para os fins para os quais foram coletados, eles devem 
ser destruídos de forma segura. A destruição segura garante que os dados 
pessoais sejam irrecuperavelmente eliminados, protegendo contra o acesso 
não autorizado.
 
Divulgação: em certas circunstâncias, os dados pessoais podem ser 
divulgados a terceiros. Esta etapa requer que as organizações garantam 
que qualquer compartilhamento de dados esteja em conformidade com a 
legislação aplicável, incluindo a garantia de que terceiros destinatários dos 
dados também cumpram com as obrigações de proteção de dados. Isso pode 
envolver a elaboração de contratos que estipulem a responsabilidade pela 
proteção de dados e o uso permitido dos dados compartilhados. 
1
2
3
4
Enap Fundação Escola Nacional de Administração Pública 37
Lembre-se! De acordo com o Artigo 7º, inciso III, da LGPD o poder 
público pode coletar e processar dados pessoais sem necessariamente 
obter consentimento direto do titular dos dados, desde que estejam 
agindo dentro desses contextos específicos, como por exemplo para 
obrigação legal/regulatória ou execução de políticas públicas. No 
entanto, mesmo nessas situações, a LGPD exige a observância de 
princípios como transparência, finalidade, adequação, necessidade, 
entre outros, na realização de qualquer operação de tratamento de 
dados pessoais. Isso significa que, embora o consentimento possa 
não ser necessário, as organizações ainda são obrigadas a informar 
os titulares dos dados sobre o tratamento de seus dados pessoais. O 
aviso deve incluir informações claras sobre as finalidades, a forma e 
a duração do tratamento. 
Essa abordagem busca equilibrar a necessidade de tratar dados 
pessoais para fins específicos, incluindo aqueles de interesse 
público, com a proteção da privacidade e dos direitos dos 
indivíduos em relação a seus dados pessoais. 
Apesar de ser uma visão genérica de como os dados pessoais fluem em uma 
organização, compreender esse ciclo pode ajudar a orientar/conscientizar a área de 
TI a pensar na proteção de privacidade de ponta a ponta. 
A gestão do ciclo de vida dos dados pessoais na privacidade requer uma abordagem 
integrada que envolve políticas de proteção de dados, procedimentos operacionais 
e tecnologias de segurança que talvez a área de TI não esteja habituada a realizar. 
Na videoaula a seguir, você verá a distinção crucial entre gestão da privacidade e 
gestão da segurança da informação, explorando como essas áreas se complementam 
para proteger seus dados no mundo digital. 
Você chegou ao final desta unidade de estudo. Caso ainda tenha dúvidas, reveja o 
conteúdo e se aprofunde nos temas propostos. Até a próxima! 
1.2 Gestão da Privacidade versus Gestão da Segurança da Informação
Videoaula: Entendendo a Diferença entre “Gestão da 
Privacidade” e “Gestão da Segurança da Informação”
https://youtu.be/OmY95v1JZA8
https://youtu.be/OmY95v1JZA8
https://youtu.be/OmY95v1JZA8
38Enap Fundação Escola Nacional de Administração Pública
BRASIL. Lei nº 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados 
Pessoais (LGPD). Brasília, DF: Presidência da República, 2018. Disponível em: https://
www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm. Acesso em: 28 
set. 2024. 
FREEPIK COMPANY. [Banco de Imagens]. Freepik, Málaga, 2024. Disponível em: 
https://www.freepik.com/. Acesso em: 28 set. 2024.
Referências 
https://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm
https://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm
Enap FundaçãoEscola Nacional de Administração Pública 39
Inventário de Dados (IDP) é uma ferramenta que permite obter uma visão clara do tipo 
de dados coletados, processados e armazenados, agindo como um mapa detalhado 
das operações de tratamento de dados pessoais realizadas pela organização. 
Por que o IDP é importante?
• Conformidade legal: a LGPD (Art. 37) exige que controladores e 
operadores mantenham registros das operações de tratamento de 
dados pessoais. O IDP é fundamental para atender a essa exigência. 
• Governança de dados: o IDP serve como um documento-chave para 
a governança de dados pessoais, auxiliando na avaliação de impacto à 
proteção de dados e na verificação da conformidade com a LGPD. 
• Base para o RIPD: o IDP fornece informações cruciais para a elaboração 
do Relatório de Impacto à Proteção de Dados Pessoais (RIPD), que analisa 
a conformidade dos processos de tratamento de dados com a LGPD. 
• Transparência e Tomada de Decisão: o IDP reflete a "fotografia" do cenário 
atual de tratamento de dados, permitindo que as instituições tomem decisões 
informadas sobre suas práticas, garantindo a proteção dos direitos dos titulares. 
Nesta unidade, serão exploradas as questões práticas cruciais que surgem na 
interseção entre a gestão de privacidade e as atividades da TI. A integração 
eficaz da gestão de privacidade nas rotinas de planejamento, desenvolvimento 
e implementação de sistemas, assim como no inventário de dados, na aplicação 
de mecanismos de consentimento e incorporação dos princípios de "Privacy by 
Design" e "Privacy by Default" representa um desafio significativo, mas também 
uma oportunidade única para o fortalecimento da conformidade e confiança da 
sociedade nas organizações públicas. 
Unidade 2: Integrando a Privacidade nas Atividades de 
Tecnologia
Objetivo de aprendizagem
Ao final da unidade, você deverá ser capaz de integrar a privacidade de dados nas rotinas 
de planejamento, desenvolvimento e implementação de sistemas computacionais. 
 
2.1 Inventário de Dados 
40Enap Fundação Escola Nacional de Administração Pública
O que o IDP contém? 
A estrutura do IDP, inspirada em modelos propostos por autoridades de proteção 
de dados internacionais, como as da França, Bélgica e Inglaterra, é geralmente 
configurada em uma planilha eletrônica. Este formato facilita o registro e a análise 
de diversas informações cruciais relacionadas ao tratamento de dados, como: 
Fonte: Freepik (2024).
Importante mencionar, a LGPD requer que tanto o controlador 
quanto o operador mantenham registros das operações de 
tratamento de dados pessoais que realizam, sublinhando 
a importância do inventário de dados pessoais como uma 
prática de conformidade legal. Este inventário deve ser 
constantemente atualizado para refletir qualquer mudança 
nos processos de tratamento de dados, garantindo uma 
gestão de dados pessoais transparente, segura e em plena 
conformidade com a legislação vigente. 
• Agentes de tratamento envolvidos; 
• Finalidade do tratamento; 
• Bases legais conforme os 
Artigos 7º e 11 (LGPD, 2018); 
• Categorias dos titulares dos dados; 
• Tempo de retenção dos dados; 
• Medidas de segurança adotadas; 
• Potenciais transferências 
internacionais de dados.
Enap Fundação Escola Nacional de Administração Pública 41
Além disso, o IDP: 
• Facilita a identificação de serviços ou processos de negócio que tratam 
dados pessoais; 
• Permite um levantamento detalhado dos dados pessoais tratados, 
incluindo dados sensíveis; 
• Proporciona uma base sólida para a avaliação da necessidade e 
adequação do tratamento de dados em relação às finalidades propostas; 
• Permite a análise das categorias de titulares dos dados, o escopo 
geográfico do tratamento, as finalidades específicas do tratamento, as 
bases legais que o justificam e as medidas de segurança implementadas 
para proteger os dados. 
Em resumo, o Inventário de Dados Pessoais é uma ferramenta indispensável na gestão 
e proteção de dados pessoais, servindo não apenas para garantir a conformidade 
com a LGPD, mas também para promover uma cultura de privacidade e proteção 
de dados dentro das organizações. Ao fornecer uma visão clara do panorama de 
tratamento de dados, o IDP permite que as instituições tomem decisões informadas 
sobre suas práticas de tratamento de dados, assegurando a proteção dos direitos 
fundamentais dos titulares dos dados. 
Clique aqui
Na era digital, a gestão de dados pessoais se tornou um elemento central das 
operações de Tecnologia da Informação (TI), exigindo uma abordagem meticulosa 
que esteja em conformidade com a LGPD. 
2.2 Aplicação dos Mecanismos de Consentimento
A Secretaria de Governo Digital (SGD) oferece o 
"Guia para a Elaboração de Inventário de Dados 
Pessoais" e outros recursos que detalham o 
processo de elaboração do IDP. Oferecem 
orientações estratégicas para a implementação 
de controles de privacidade e segurança 
da informação alinhados com as melhores 
práticas globais e a legislação brasileira.
https://www.gov.br/governodigital/pt-br/privacidade-e-seguranca/guias-e-modelos
https://www.gov.br/governodigital/pt-br/privacidade-e-seguranca/guias-e-modelos 
42Enap Fundação Escola Nacional de Administração Pública
Mas você sabia que embora o consentimento do titular seja fundamental, a LGPD 
prevê situações em que o tratamento de dados pode ocorrer sem ele, baseando-se 
em outros fundamentos legais? 
Para a área de TI, entender e incorporar essas exceções no desenvolvimento e gestão 
de sistemas de informação é vital para garantir a conformidade legal e promover 
práticas de tratamento de dados responsáveis como, por exemplo, na execução de 
políticas públicas. 
Imagine, por exemplo, o desenvolvimento de sistemas para órgãos governamentais. 
A TI deve considerar as necessidades de tratamento de dados para a execução 
de políticas públicas. Mas como fazer isso sem comprometer a proteção e a 
transparência? A TI precisa criar sistemas que suportem o tratamento de dados em 
larga escala, mas sempre com segurança e transparência aos cidadãos. 
Fonte: Freepik (2024).
Em todos os casos, é fundamental que a área de TI mantenha um 
registro detalhado das atividades de tratamento, justificando a 
base legal para o tratamento de dados sem consentimento. Além 
disso, deve-se garantir a implementação de medidas técnicas 
e administrativas adequadas para proteger os dados pessoais 
contra acessos não autorizados ou tratamento inadequado. 
Enap Fundação Escola Nacional de Administração Pública 43
Portanto, ao desenvolver e gerenciar bancos de dados e sistemas de informação, a 
área de TI desempenha um papel crucial na conformidade com a LGPD, não apenas 
no que diz respeito ao consentimento, mas também ao aplicar de forma responsável 
as hipóteses em que o consentimento não é necessário. Assim, promove-se a 
proteção de dados pessoais alinhada com as exigências legais e as expectativas dos 
titulares dos dados. 
Você já ouviu falar nos termos "privacy by design" e "privacy by default"? Esses termos 
são pilares fundamentais para os profissionais de TI. 
Apesar de não estarem explicitamente mencionados na LGPD, a relevância desses 
princípios emerge da crescente demanda por sistemas e aplicações desenvolvidos 
com a privacidade em seu cerne, antecipando e mitigando riscos desde a concepção. 
São conceitos tão importantes que foram incorporados no Art. 25 da GDPR – a 
legislação da União Europeia. 
No podcast a seguir, você terá a oportunidade de mergulhar nesses conceitos e 
entender como eles podem transformar a forma como a tecnologia é desenvolvida 
e utilizada, priorizando a privacidade desde o início.
Que bom que você chegou até aqui! Agora é a hora de testar seus conhecimentos. 
Para isso, acesse o exercício avaliativo disponível no ambiente virtual. Bons estudos! 
2.3 Integração da Proteção de Dados "by Design/by Default" no 
Desenvolvimento de Sistemas Computacionais 
Podcast: A T.I. Abraçada com Privacy by Design e Privacy by Defaulthttps://open.spotify.com/embed/episode/4ltOL8Vj4bJ9Mhv2owtM7z?utm_source=generator
44Enap Fundação Escola Nacional de Administração Pública
Autoridade Nacional de Proteção de Dados (ANPD). Guias e Modelos do Programa 
de Privacidade e Segurança da Informação (PPSI), 2023. Disponível em: https://
www.gov.br/governodigital/pt-br/privacidade-e-seguranca/guias-e-modelos. Acesso 
em: 27 set. 2024. 
BRASIL. Lei nº 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados 
Pessoais (LGPD). Brasília, DF: Presidência da República, 2018. Disponível em: https://
www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm. Acesso em: 27 
set. 2024. 
FREEPIK COMPANY. [Banco de Imagens]. Freepik, Málaga, 2024. Disponível em: 
https://www.freepik.com/. Acesso em: 25 set. 2024. 
Referências 
https://www.gov.br/governodigital/pt-br/privacidade-e-seguranca/guias-e-modelos
https://www.gov.br/governodigital/pt-br/privacidade-e-seguranca/guias-e-modelos
Enap Fundação Escola Nacional de Administração Pública 45
Glossário
N°: Termo: Definição / significado: 
1 Inventário 
A palavra "inventário" refere-se à ação de listar ou catalogar itens 
ou recursos disponíveis em um determinado contexto, ambiente ou 
propriedade. É um termo amplamente utilizado em diversas áreas, como 
logística, contabilidade e gestão de ativos, para descrever o processo de 
identificação, classificação e registro sistemático de bens ou recursos. 
Ao realizar um inventário, organizações e indivíduos conseguem obter 
uma visão clara e detalhada dos recursos que possuem, permitindo 
uma gestão mais eficiente, avaliação de necessidades e planejamento 
estratégico. 
2 Controlador 
Pessoa física ou jurídica responsável por tomar as decisões relativas ao 
tratamento de dados pessoais, incluindo a finalidade e os meios pelos 
quais os dados são processados. (LGPD, Art. 5, VI, 2018). 
3 Operador
Pessoa física ou jurídica responsável por tomar as decisões relativas ao 
tratamento de dados pessoais, incluindo a finalidade e os meios pelos 
quais os dados são processados. (LGPD, Art. 5, VI, 2018).
46Enap Fundação Escola Nacional de Administração Pública
 Módulo
 Orientando a Área de Gestão
de Pessoas4
Neste módulo, você terá orientações essenciais para a gestão de pessoas, destacando 
a importância de compreender e gerenciar efetivamente os riscos associados à 
proteção de dados pessoais. Será abordada a necessidade de esclarecer conceitos 
comumente mal interpretados sobre riscos de privacidade e estratégias para garantir 
que os dados pessoais sejam manuseados de forma segura e ética. 
Muitas vezes, "risco" é confundido com "problema", "ameaça" ou "consequência". 
Essa falta de clareza pode atrapalhar o trabalho em equipe para alcançar objetivos 
comuns de segurança e privacidade. 
Por isso, desfazer a confusão em torno do conceito de risco é essencial para garantir 
uma gestão eficaz da privacidade e da segurança das informações. 
Unidade 1: Gestão de Riscos Aplicada à Gestão de Pessoas
Objetivo de aprendizagem
Ao final da unidade, você deverá ser capaz de reconhecer a necessidade de identificação 
e análise de riscos à privacidade. 
 
1.1 Desfazendo a Confusão do Conceito de "Risco" 
Enap Fundação Escola Nacional de Administração Pública 47
Fonte: Freepik (2024).
Para compreender melhor o conceito, 
imagine um carro com pneus carecas 
em um dia chuvoso. A chuva é a 
ameaça (algo normalmente fora do 
nosso controle), e os pneus carecas 
são a vulnerabilidade (algo que 
podemos controlar). Então o “risco de 
derrapagem em dia de chuva” pode 
ser alto, médio ou baixo dependendo 
do quanto a chuva é intensa e do 
quanto os pneus estão em mal estado. 
Para diminuir o risco de derrapagem, 
bastaria colocar pneus novos.
O risco é uma medida que marca a possibilidade (probabilidade) de algo acontecer:
• Qual a probabilidade de derrapagem em dia chuvoso usando pneus 
carecas? Alta 
• Qual a probabilidade de derrapagem em dia chuvoso usando pneus 
novos? Média 
• Qual a probabilidade de derrapagem em dia ensolarado usando pneus 
carecas? Média 
• Qual a probabilidade de derrapagem em dia ensolarado usando pneus 
novos? Baixa 
Percebe-se que o risco é apenas uma medida do quanto “algo” pode acontecer. 
Nas organizações, esse “algo” é incidente, que afeta bens, processos ou objetivos 
organizacionais. Por exemplo, quando um hacker desenvolve um vírus (ameaça) 
que atua sobre sistemas computacionais sem antivírus (vulnerabilidade) causando 
o vazamento de informações pessoais (incidente). 
Lembre-se: 
• Risco é diferente de “ameaça” (um dos componentes do risco). 
• Risco é diferente de “consequência” (efeito do risco materializado). 
• Risco é diferente de “problema” (algo negativo que já ocorreu). 
48Enap Fundação Escola Nacional de Administração Pública
Risco é uma possibilidade ou avaliação do quanto um incidente pode ocorrer. 
Problema é a certeza do incidente já ocorrido.
Fonte: Freepik (2024).
Agora que você compreendeu o conceito de “risco”, como fazer a identificação e a 
avaliação dele? 
Como calcular a criticidade do risco? 
Para calcular a criticidade de um risco, podemos fazer de maneira: 
Identifique as ameaças (normalmente externas e fora de nosso domínio) e as 
vulnerabilidades (normalmente internas e sob nossa administração direta); 
Calcule a criticidade do risco (o quanto o risco identificado pode afetar sua 
atividade, seu setor ou sua organização). 
1
2
Existem muitas técnicas para se fazer esse “cálculo” que você 
pode aprender em cursos de Gestão de Riscos, mas objetivo deste 
curso é desenvolver esse mindset (modelo mental) de pensar o 
risco para agir proativamente antes que os incidentes ocorram. 
Enap Fundação Escola Nacional de Administração Pública 49
• Quantitativa: ex.: usar dados históricos, como quando as polícias 
analisam os históricos de incidentes em áreas específicas da cidade para 
calcular a possibilidade de novos incidentes em determinados locais e 
horários. 
• Qualitativa: ex.: usar a percepção dos colaboradores, quando não temos 
esses dados. 
Que tal exercitar o pensamento sobre a avaliação dos riscos? Para simplificar 
essa reflexão, serão utilizadas duas tabelas: uma para a probabilidade (possibilidade 
de um incidente ocorrer) e outra para o impacto (o estrago que ele causaria). 
Exemplo: 
Imagine que, durante um 
processo de recrutamento, um 
membro da equipe de RH envia, 
acidentalmente, um e-mail 
contendo informações pessoais 
sensíveis de candidatos (histórico 
de saúde, dados financeiros ou 
números de identificação) para 
um endereço de e-mail incorreto. 
Esse e-mail poderia cair nas mãos 
de terceiros não autorizados, 
resultando em um vazamento de 
dados.
Fonte: Freepik (2024).
Avalie a probabilidade: calcule o “peso” da probabilidade de o risco de 
“vazamento de dados pessoais devido ao envio de um e-mail por engano” 
acontecer.
1
50Enap Fundação Escola Nacional de Administração Pública
Por exemplo: se você acha que a probabilidade é “pouco provável” (peso 3) e o 
impacto seria “grande” (peso 6), então a criticidade desse risco seria 3 x 6 = 18. 
Avalie o impacto: avalie o impacto caso esse e-mail fosse enviado para uma 
pessoa estranha contendo dados pessoais de servidores de sua organização. 
Qual o impacto para seu setor de Gestão de Pessoas ou o impacto para a 
imagem da organização?
2
Calcule a criticidade: multiplique o “peso” da probabilidade pelo “peso” do 
impacto.
3
Enap Fundação Escola Nacional de Administração Pública 51
Consulte a matriz de criticidade: agora, compare na matriz de criticidade a 
seguir onde esse valor se encontra:
4
Matriz de Criticidade.
Elaboração: CEPED/UFSC (2024).
Os riscos de criticidade na área verde são considerados baixos. 
Os riscos de criticidade na área amarela são considerados médios. 
Os riscos de criticidade na área vermelha são considerados altos. 
No exemplo informado, o risco de alguém da área de Gestão de Pessoas enviar 
um e-mail por engano, contendo dadospessoais de um colaborador e causar um 
vazamento é de criticidade alta (18). Nesse caso, dependendo da política de riscos 
de sua organização, ações imediatas talvez tenham que ser tomadas para impedir 
que essa situação realmente venha a ocorrer. Treinamentos, revisão de processos 
ou melhorias no sistema de e-mail podem ser soluções. 
Há várias técnicas para identificação de riscos e cálculo de sua criticidade. Sua 
organização pode ter políticas de risco já bem definidas e maduras. O objetivo aqui 
é demonstrar que o pensamento voltado ao risco é uma cultura benéfica a ser 
desenvolvida principalmente em um terreno novo chamado “proteção dos direitos 
fundamentais de liberdade e de privacidade”. 
52Enap Fundação Escola Nacional de Administração Pública
Na área de gestão de pessoas, a gestão de privacidade e proteção de dados pessoais 
envolve enfrentar ameaças e vulnerabilidades específicas. Esses desafios são 
influenciados tanto por fatores externos (ameaças) quanto por aspectos internos 
(vulnerabilidades) à organização. Identificar e entender esses fatores é crucial para 
desenvolver estratégias eficazes de mitigação de riscos. 
A seguir, veja exemplos comuns de ameaças e vulnerabilidades.
1.2 Gestão de Riscos de Privacidade aplicada à Gestão de Pessoas
Ameaças 
Incluem phishing, malware, ransomware e ataques de engenharia social, 
visando extrair dados pessoais de funcionários através de técnicas enganosas 
ou exploração de falhas de segurança. 
Parceiros, fornecedores ou prestadores de serviços que tenham acesso a 
dados pessoais dos funcionários podem, acidentalmente ou por má gestão, 
vazar essas informações. 
Grupos criminosos podem tentar obter ilegalmente dados pessoais (CPF, 
nome, endereço, etc.) sobre funcionários para aplicação de golpes financeiros 
onde, por exemplo, utilizando-se de informações verdadeiras, conseguem 
criar uma história para convencer a vítima a autorizar empréstimos 
fraudulentos, fornecimentos de senhas bancárias etc.
Ataques Cibernéticos 
Vazamento de Dados por Terceiros
Espionagem Corporativa
Enap Fundação Escola Nacional de Administração Pública 53
Erros involuntários podem ocorrer quando os colaboradores da área de 
gestão de pessoas não recebem formação adequada sobre a proteção de 
dados e práticas seguras, levando à exposição indevida de dados pessoais 
dos funcionários em ambientes inseguros. 
A ausência de políticas e procedimentos atualizados e específicos para o 
manuseio e proteção de dados pessoais no RH, como a manutenção de 
registros desprotegidos, aumenta o risco de falhas na proteção desses dados.
O uso de sistemas de gestão de recursos humanos obsoletos ou inseguros, 
especialmente aqueles que captam dados biométricos sem as devidas cláusulas 
contratuais de proteção, pode resultar em violações de dados. Um exemplo 
crítico é o despreparo observado na elaboração de licitações e processos de 
contratação de sistemas que coletam dados biométricos. Nesses processos, 
é fundamental incorporar exigências claras e específicas, como cláusulas 
contratuais que assegurem a não utilização dos dados biométricos pela 
empresa fornecedora após o término do contrato. Essa precaução é essencial 
para proteger a privacidade dos indivíduos e garantir a conformidade com a 
LGPD, especialmente considerando a sensibilidade dos dados biométricos. 
A falta de um controle de acesso efetivo a sistemas de RH permite que 
indivíduos não autorizados acessem informações sensíveis, necessitando de 
procedimentos claros para a revogação de acessos ou a limitação de privilégios. 
a ausência de treinamentos específicos para o uso correto de sistemas de IA 
pode levar à utilização de dados pessoais reais em interações com chats de 
IA, aumentando o risco de vazamento de informações sensíveis. É vital que 
os funcionários sejam orientados sobre como utilizar essas tecnologias de 
forma segura, evitando expor dados pessoais durante o processo.
Falta de Conscientização e Treinamento Específico
Políticas e Procedimentos de RH Desatualizados
Sistemas de Gestão de RH Vulneráveis
Controle de Acesso Inadequado a Informações de RH
Despreparo no Uso de Inteligência Artificial (IA)
Vulnerabilidades
54Enap Fundação Escola Nacional de Administração Pública
Incorporar medidas preventivas e educativas focadas nessas vulnerabilidades pode 
aprimorar significativamente a gestão de privacidade dentro da área de gestão de 
pessoas, garantindo a conformidade com a LGPD e reforçando a proteção dos dados 
dos colaboradores. 
Adotar uma postura proativa e simplificada de análise de riscos, identificando 
ameaças e vulnerabilidades antes de se materializarem em incidentes de privacidade 
é uma prática recomendável, mesmo na ausência de exigências específicas por parte 
dos controladores ou da autoridade regulatória. 
Isso é particularmente relevante para o setor de gestão de pessoas, responsável por 
um fluxo muito grande de dados pessoais. Nesse contexto, as categorias delineadas 
por Solove emergem como uma ferramenta valiosa para iniciar o processo de 
identificação de riscos de privacidade que será visto nesta próxima videoaula. 
1.3 Categorias de Solove para Cálculo do Risco de Privacidade
Relembre quais são as categorias delineadas por Solovo na 
imagem a seguir: 
Enap Fundação Escola Nacional de Administração Pública 55
Videoaula: Aplicando Solove na Gestão de Pessoas
A Inteligência Artificial (IA) está revolucionando o departamento de gestão de pessoas, 
agilizando a criação de documentos e otimizando processos. Essas ferramentas de IA 
podem gerar relatórios, contratos, termos, e-mails e outros documentos cruciais ou 
corriqueiros de forma eficiente. Contudo, a introdução de dados reais de funcionários 
nesses sistemas pode acarretar sérios riscos à privacidade, especialmente quando a 
base de dados está localizada fora da organização. Isso pode resultar em vazamentos 
de dados pessoais, violando não apenas a confiança dos funcionários, mas também 
leis de proteção de dados. 
Para ilustrar como a IA pode levar a uma exposição a riscos de privacidade, considere 
o seguinte cenário.
1.4 Riscos Relacionados à Inteligência Artificial no Tratamento de 
Dados Pessoais 
Fonte: Freepik (2024).
Imagine um cenário onde é necessário gerar um relatório de desempenho 
personalizado para cada funcionário. Utilizando uma ferramenta de IA, você 
insere dados pessoais dos funcionários, como nomes completos, datas de 
nascimento, números de identificação e outros, esperando que a IA crie 
um relatório detalhado baseado nessas informações. A ferramenta de IA, 
hospedada em servidores externos, processa esses dados para gerar os 
relatórios solicitados. 
Cenário 
https://youtu.be/BUmissjWk54
https://youtu.be/BUmissjWk54
56Enap Fundação Escola Nacional de Administração Pública
Sem o seu conhecimento, a plataforma de IA pode realizar backups (cópias 
de segurança) desses dados em servidores localizados em países com leis 
de proteção de dados menos rigorosas. Além disso, a segurança desses 
equipamentos servidores pode ser comprometida, levando ao vazamento 
dos dados pessoais dos funcionários. Essa situação não apenas exporia os 
funcionários a riscos de privacidade, como fraude e roubo de identidade, 
mas também colocaria a organização em uma posição constrangedora 
perante a sociedade. 
Risco 
Vale lembrar que, no contexto da 
LGPD, a transferência internacional 
de dados pessoais é cuidadosamente 
regulamentada. O Art. 33 da LGPD 
especifica que tal transferência só é 
permitida sob condições que assegurem 
um nível de proteção de dados pessoais 
adequado ao previsto na lei. Isso inclui 
a utilização de cláusulas contratuais 
específicas, cláusulas-padrão, normas 
corporativas globais ou selos e 
certificados aprovados que garantam 
a proteção dos dados pessoais. Essas 
medidas visam garantir que os direitos 
e a privacidade dos titulares dos dados 
sejam respeitados, independentemente 
do país onde os dados são processados. 
Fonte: