CURSO PRIVACY AND DATA PROTECTION PRACTITIONER...Basic, Cobol, C++, Html. Advogada Mais Admirada em Propriedade Intelectual por 10 anos consecutivos de 2008 à 2017. Recebeu o prêmio

1

CURSO PRIVACY AND DATA PROTECTION PRACTITIONER APOSTILA DE APOIO E CONTEÚDO

Licenciado para SEUFUTURO.COM ENSINO LTDA - ME - 29323377000163 - Protegido por Nutror.com

Licenciado para - SEUFUTURO.COM ENSINO LTDA - ME - 29323377000163 - Protegido por Eduzz.com

2

© Peck Sleiman EDU 2019

Todos os direitos protegidos e reservados pela Lei nº 9.610 de 9 de fevereiro de 1998. Não se autoriza a reprodução parcial ou integral desta obra para fins quaisquer, sem a autorização da empresa Peck Sleiman EDU.

Expediente desta edição

Coordenadoras do curso: Drª Patricia Peck e Drª Cristina Sleiman

Produção e editorial: Equipe de produção de conteúdo (Caroline Teófilo,

Daniela Cabella e Larissa Lotufo).

Acompanhe o Peck Sleiman EDU:

https://www.pecksleiman.com.br

https://www.facebook.com/pecksleimanEDU/

https://twitter.com/PeckSleimanEDU

https://www.linkedin.com/company/pecksleimanedu/

https://www.youtube.com/user/PPPTreinamentos



https://www.pecksleiman.com.br/

https://www.facebook.com/pecksleimanEDU/

https://twitter.com/PeckSleimanEDU

https://www.linkedin.com/company/pecksleimanedu/

https://www.youtube.com/user/PPPTreinamentos

3

A PECK SLEIMAN EDU

A PECK SLEIMAN EDUCAÇÃO tem como missão CONECTAR pessoas através do CONHECIMENTO. Pensar,

Planejar e Promover INOVAÇÃO, CONSCIENTIZAÇÃO e CAPACITAÇÃO para o mercado, especialmente para atender

os novos desafios dos profissionais e gestores de empresas, nos mais diversos segmentos e áreas já inseridas no

contexto de Sociedade Digital, com oportunidades e riscos associados ao uso de tecnologia e seu impacto nos

negócios.

O nosso objetivo é ENSINAR através de um modelo diferenciado de Educação Continuada que abrange

desde treinamentos tradicionais a soluções que apliquem tecnologia e novos recursos, como EAD e games, para

garantir a atualização dos profissionais e o desenvolvimento de novas competências dentro do contexto atual e

futuro da Sociedade Digital.

O EXIN

O EXIN é o instituto global de certificação independente para profissionais. Com mais de 30 anos de

experiência na certificação das competências de mais de 2 milhões de profissionais de TI, o EXIN é a autoridade

líder e confiável no mercado de TI. Com mais de 1000 parceiros credenciados, o EXIN facilita exames e avaliações

de e-competência em mais de 165 países e 20 idiomas. O EXIN é co-iniciador do e-Competence Framework, que foi

criado para fornecer princípios de medição de certificação de TIC não ambíguos dentro e fora da Europa.

BENEFÍCIOS DO CURSO PRIVACY & DATA PROTECTION PRACTITIONER

O presente curso tem como objetivo demonstrar:

O propósito de políticas internas de proteção de dados e privacidade em uma organização;

Privacy by design e by default na prática;

Os papeis de Controlador e Processador/Operador;

O papel e as responsabilidades do DPO (Encarregado pelo Tratamento de Dados Pessoais).

Como atividades, têm-se a aplicação prática de:

Fases do Sistema de Gestão de Dados Pessoais (SGDP);

Embasamento para um Plano de Ação para conscientização em Proteção de Dados;

Critérios e passos para uma Avaliação de Impacto sobre a Proteção de Dados (AIPD);

Como tratar violações de dados e comunicar um data breach.

OBJETIVO DESTA APOSTILA

Este material de apoio tem por objetivo organizar os temas abordados pelo exame Privacy & Data

Protection Practitioner para facilitar o estudo e preparação para a prova.



4

SOBRE AS COORDENADORAS:

Dra. Patricia Peck: Graduada em Direito pela Universidade de São Paulo, advogada especialista em Direito Digital,

doutora pela Universidade de São Paulo, PHD em Direito Internacional e Propriedade Intelectual, pesquisadora

convidada do Instituto Max Planck de Hamburgo e Munique, e da Universidade de Columbia nos EUA. Professora

convidada da Universidade de Coimbra em Portugal e da Universidade Central do Chile. Professora convidada de

Cyber Segurança da Escola de Inteligência do Exército Brasileiro. Programadora desde os 13 anos, autodidata em

Basic, Cobol, C++, Html. Advogada Mais Admirada em Propriedade Intelectual por 10 anos consecutivos de 2008 à

2017. Recebeu o prêmio Security Leaders em 2012 e 2015, a Nata dos Profissionais de Segurança da Informação

em 2006 e 2008, o prêmio Excelência Acadêmica – Melhor Docente da Faculdade FIT Impacta em 2009 e 2010.

Condecorada com 4 medalhas militares, sendo a Medalha da Ordem do Mérito da Justiça Militar em 2017, com a

Medalha do Pacificador pelo Exército em 2009, Medalha Tamandaré pela Marinha em 2011, Medalha Ordem do

Mérito Militar pelo Exército em 2012. Árbitra do Conselho Arbitral do Estado de São Paulo – CAESP, Vice-

Presidente Jurídica da Associação Brasileira dos Profissionais e Empresas de Segurança da Informação – ASEGI e

membro do Conselho de Ética da ABED. Professora e coordenadora da pós-graduação em Gestão da Inovação e

Direito Digital da FIA. Autora de 20 livros de Direito Digital. Sócia do escritório PG Advogados, da empresa de

educação Peck Sleiman Edu e Presidente do Instituto iStart de Ética Digital.

Dra. Cristina Sleiman: Advogada e pedagoga, mestre em Sistemas Eletrônicos pela Escola Politécnica da

Universidade de São Paulo, Extensão em Direito da Tecnologia pela FGV/RJ, Educadora Virtual pelo Senac SP com

Simon Fraser University (Canadá), Curso livre “Introduction to International Criminal Law”. Sócia da Peck Sleiman

EDU, sócia majoritária do escritório Cristina Sleiman Sociedade de Advogados, conselheira jurídica do Instituto

iStart. Presidente da Comissão Especial de Educação Digital da OAB/SP, 2ª vice-presidente da Comissão de Direito

Digital e Compliance da OAB/SP, membro da Comissão de Direito Antibyllying da OAB/SP (todos no mandato 2016-

2018) e do Grupo de estudos Temáticos de Direito Digital e Compliance da Federação das Indústrias do Estado de

São Paulo (FIESP), mediadora certificada pelo Conselho Nacional de Justiça (CNJ), professora da pós-graduação em

Direito Digital e Compliance da Faculdade Damásio, e da pós-graduação em Gestão de Segurança da Informação na

Faculdade Impacta de Tecnologia. Coautora do audiolivro e pocket book “Direito Digital no Dia a Dia”, coautora da

“Cartilha Boas Práticas de Direito Digital Dentro e Fora da Sala de Aula”, coordenadora e coautora do “Guia de

Segurança Corporativa da OAB/SP”, autora do “Guia do Professor – Programa de Prevenção ao Bullying e

Cyberbullying OAB/SP” e do “Guia de Educação Digital em Condomínios OAB/SP.



5

SUMÁRIO

1. PROTEÇÃO DE DADOS PESSOAIS E PRIVACIDADE ............................................................................................... 6

1.1 BREVE HISTÓRICO ................................................................................................................................................ 6 1.2 PORQUE PRECISAMOS APLICAR POLÍTICAS DE PROTEÇÃO DE DADOS? ............................................................... 8 1.3 NO QUE CONSISTE A PROTEÇÃO DE DADOS E A GARANTIA DE PRIVACIDADE ................................................... 12 1.4 TERMOS BÁSICOS RELACIONADOS AO TRATAMENTO DE DADOS PESSOAIS ..................................................... 13 1.5 COMO A PROTEÇÃO DE DADOS É APLICADA? .................................................................................................... 15 1.6 QUAL É A IMPORTÂNCIA DE GARANTIR A PROTEÇÃO DE DADOS DENTRO DE MINHA EMPRESA? .................... 16

2. OS AGENTES DE TRATAMENTO ........................................................................................................................ 18

2.1 CONTROLADOR - ARTS. 24, 25 E 25 ...................................................................................................................... 18 2.2 PROCESSADOR – ARTS. 28 E 29 ............................................................................................................................ 19 2.3 DATA PROTECTION OFFICER (DPO) – ARTS. 37, 38 E 39........................................................................................ 21

3. VIOLAÇÃO DE DADOS, NOTIFICAÇÃO E RESPOSTA A INCIDENTES .................................................................... 23

3.1 REQUISITOS DO GDPR FRENTE ÀS VIOLAÇÕES DE DADOS PESSOAIS – ART. 33 ................................................... 23 3.2 RELATÓRIO DE IMPACTO À PRIVACIDADE (DATA PROTECTION IMPACT ASSESSMENTE – DPIA) ....................... 24 3.3 APLICAÇÃO DA POLÍTICA DE NOTIFICAÇÃO (REPORT)........................................................................................ 25

3.3.1 NOTICANDO A AUTORIDADE SUPERVISORA ............................................................................................... 25 3.3.2 NOTIFICANDO O TITULAR DE DADOS – art. 34 ........................................................................................... 26

4. POLÍTICAS DE PROTEÇÃO DE DADOS PESSOAIS ................................................................................................ 27

4.1 OBJETIVO DAS POLÍTICAS DE PROTEÇÃO DE DADOS PESSOAIS E GARANTIA DA PRIVACIDADE DENTRO DE UMA

ORGANIZAÇÃO ........................................................................................................................................................ 27 4.2 PRINCIPAIS POLÍTICAS E PROCEDIMENTOS NECESSÁRIOS DENTRO DE UMA ORGANIZAÇÃO ........................... 31 4. 3 PROTEÇÃO DE DADOS E PRIVAVIDADE DESDE A CONCECPÇÃO (BY DESIGN) E POR PADRÃO (BY DEFAULT) .... 33

4.3.1 SETE PRINCÍPIOS NORTEADORES ................................................................................................................ 33 4.3.2 IMPLEMENTANDO A PROTEÇÃO DE DADOS E PRIVACIDADE DESDE A CONCEPÇÃO E POR PADRÃO DENTRO DE UMA ORGANIZAÇÃO ........................................................................................................................ 35

5. SISTEMA DE GESTÃO DADOS PESSOAIS (DATA PROTECTION AND PRIVACY MANAGEMENT SYSTEM – DP&P SYSTEM)............................................................................................................................................................... 36

5.1 O FUNCIONAMENTO DO DP&P SYSTEM ............................................................................................................... 36 5.2 CRIANDO UM PLANO DE AÇÃO PARA IMPLEMENTAR O DP&P SYSTEM ............................................................. 38

5.2.1 FASE 1: PREPARAÇÃO DAS MEDIDAS DE PROTEÇÃO À PRIVACIDADE E AOS DADOS PESSOAIS ................. 38 5.2.2 FASE 2: ORGANIZAÇÃO DA PROTEÇÃO À PRIVACIDADE E AOS DADOS PESSOAIS ...................................... 41 5.2.3 FASE 3: DESENVOLVIMENTO E IMPLEMENTAÇÃO DA PROTEÇÃO À PRIVACIDADE E AOS DADOS PESSOAIS ............................................................................................................................................................................. 44 5.2.4 FASE 4: PROTEÇÃO DE DADOS E GOVERNANÇA DA PRIVACIDADE ............................................................ 47 5.2.5 FASE 5: AVALIAÇÃO E MELHORIA DAS MEDIDAS DE PROTEÇÃO À PRIVACIDADE E AOS DADOS PESSOAIS ............................................................................................................................................................................. 51

REFERÊNCIAS BIBLIOGRÁFICAS ............................................................................................................................ 54



6

1. PROTEÇÃO DE DADOS PESSOAIS E PRIVACIDADE

1.1 BREVE HISTÓRICO

A criação de leis de proteção de dados pessoais e garantia da privacidade é resultado

direto da evolução e expansão dos Direitos Humanos, surgindo como uma forma de adaptação

e atualização das organizações nacionais às regras internacionais e globalizadas de direitos

humanos do mundo atual.

Pode-se dizer que a necessidade de criação de leis/regras específicas para a proteção

desses dados sofreu amplo aumento em razão do rápido desenvolvimento e expansão da

tecnologia em todo o mundo. De maneira que também pode ser apontada como um dos

desdobramentos da globalização.

Tal afirmação é possível, já que a globalização trouxe como uma de suas principais

consequências o aumento da relevância da informação para a sociedade contemporânea: os

dados são o petróleo da Era da Informação1. Nessa realidade em que quem acesso aos dados,

tem acesso ao poder, a informações tornou-se um ativo de alta importância para governantes e

empresários.

Em razão disso, faz-se muito necessário que a garantia da proteção dos dados e da

privacidade seja possível, para que se possa evitar situações de desigualdade e exploração.

Sobretudo porque os dados são uma nova forma de riqueza, modificando a atuação e impacto

das ações das organizações – públicas e privadas – dentro do contexto digital.

Essas modificações passaram, cada vez mais, a exigir que o exercício das empresas fosse

regido por mecanismos de regulação e proteção de dados pessoais dos usuários no mundo

cibernético. Faz-se relevante pontuar que os usuários correspondem a qualquer pessoa que

navega pela internet, utiliza serviços, realiza compras ou qualquer outro tipo de transação

online em que há o fornecimento de informações pessoais2.

A difusão da regulamentação do tratamento de dados no ambiente virtual também

ganha a significância de garantir que qualquer e toda situação/ação que acontece dentro do

ciberespaço é parte integrante da realidade das pessoas. Em razão disso, que os direitos de

proteção aos dados e privacidade pertencentes ao “mundo offline” também são e devem ser

garantidos na esfera virtual.

Neste sentido, é importante apontar que o direito à privacidade faz parte do rol de

direitos fundamentais sociais, cujo desenvolvimento ocorreu junto à construção do Estado

Democrático de Direito por meio de três etapas principais: a positivação, a generalização e a

internacionalização.

A positivação consistiu na conversão do valor da pessoa humana em leis e normas

propriamente ditas, por conta disso que essa etapa é marcada pelo surgimento das

1 PINHEIRO, Patricia Peck Garrido. O Direito Internacional da Propriedade Intelectual Aplicado à Inteligência

Artificial. (Tese para doutoramento). São Paulo: USP - Faculdade de Direito, 2018. 316f. 2 PINHEIRO, Patricia Peck Garrido. Direito Digital. 6ª ed. São Paulo: Saraiva, 2016.



7

“declarações de direitos”. Já a generalização consiste na aplicação do princípio da igualdade e a

sua lógica de não discriminação dentro das esferas internas dos Estados; alguns autores

apontam essa fase como a era da positivação dos direitos fundamentais dentro das

constituições nacionais. Por último tem-se a internacionalização dos direitos humanos, de

forma a reconhecer um simples fato: a efetividade dos direitos humanos e fundamentais

dependem amplamente do apoio da comunidade internacional3.

De maneira resumida e genérica, aponta-se o direito à privacidade como um direito que

protege o indivíduo frente a coletividade e o Estado, ou seja, é o “freio” que impõe limites à

atuação do ente coletivo e estatal frente ao indivíduo4. Esse direito desenvolveu-se de maneira

lenta e gradual ao longo de tempo, sendo modificado de geração para geração, conforme os

novos costumes e realidades vão sendo criados.

TABELA 1 – MARCOS INTERNACIONAIS PARA O DESENVOLVIMENTO DO DIREITO À

PRIVACIDADE

MARCOS INTERNACIONAIS PARA O DESENVOLVIMENTO DO DIREITO À PRIVACIDADE

ANO DOCUMENTO INTERNACIONAL OU ACONTECIMENTO REPRESENTATIVO

1789 Declaração de Direitos do Homem e do Cidadão

1948 Declaração Universal dos Direitos Humanos (art. 12)

9ª Conferência Internacional Europeia

1950 Convenção Europeia dos Direitos do Homem (art. 8)

1959 Convenção Pan-americana dos Direitos do Homem de 1959

1967 Conferência Nórdica sobre o Direito à Intimidade

Neste sentido, afirma-se que o General Data Protection Regulation (GDPR – Regulação

Geral de Proteção de Dados da Europa)5 é um resultado prático da somatória da evolução,

expansão, disseminação e internacionalização dos direitos humanos associada à atualização e

adaptação de documento internacionais diversos de proteção dos direitos fundamentais.

O próprio texto do GDPR aponta no art. (1) que toma por base o artigo 8º, n.º 1 da Carta

dos Direitos Fundamentais da União Europeia e o artigo 16º, n.º 1 do Tratado sobre o

funcionamento da União Europeia como fundamentos base para a criação do regulamento

europeu.

Ainda neste contexto, o GDPR assinala que o documento é pautado sob os direitos

fundamentais e visa proteger e garantir a privacidade, liberdade, segurança, justiça das

3 BOBBIO, Norberto. A era dos direitos. Tradução de Carlos Nelson Coutinho. Rio de Janeiro: Campus, 2010.

4 Idem.

5 O GPDR foi sancionado na União Europeia (UE) em 25 de maio de 2016 e após dois anos, em 25 de maio de 2018,

passou a vigorar em todos os países pertencentes à UE. Tal situações trouxe repercussões internacionais, tendo em vista que o regulamento prevê que o tratamento de dados pessoais de europeus realizados por empresas localizadas em outros países deve oferecer às mesmas garantias e proteções apontadas pelo documento.



8

pessoas, assim como promover o progresso econômico e social, além de garantir a segurança

jurídica dos países, através do preâmbulo (1), (2), (13)6 e art. 1º (2)7.

Trazendo a discussão acerca da proteção específica dos dados no contexto global,

destaca-se a Diretiva da União Europeia nº 95/46/CE, documento que durante muito tempo foi

referência em relação ao tratamento de dados não somente dentro do território europeu, mas

entre países de todo o mundo, a exemplo do Brasil. Com a aprovação do GDPR a Diretiva nº

95/46/CE foi revogada e o GDPR passou a ser o novo documento a amplamente influenciar a

atuação dos demais países frente à proteção de dados pessoais.

1.2 POR QUE PRECISAMOS APLICAR POLÍTICAS DE PROTEÇÃO DE DADOS?

A troca de informações não é novidade nas interações humanas, todavia a evolução

tecnológica e disseminação do contexto digital para todas as nossas atividades cotidianas

potencializou a importância dessas trocas de maneira tão impactante que é difícil imaginar uma

pessoa inserida na Era Digital que consiga passar um só dia sem fornecer informações pessoais.

E muitas vezes nem é possível perceber que as mais diversas informações sobre você

estão sendo geradas ou coletadas por diferentes empresas ou agências governamentais –

algumas com as quais você nem ao menos interagiu de forma consciente – tendo em vista

situações com a coleta de cookies nos websites ou o simples fato de caminhar em uma via

pública em que dá monitoramento por meio de câmeras de vídeo.

Quando se leva em conta a realização de transações online a situação fica ainda mais

complexa, já que qualquer compra de produtos ou serviços, da abertura de uma conta de e-

mail ao contrato de qualquer serviço digital, são circunstâncias que exigem que informações

pessoais sejam fornecidas para a validação ou mesmo existência da relação.

E esse fato gera muito desconforto entre os usuários, visto que a maneira que seus

dados serão protegidos ou manuseados lhes é omitida. Esse desconforto é pautado em um

6 (1) A proteção das pessoas singulares relativamente ao tratamento de dados pessoais é um direito fundamental.

[...] (2) Os princípios e as regras em matéria de proteção das pessoas singulares relativamente ao tratamento dos seus dados pessoais deverão respeitar, independentemente da nacionalidade ou do local de residência dessas pessoas, os seus direitos e liberdades fundamentais, nomeadamente o direito à proteção dos dados pessoais. O presente regulamento tem como objetivo contribuir para a realização de um espaço de liberdade, segurança e justiça e de uma união económica, para o progresso económico e social, a consolidação e a convergência das economias a nível do mercado interno e para o bem-estar das pessoas singulares. (13) A fim de assegurar um nível coerente de proteção das pessoas singulares no conjunto da União e evitar que as divergências constituam um obstáculo à livre circulação de dados pessoais no mercado interno, é necessário um regulamento que garanta a segurança jurídica e a transparência aos operadores económicos, incluindo as micro, pequenas e médias empresas, que assegure às pessoas singulares de todos os Estados-Membros o mesmo nível de direitos suscetíveis de proteção judicial e imponha obrigações e responsabilidades iguais aos responsáveis pelo tratamento e aos seus subcontratantes, que assegure um controlo coerente do tratamento dos dados pessoais, sanções equivalentes em todos os Estados-Membros, bem como uma cooperação efetiva entre as autoridades de controlo dos diferentes Estados-Membros. [...] 7 Artigo 1.o Objeto e objetivos [...] 2. O presente regulamento defende os direitos e as liberdades fundamentais

das pessoas singulares, nomeadamente o seu direito à proteção dos dados pessoais.



9

fato: a história da humanidade mostra que o “excesso de liberdade” leva a situações de

exploração e consequente desigualdade social e econômica.

E é aí que entra a importância da regulação e criação de políticas de proteção de dados

pessoais, já que somente através de regras/normas claras e transparentes é possível que os

cidadãos tenham acesso a forma de tratamento que é dada às suas – tão valiosas – informações

pessoais, podendo assim criar reais laços de confiança perante às empresas e agências

governamentais.

Neste ínterim, é relevante pontuar que não é de hoje que informações pessoais de

indivíduos vêm sendo coletadas e armazenadas em banco de dados computadorizados. Há

registros desde a década de 19608, porém, antes não havia a noção que temos atualmente

acerca da importância de compreendermos os impactos que tais informações “aglutinadas e

amontoadas” podem causar na sociedade e seu funcionamento, se essas informações forem

mal utilizadas ou protegidas.

Também é importante apontar que as bases de dados podem ser manuseadas de modo

muito fácil e rápido dentro do contexto tecnológico atual, criando a possibilidade de realização

de buscas, pesquisas comparadas, criação de perfis e sumarização de dados, além da prática de

troca de informações entre as empresas. E todas essas ações, se não forem reguladas de modo

a garantir a transparência e idoneidade das condutas, geram diversas dúvidas entra os usuários,

como: i) quem pode acessar as minhas informações pessoais? ii) Os dados fornecidos são

armazenados de forma segura e protegida de incidentes? iii) Como os dados foram coletados e

disseminados, nas situações em que o usuário não sabia ou não deu consentimento direto

acerca daquele tratamento? iv) Os dados pessoais coletados podem ser usados de forma

negativa, para promover a discriminação ou abuso/violação de outros direitos fundamentais?9

Na busca de evitar tais preocupações e ao mesmo tempo garantir que a boa-fé e a ética

vão prevalecer na realização de tratamento de informações pessoais por parte das

organizações – públicas e privadas – que a criação de regulamentos e normas de proteção aos

dados pessoais se faz necessária.

Como já pontuado, anteriormente já existia a previsão de tais proteções em diferentes

documentos e códigos, de maneira esparsa e bastante incerta. A principal razão de diversos

países em todo o mundo estarem promovendo a criação de um conjunto de regras

especializado na proteção dos dados pessoais consiste no fato de as relações envolvendo a

troca de informações pessoais alcançarem um novo patamar de significação da era do big data.

O aumento da importância dos dados na Era da Informação trouxe repercussões

inegáveis para o ordenamento jurídico, a ponto de exigir a criação de novas regras. Isso não

significa que outras áreas do conhecimento não sejam afetadas por essas modificações, pelo

contrário, porém, é função do Direito como campo científico e de transformação social adaptar

8 KYRIAZOGLOU, John. Data Protection and Privacy Management System: Data Protection and Privacy Guide – Vol.

I. Bookboon, 2016. (eBook). 9 KYRIAZOGLOU, John. Data Protection and Privacy Management System: Data Protection and Privacy Guide – Vol.

I. Bookboon, 2016. (eBook). p. 12.



10

o seu escopo de atuação às novas necessidades que vão surgindo por meio da evolução do

comportamento e modo de se relacionar da sociedade.

A Comissão Europeia traz as seguintes justificavas em relação às mudanças de regras:

FIGURA 1 – O PORQUÊ DA MUDANÇA DE REGRAS EM PROTEÇÃO DE DADOS, SEGUNDO A

COMISSÃO EUROPEIA

Fonte: https://ec.europa.eu/justice/smedataprotect/index_pt.htm



https://ec.europa.eu/justice/smedataprotect/index_pt.htm

11

De maneira mais ampla é possível apontar 7 principais impactos positivos trazidos com o

GDPR em relação à garantia da segurança dos usuários:

TABELA 2 – 7 IMPACTOS POSITIVOS DO GDPR EM RELAÇÃO AO USUÁRIO

7 IMPACTOS POSITIVOS DO GDPR EM RELAÇÃO AO USUÁRIO

INDICADOR COMO O INDICADOR AFETA O USUÁRIO DE FORMA POSITIVA

Ampla jurisdição

Como o GDPR é aplicado a toda e qualquer empresa que realize o

tratamento de dados pessoais de qualquer pessoa física que esteja em

território da União Europeia, a aplicação do regulamento é bastante

ampla, garantindo segurança ao titular de dados em todo o espaço

virtual.

Sanções pesadas

Para que a efetividade do regulamento seja garantida, a União Europeia

prevê a aplicação de penas que variam de acordo com a gravidade e

impacto do incidente ou infração, de modo que essas multas podem

chegar a até 20 milhões de euros ou 4% do faturamento global da

empresa (o que for maior). Com a aplicação de penalidades que podem

ser tão severas são poucas as empresas que vão fugir da adoção de

medidas de proteção e segurança dos dados pessoais, o que pode

melhorar a postura das empresas em sua atuação em demais países

como um padrão “pró segurança de dados pessoais”.

Consentimento

obrigatório e claro

Um dos principais requisitos de validade do tratamento de dados passa a

ser o consentimento do usuário, a partir do GDPR. Neste sentindo, o

relacionamento entre as empresas e os usuários vai se tornar menos

obscuro e mais pautado na transparência e acessibilidade das

informações sobre os tratamentos de dados realizados. Exige-se que o

consentimento seja explícito, sem erro, com a menção de uma finalidade

clara e direta, além de fácil e rápida possibilidade de revogação do

consentimento. Nenhuma dessas etapas, consentimento e revogação,

deve ser onerosa ao usurário.

Dever de notificação

O GDPR determina que as empresas devem reportar todos os incidentes

ao longo do tratamento de dados que possa resultar em ricos/prejuízos,

para os “direitos e liberdades” dos cidadãos. Além disso, o regulamento

indica que o relato à Autoridade Supervisora deve ser feito dentro de 72

horas após a ocorrência. A obrigação de reporte às pessoas físicas

(titulares) afetadas dependerá do impacto do incidente, conforme o

artigo 34 do GDPR.

Garantia de livre acesso

às informações

Além do direito de saber a finalidade do tratamento e possibilidade de

revogar o consentimento a qualquer momento, os usuários também têm

o direito de acessar as informações coletadas pela empresa, realizar

correções e ainda apagar os dados que considere necessários (aplicação

do direito ao esquecimento, por exemplo).

O GDPR exige que as empresas adotem técnicas e medidas que garantam



12

Privacidade e Segurança

desde a concepção

(Privacy and Security by

design)

a privacidade e segurança dos dados em tratamento desde a concepção

do projeto até a sua finalização. Isso significa que todas as etapas devem

se preocupar com a qualidade dos métodos e medidas de proteção de

dados, exigindo que as empresas adotem melhores sistemas e processos

na hora de oferecer um serviço ou produto.

Cuidados especiais com

dados de vulneráveis e

dados sensíveis

O GDPR prevê que o tratamento de dados de menores de idade deve

exigir cuidados especiais, como o consentimento dos pais/responsáveis.

Da mesma maneira, os dados sensíveis (aqueles em que as informações

são naturalmente mais frágeis, como orientação sexual, opinião política,

estado de saúde etc.) são tratados de forma a exigir cuidados extras com

o manuseio das informações.

1.3 NO QUE CONSISTE A PROTEÇÃO DE DADOS E A GARANTIA DE PRIVACIDADE

Proteção de dados consiste em uma ideia bastante genérica e ampla, mas que no

mundo contemporâneo é resumida basicamente na possibilidade de cada cidadão poder

determinar de maneira autônoma e livre sobre as formas de tratamento que seus dados

pessoais vão receber, assim como exigir que os dados em tratamento estejam protegidos de

ataques e vazamentos, de forma ainda que possam acessar as informações coletadas e

armazenadas, corrigi-las se acharem necessário e exigir a interrupção do tratamento e o

apagamento dos dados quando desejarem e sem ônus10.

Isso significa que a proteção de dados é um conjunto de garantias que busca evitar que

os dados pessoais dos cidadãos sejam armazenados de maneira irresponsável, ou sejam

utilizados de forma a promover a discriminação ou qualquer outro tipo de dano ao cidadão e à

sociedade, como ente coletivo. Isso inclui a garantia da privacidade desses cidadãos.

Em seu site a Comissão Europeia aponta como dados pessoais:

FIGURA 2 – O QUE SÃO OS DADOS PESSOAIS SEGUNDO A COMISSÃO EUROPEIA

10

Sobre a temática da proteção de dados e sua definição Kyriazoglou faz as seguintes ponderações: “A proteção de dados tem relação com a salvaguarda e proteção do seu direito fundamental à privacidade, um direito consagrado pelas leis internacionais e nacionais, códigos e convenções. Proteção de dados é comumente definida com a lei desenhada para proteger os seus dados pessoais que é coletado, gerido, processado e armazenado por meios computadorizados ou ‘automatizados’ ou que pretende ser parte de um sistema de arquivamento manual” (KYRIAZOGLOU, 2018 , p. 13).



13

Fonte: https://ec.europa.eu/justice/smedataprotect/index_pt.htm

1.4 TERMOS BÁSICOS RELACIONADOS AO TRATAMENTO DE DADOS PESSOAIS

Para compreender melhor o funcionamento e aplicação das regras de proteção de

dados segundo o apontado pela União Europeia com o lançamento do GDPR é necessário

conhecer alguns termos utilizados para a realização de tratamento de dados, assim como

agentes e funções envolvidas, conforme pontua a tabela:

TABELA 3 – PRINCIPAIS TERMOS UTILIZADOS PELO GDPR NA REGRAS DE PROTEÇÃO DE

DADOS11

PRINCIPAIS TERMOS UTILIZADOS PELO GDPR NA REGRAS DE PROTEÇÃO DE DADOS (art. 4º)

TERMO CONCEITO

Dados pessoais são informações relacionadas a uma pessoa natural

identificada ou identificável, que é o titular dos dados pessoais (data

11

Esta tabela não elenca todos os termos utilizados no GDPR e sim aqueles que são destaque na compreensão do regulamento. Para mais informações consulte o site da União Europeia.




14

Dados Pessoais (Personal

Data)

subject). Em contrapartida, uma pessoa natural identificável é

alguém que pode ser identificado, de forma direta ou indireta,

através de dados identificadores como nome, documentos de

registro, endereço físico ou de conexão, além da possibilidade de

uso de um ou mais fatores de cunho psicológico, genético, mental,

econômico, social ou cultural capazes de tornar a identidade de tal

pessoa evidente.

Tratamento

(Processing)

Relaciona-se a qualquer operação ou conjunto operacional em que

os dados pessoais são de alguma forma utilizados ou envolvidos,

podendo ou não ser um processo que adota meios de

automatização. São exemplos de processamento: coleta, gravação,

organização, estruturação, armazenamento, adaptação ou

alteração, recuperação, uso, transmissão, consulta, disseminação ou

qualquer outra forma/meio de tornar disponível/acessível o dado,

assim como o alinhamento, combinação, restrição ou apagamento e

destruição das informações.

Pseudonimização

(Pseudonymisation)

O tratamento de dados pessoais de forma que deixem de poder ser

atribuídos a um Titular de dados específico sem recorrer a

informações suplementares, e desde que essas informações

suplementares sejam mantidas separadamente e sujeitas a medidas

técnicas e organizativas para assegurar que os dados pessoais não

possam ser atribuídos a uma pessoa física identificada ou

identificável.

Arquivo

(Filing system)

Qualquer conjunto estruturado de dados pessoais, acessível

segundo critérios específicos, quer seja centralizado,

descentralizado ou repartido de modo funcional ou geográfico.

Definição de perfis

(Profiling)

Qualquer forma de tratamento automatizado de dados pessoais que

consista em utilizar esses dados pessoais para avaliar certos aspetos

pessoais de uma pessoa física, especialmente para analisar ou

prever aspetos relacionados com o seu desempenho profissional, a

sua situação econômica, saúde, preferências pessoais, interesses,

confiabilidade, comportamento, localização ou deslocamentos.

Controlador

(Controller)

É a pessoa natural ou jurídica, autoridade pública, agência ou

qualquer instituição/organização que – em conjunto ou de forma

individual – determina a finalidade e meios do processamento de

dados pessoais. O GDPR ainda aponta que nas situações em que a

UE ou qualquer Estado-Membro determinar a finalidade e os meios

de processamento dos dados pessoais em questão, o Controlador ou

os critérios específicos da determinação deve ser providenciado pela

União ou pelo Estado-Membro.

Processador

(Processor)


qualquer instituição/organização que processa os dados pessoais em

nome do Controlador.

Pessoa física ou jurídica, a autoridade pública, agência ou outro



15

Destinatário

(Recipient)

organismo que recebem comunicações de dados pessoais,

independentemente de se tratar ou não de um terceiro. Contudo, as

autoridades públicas que possam receber dados pessoais no âmbito

de suas obrigações jurídicas para exercício de sua função oficial,

como autoridades fiscais, aduaneiras, de investigação financeira, de

regulamentação e supervisão de mercado de valores mobiliários,

não são consideradas destinatários. O tratamento desses dados por

essas autoridades públicas deve cumprir as regras de proteção de

dados aplicáveis em função das finalidades do tratamento.

[preâmbulo 31]

Terceiro

(Third Party)


qualquer instituição/organização que não seja o Titular dos Dados

(data subject), Controlador, Processador ou pessoa que, sob a

orientação direta da autoridade do Controlador ou Processador é

autorizada a processar os dados pessoais.

Consentimento

(Consent)

O consentimento refere-se ao livre aceite do titular de dados

realizado de forma específica, conhecida e indubitável; e em que

ele/ela autoriza através de uma declaração ou clara afirmação que o

tratamento de dados relativos a ele/ela seja realizado de acordo

com os termos acordados.

Violação de Dados Pessoais

(Personal Data Breach)

É a violação de segurança dos dados que leva a um acidental ou não

autorizado (ilegal) processamento das informações como a

destruição, alteração, perda, publicação não autorizada, acesso não

autorizado, transmissão, armazenamento ou qualquer outro tipo de

processamento.

Estabelecimento Principal

(Main Establishment)

O estabelecimento principal deve pressupor o exercício efetivo e

real das atividades de gestão, a) Controlador com estabelecimentos

em vários Estados-Membros, o local onde se encontra a sua

administração central na União, salvo se as decisões sobre as

finalidades e os meios de tratamento dos dados pessoais sejam

tomadas em outro estabelecimento do Controlador na União, este

será considerado estabelecimento principal; b) Processador com

estabelecimentos em vários Estados-Membros, o local onde se

encontra a sua administração central na União ou, caso o

Processador não tenha administração central na União, o seu

estabelecimento na União onde são exercidas as principais

atividades de tratamento de dados pessoais.

Autoridade Supervisora

(Supervisory Authority)

Uma autoridade pública independente criada por um Estado-

Membro nos termos do art. 51.

1.5 COMO A PROTEÇÃO DE DADOS É APLICADA?



16

A proteção de dados é aplicada através de regulamentos específicos criados pelos países

em todo o mundo. Já existe mais de 100 países que adotam regras voltadas para a proteção de

dados em sua legislação, entre eles o Brasil, que sancionou a Lei 13.970 em 14 de agosto de

201812.

No caso dos países que pertencem à União Europeia as normas aplicadas internamente

devem seguir os parâmetros estipulados pelo GDPR. De modo geral, essas normas seguem

alguns princípios gerais, dos quais:

A minimização das informações coletadas, ou seja, não se deve coletar

informações em exagero e toda informações deve ter uma

justificativa/finalidade certa e clara;

A obtenção de dados pessoais deve ocorrer através de meios legais, nos quais

deve prevalecer a boa-fé e devem ser adquiridos com o consentimento sem erro

dos titulares, ou seja, os titulares devem compreender com o que estão

concordando ao fornecer o consentimento para o tratamento de dados;

As informações devem ter uma finalidade (propósito) justificável, transparente e

claro fornecido pela organização;

O tratamento de dados deve garantir a confidencialidade, integridade e

disponibilidade das informações;

A informações devem ser corretas, atuais, completas e existir segundo o

propósito fornecido;

Todos os dados pessoais em tratamento devem ser armazenados de forma

segura e protegida.

1.6 QUAL É A IMPORTÂNCIA DE GARANTIR A PROTEÇÃO DE DADOS DENTRO DE MINHA EMPRESA?

Com as informações são um ativo de risco na Era Digital é muito importante estar

atento às novidades e exigências dos novos regulamentos, principalmente em razão da

globalização dos mercados com o advento da internet.

Tendo em vista que o mercado é global, a aplicação de regras de proteção dos dados

pessoais também recebe um tratamento internacionalizado, já que uma empresa brasileira

pode estar tratando dados de um cliente alocado em um país pertencente a União, por

exemplo.

Neste sentido em que o GDPR levantou tanta polêmica quando iniciou a sua vigência em

25 de maio de 2018, visto que grandes empresas com atuação mundial, mas que não

necessariamente são pertencentes à União – como Google, Facebook, Apple etc. – passaram a

automaticamente ter que respeitar as regras estipuladas pelo GDPR se pretendiam continuar a

12

Apesar de já existir um ordenamento interno no país, a aplicação da lei só se dará a partir de 14 de agosto de 2020, data em que inicia a sua vigência de acordo com a Medida Provisória 869 de 28 de dezembro de 2018.



17

manter o negócios dentro da EU de maneira a evitar as pesadas multas e sanções propostas

pelo regulamento.

Por conta disso, é muito importante que as organizações estejam atentas à aplicação

das regras do GDPR para preparar as suas empresas de modo a:

Criar rotinas de prevenção e solução de problemas envolvendo privacidade e

proteção de dados;

Atualizar os documentos, como propostas, contratos, termos, acordos, políticas,

normas e procedimentos internos, formulários, políticas de privacidade de sites

e aplicativos;

Adaptar as estratégias de marketing na captação e manuseio de leads e

informações dos clientes (e possíveis clientes) no tratamento de dados;

Garantir uma vantagem competitiva perante o mercado ao manter sua postura

organizacional alinhada com as medidas de governança e compliance da

proteção de dados pessoais.

No caso particular das empresas, é uma postura muito relevante e estratégica a garantia

da aplicação da proteção de dados para que a empresa possa estar em dia com as suas

necessidades. São algumas vantagens e frentes de atuação:

1. Compliance Regulatório: como apontado, mais de 100 países já possuem

legislações internas voltadas para a proteção de dados, sendo que o GDPR é o

instrumento regulatório mais influente e abrangente até o momento. Neste

sentido, se a sua empresa adota medidas de compliance para garantir a

proteção dos dados estará muito menos sujeita a lidar com dores de cabeça de

cunho legal no que diz respeito ao tratamento de dados pessoais, independente

da atuação do negócio – âmbito global ou regional.

2. Evitar perdas: o descumprimento das normas relativas à proteção de dados

pode gerar diversas consequências custosas para a sua empresa, como perda de

recurso financeiros no caso de aplicação de sanções como multas ou mesmo no

caso de perda de informações valiosas para a empresa13. Ao mesmo tempo, ao

lidar com um escândalo envolvendo vazamento de informações ou incidentes

quaisquer relacionados a falhas na proteção de dados a imagem e a marca de

sua empresa são afetadas de maneira que em alguns casos pode ser irreversível.

3. Manutenção da Produtividade das Equipes e Colaboradores: ao promover o

treinamento e conscientização dos funcionários e equipes acerca da importância

da adoção de medidas de proteção à privacidade e aos dados pode evitar erros

e perdas ao longo da cadeia processual. Da mesma forma, se a empresa adota

13

De acordo com uma pesquisa realizada em 2014 pelo Instituto Ponemom juntamente com a IBM, o custo total gasto pelas empresas com incidentes envolvendo perda ou roubo de informações sensíveis e confidenciais chegou a 5.9 milhões de dólares em 2014.



18

uma postura estratégia e práticas de política de proteção e privacidade dados

previne falhas sistemáticas que podem prejudicar toda a cadeia de

funcionamento da empresa.

4. Otimização das Tomadas de Decisão: a adoção de um sistema de gestão de

dados bem sólida e coesa torna possível que os erros envolvendo as tomadas de

decisão possam ser evitados, já que se o/a gestor/a entra em contato com

informações erradas, dados de má qualidade ou com erros de processamento a

probabilidade deste colaborador realizar uma decisão incorreta é alta14.

2. OS AGENTES DE TRATAMENTO

2.1 CONTROLADOR - arts. 24 e 25

O Controlador deve aplicar as medidas técnicas e organizacionais adequadas para

assegurar e comprovar que o tratamento é realizado em conformidade com o GDPR. Para

definição das medidas técnicas e organizacionais, o Controlador deve considerar:

A natureza;

O âmbito;

O contexto;

A finalidade do tratamento dos dados;

As técnicas mais avançadas e os custos de sua aplicação;

Os riscos para os direitos e liberdades das pessoas físicas.

A definição das técnicas que serão utilizadas para salvaguardar os dados pessoais pode

ocorrer tanto no momento de definição dos meios de tratamento (proteção de dados by

design), como no momento do próprio tratamento (proteção de dados por padrão), como por

exemplo a pseudonimização e minimização de dados. (Proteção de dados desde a concepção –

by design – e por padrão Artigo 25).

O Controlador deve aplicar medidas técnicas e organizativas para assegurar que, por

padrão, só sejam tratados os dados pessoais que forem necessários para cada finalidade

específica do tratamento.

Essa obrigação aplica-se à quantidade de dados pessoais coletados, à extensão do seu

tratamento, ao seu prazo de conservação e à sua acessibilidade. Em especial, essas medidas

asseguram que, por padrão, os dados pessoais não sejam disponibilizados sem intervenção

humana a um número indeterminado de pessoas físicas.

Tais medidas devem ser revistas e atualizadas pelo Controlador de acordo com a

necessidade, e podem incluir a aplicação de políticas relacionadas à proteção de dados.

14

O Instituto Data Warehouse estima que mais de 600 bilhões de dólares são perdidos ao ano nos Estados Unidos em razão de problemas com a qualidade dos dados sendo utilizados pelas empresas.



19

A adesão e cumprimento de códigos de conduta ou de procedimentos de certificação

pode ser utilizado como elemento para demonstrar o cumprimento das obrigações do

Controlador.

Quando dois ou mais Controladores determinarem conjuntamente as finalidades e os

meios de tratamento dos dados pessoais, ambos são responsáveis conjuntos pelo

tratamento.

Isso significa que esses agentes determinam, por acordo/contrato entre si, as

responsabilidades pelo cumprimento do presente regulamento, inclusive no que diz respeito ao

exercício dos direitos do Titular dos dados e aos deveres de fornecer as informações aos

Titulares de dados, a menos que as suas responsabilidades sejam determinadas pelo direito da

União ou do Estado-Membro a que estejam sujeitos.

O acordo/contrato pode designar um ponto de contato para os Titulares dos dados e

deve refletir as funções dos Controladores em relação aos Titulares dos dados. A essência do

acordo/contrato deve ser disponibilizada ao Titular dos dados. No entanto,

independentemente dos termos do acordo/contrato, o Titular dos dados pode exercer os

direitos que lhe confere o presente regulamento em relação e cada um dos Controladores.

2.2 PROCESSADOR – arts. 28 e 29

O Controlador pode recorrer apenas a Processadores que apresentem garantias

suficientes de execução de medidas técnicas e organizativas adequadas de uma forma que o

tratamento satisfaça os requisitos do presente regulamento e assegure a defesa dos direitos do

Titular dos dados.

Não é permitido ao Processador contratar outro Processador, sem que o Controlador

tenha dado, previamente e por escrito, autorização específica ou geral. Em caso de autorização

geral por escrito, o Processador informa o Controlador de quaisquer alterações pretendidas

quanto ao aumento do número ou substituição de outros Processadores, dando assim ao

Controlador a oportunidade de se opor a tais alterações.

A subcontratação é regulada por contrato ou outro ato normativo ao abrigo do direito

da União ou dos Estados-Membros, que vincule o Processador ao Controlador e estabeleça:

O objeto e a duração do tratamento;

A natureza e finalidade do tratamento;

O tipo de dados pessoais e as categorias dos Titulares dos dados;

As obrigações e direitos do Controlador.

O contrato deve também prever que o Processador:

Trate os dados pessoais apenas mediante instruções documentadas do

Controlador, incluindo, se houver, as transferências de dados para países



20

terceiros ou organizações internacionais, a menos que seja obrigado a fazê-lo

pelo direito da União ou do Estado-Membro a que está sujeito, informando

nesse caso o Controlador desse requisito jurídico antes do tratamento, salvo se a

lei proibir tal informação por motivos importantes de interesse público;

Assegura que as pessoas autorizadas a tratar os dados pessoais assumiram um

compromisso de confidencialidade ou estão sujeitas a adequadas obrigações

legais de confidencialidade;

Adota todas as medidas exigidas nos termos do Artigo 32 – Segurança dos Dados

Pessoais;

Respeita as condições relativas a subcontratação para contratar outro

Processador;

Toma em conta a natureza do tratamento, e na medida do possível, presta

assistência ao Controlador por meio de medidas técnicas e organizacionais

adequadas, para permitir que este cumpra a sua obrigação de dar resposta aos

pedidos dos Titulares dos dados tendo em vista o exercício dos seus direitos;

Presta assistência ao Controlador no sentido de assegurar o cumprimento das

obrigações previstas nos Artigos 32 a 36 – Segurança dos Dados, Violação de

Dados, Avaliação de Impacto e outros, tendo em conta a natureza do tratamento

e a informação ao dispor do Processador;

Consoante a escolha do Controlador, apaga ou devolve-lhe todos os dados

pessoais depois de concluída a prestação de serviços relacionados com o

tratamento, apagando as cópias existentes, a menos que a conservação dos

dados seja exigida ao abrigo do direito da União ou dos Estados-Membros; e,

Disponibiliza ao Controlador todas as informações necessárias para demonstrar

o cumprimento das obrigações previstas no presente artigo e facilita e contribui

para as auditorias, inclusive as inspeções, conduzidas pelo Controlador ou por

outro auditor por este mandatado;

Informa imediatamente o Controlador se, no seu entender, alguma instrução

violar o presente regulamento ou outras disposições do direito da União ou dos

Estados-Membros em matéria de proteção de dados.

Se o Processador contratar outro Processador para a realização de operações específicas

de tratamento de dados por conta do Controlador, são impostas a esse outro Processador, por

contrato ou outro ato normativo ao abrigo do direito da União ou dos Estados-Membros, as

mesmas obrigações em matéria de proteção de dados que as estabelecidas no contrato ou

outro ato normativo entre o Controlador e o Processador, em particular a obrigação de

apresentar garantias suficientes de execução de medidas técnicas e organizacionais adequadas

de uma forma que o tratamento seja conforme o presente regulamento.



21

Se esse outro Processador não cumprir as suas obrigações em matéria de proteção de

dados, o Processador inicial continua a ser plenamente responsável, perante o Controlador,

pelo cumprimento das obrigações desse outro Processador.

O fato de o Processador cumprir um código de conduta aprovado ou um procedimento

de certificação pode ser utilizado como elemento para demonstrar as garantias suficientes.

Sem prejuízo de um eventual contrato individual entre o Controlador e o Processador, o

contrato ou outro ato normativo podem ser baseados, totalmente ou em parte, nas cláusulas

contratuais padrão, inclusivamente quando fazem parte de uma certificação concedida ao

Controlador ou ao Processador.

A Comissão pode estabelecer cláusulas contratuais padrão para a subcontratação pelo

procedimento de exame, enquanto a Autoridade Supervisora o faz por meio de procedimento

de controle da coerência.

O contrato ou outro ato normativo deve ser feito por escrito, incluindo em formato

eletrônico.

O Processador que, em violação do presente regulamento, determinar as finalidades e

os meios de tratamento, é considerado o Controlador para o tratamento em questão.

O Processador, sub-Processador ou qualquer pessoa que, agindo sob a autoridade do

Controlador ou do Processador, tenha acesso a dados pessoais, somente pode proceder ao

tratamento desses dados por instrução do Controlador, salvo se for obrigado por força do

direito da União ou dos Estados-Membros.

2.3 DATA PROTECTION OFFICER (DPO) – arts. 37 a 39

O DPO é a pessoa natural indicada pelo Controlador que atua como canal de

comunicação entre o Controlador x Titulares e Autoridade Supervisora. É esta figura a

responsável pela supervisão da aplicação/cumprimento das regras relativas a proteção de

dados pessoais e pela orientação dos colaboradores.

O Controlador e o Processador devem designar um DPO sempre que:

O tratamento for efetuado por uma autoridade ou um organismo público, exceto

os tribunais no exercício da sua função jurisdicional;

As atividades principais do Controlador ou do Processador consistam em

operações de tratamento que, devido à sua natureza, âmbito e/ou finalidade,

exijam um controle regular e sistemático dos Titulares dos dados em grande

escala; ou,

As atividades principais do Controlador ou do Processador consistam em

operações de tratamento em grande escala de dados sensíveis (Artigo 9º) ou de

dados pessoais relacionados com condenações penais e infrações (Artigo 10º).



22

O direito da União ou dos Estados-Membros pode exigir a designação de um DPO, além

dos casos previstos acima.

Um grupo empresarial pode designar um único DPO desde que seja facilmente acessível

a partir de cada estabelecimento.

Quando o Controlador ou o Processador for uma autoridade ou um organismo público,

pode ser designado um único DPO para várias dessas autoridades ou organismos,

considerando-se a respetiva estrutura organizacional e dimensão.

O DPO pode agir em nome das associações e de outros organismos que representem os

Controladores ou os Processadores.

O DPO:

Deve ser designado com base nas suas qualidades profissionais e em seus

conhecimentos especializados no domínio do direito e das práticas de proteção

de dados;

Pode ser um elemento do pessoal do Controlador ou do Processador, ou exercer

as suas funções com base num contrato de prestação de serviços;

Deve reportar diretamente a direção ou o mais alto nível do Controlador ou do

Processador;

Está vinculado à obrigação de sigilo ou de confidencialidade no exercício das suas

funções, em conformidade com o direito da União ou dos Estados-Membros.

O Controlador ou o Processador devem:

Assegurar que o DPO seja envolvido, de forma adequada e em tempo hábil, a

todas as questões relacionadas com a proteção de dados pessoais;

Apoiar o DPO no exercício das funções, fornecendo-lhe os recursos necessários

ao seu desempenho e à manutenção dos seus conhecimentos, bem como dando-

lhe acesso aos dados pessoais e às operações de tratamento;

Publicar os contatos do DPO e comunica-los à autoridade supervisora.

O DPO não pode ser destituído nem penalizado pelo Controlador ou pelo Processador

no exercício das suas funções.

Os Titulares dos dados podem contatar o DPO sobre todas questões relacionadas com o

tratamento dos seus dados pessoais e com o exercício dos direitos que lhe são conferidos pelo

presente regulamento.

O DPO pode exercer outras funções e atribuições, no entanto, o Controlador ou o

Processador assegura que essas funções e atribuições não resultam num conflito de interesses.

O DPO tem, pelo menos, as seguintes funções:



23

Informar e aconselhar o Controlador e o Processador, bem como os

colaboradores que tratem os dados, a respeito das suas obrigações nos termos

do presente regulamento e de outras disposições de proteção de dados da União

ou dos Estados-Membros;

Controlar a conformidade com o presente regulamento, com outras disposições

de proteção de dados da União ou dos Estados-Membros e com as políticas do

Controlador ou do Processador relativas à proteção de dados pessoais, incluindo

a divisão de responsabilidades, a sensibilização e formação do pessoal implicado

nas operações de tratamento de dados, e as auditorias correspondentes;

Prestar aconselhamento, quando solicitado, no que respeita à avaliação de

impacto sobre a proteção de dados e controlar a sua realização;

Cooperar com a Autoridade Supervisora;

Ser o ponto de contato para a Autoridade Supervisora sobre questões

relacionadas com o tratamento, incluindo a consulta prévia, além de consultar,

sendo caso disso, esta Autoridade sobre qualquer outro assunto.

No desempenho das suas funções, o DPO deve considerar os riscos associados às

operações de tratamento, tendo em conta a natureza, o âmbito, o contexto e as finalidades do

tratamento.

3. VIOLAÇÃO DE DADOS, NOTIFICAÇÃO E RESPOSTA A INCIDENTES

3.1 REQUISITOS DO GDPR FRENTE ÀS VIOLAÇÕES DE DADOS PESSOAIS – art. 33

Em caso de violação de dados pessoais15, o Controlador deve notificar Autoridade

Supervisora competente nos termos do Artigo 55, sem demora injustificada e, sempre que

possível, até 72 horas após ter tido conhecimento da mesma, a menos que a violação dos dados

pessoais não seja suscetível de resultar num risco para os direitos e liberdades das pessoas

físicas.

Se a notificação não for enviada à Autoridade Supervisora no prazo de 72 horas, o

Controlador deve remeter conjuntamente os motivos do atraso.

Quando a violação de dados pessoais poder resultar em um alto risco aos direitos e

liberdades das pessoas físicas, o Controlador deverá comunicar a violação de dados pessoais

aos Titulares de Dados afetados, sem demora indevida. O Controlador documentará toda e

15

Violação de dados pessoais: uma violação da segurança que provoque, de modo acidental ou ilícito, a destruição, a perda, a alteração, a divulgação ou o acesso, não autorizados, a dados pessoais transmitidos, armazenados ou sujeitos a qualquer outro tipo de tratamento.



24

qualquer violação de dados pessoais e disponibilizará essa informação à autoridade

supervisora16.

3.2 RELATÓRIO DE IMPACTO À PRIVACIDADE (DATA PROTECTION IMPACT ASSESSMENTE – DPIA)

O Relatório de Impacto à Proteção de Dados Pessoais (DPIA) é a documentação

referente ao Controlador que contém toda a descrição dos processos de tratamento de dados

pessoais que podem gerar riscos aos direitos dos titulares, assim como as medidas,

salvaguardas e mecanismos de mitigação desses riscos adotados ao longo do tratamento.

O DPIA pode ser obrigatório em algumas situações caracterizadas como “situações de

risco” ou a pedido da Autoridade Supervisora. O interessante deste documento é que ele

permite o mapeamento dos riscos e visão geral do tratamento, permitindo a observação do

status de conformidade da organização frente às políticas de regulação em prol da proteção de

dados.

Para que seja possível a geração deste relatório se faz necessário manter o registro de

todas as operações.

Cada Controlador e, sendo caso disso, o seu representante deve manter o registro de

todas as atividades de tratamento sob a sua responsabilidade. Esses registros devem conter as

seguintes informações:

O nome e os contatos do Controlador e, sendo caso disso, de qualquer

Controlador conjunto pelo tratamento, do representante do Controlador e do

DPO;

As finalidades do tratamento dos dados;

A descrição das categorias de Titulares de dados e das categorias de dados

pessoais;

As categorias de destinatários a quem os dados pessoais foram ou serão

divulgados, incluindo os destinatários estabelecidos em países terceiros ou

organizações internacionais;

Se for aplicável, as transferências de dados pessoais para países terceiros ou

organizações internacionais, incluindo a identificação desses países terceiros ou

organizações internacionais e, se for o caso, a documentação que comprove a

existência das garantias adequadas;

Se possível, os prazos previstos para o apagamento das diferentes categorias de

dados;

Se possível, uma descrição geral das medidas técnicas e organizacionais no

domínio da segurança dos dados.

16

PINHEIRO, Patricia Peck. Privacidade e cibersegurança. 2018. p. 31



25

Cada Processador e, sendo caso disso, o representante deste, conserva um registro de

todas as categorias de atividades de tratamento realizadas em nome de um Controlador, do

qual constará:

O nome e contatos do Processador ou Processadores e de cada Controlador em

nome do qual o Processador atua, bem como, sendo caso disso do representante

do Controlador ou do Processador e do DPO;

As categorias de tratamentos de dados pessoais efetuados em nome de cada

Controlador;

Se for aplicável, as transferências de dados pessoais para países terceiros ou

organizações internacionais, incluindo a identificação desses países terceiros ou

organizações internacionais e, se for o caso, a documentação que comprove a

existência das garantias adequadas;

Se possível, uma descrição geral das medidas técnicas e organizacionais no

domínio da segurança dos dados.

Os registros devem ser efetuados por escrito, incluindo em formato eletrônico.

O Controlador ou o Processador, ou o representante do Controlador ou o Processador,

devem disponibilizar à Autoridade Supervisora os registros, sempre que solicitado. O

Controlador e o Processador e os seus representantes cooperam com a Autoridade

Supervisora, a pedido desta, na prossecução das suas atribuições (art. 31).

As obrigações de manutenção de registros não se aplicam às empresas ou organizações

com menos de 250 trabalhadores, a menos que o tratamento efetuado seja suscetível de

implicar um risco para os direitos e liberdades do Titular dos dados, não seja ocasional ou

abranja as categorias especiais de dados, ou dados pessoais relativos a condenações penais e

infrações.

3.3 APLICAÇÃO DA POLÍTICA DE NOTIFICAÇÃO (REPORT)

3.3.1 NOTICANDO A AUTORIDADE SUPERVISORA

A notificação deve ocorrer sem demora injustificada e apresentar, pelo menos, os

seguintes dados:

Descrever a natureza da violação dos dados pessoais incluindo, se possível, as

categorias e o número aproximado de Titulares de dados afetados, bem como as

categorias e o número aproximado de registros de dados pessoais em causa;

Comunicar o nome e os contatos do DPO ou de outro ponto de contato onde

possam ser obtidas mais informações;

Descrever as consequências prováveis da violação de dados pessoais;



26

Descrever as medidas adotadas ou propostas pelo Controlador para reparar a

violação de dados pessoais, inclusive, as medidas para atenuar os seus eventuais

efeitos negativos.

Caso não seja possível fornecer todas as informações ao mesmo tempo, estas podem

ser fornecidas por fases, sem demora injustificada.

O Controlador deve documentar quaisquer violações de dados pessoais, incluindo os

fatos relacionados com eles, os efeitos e a medida de reparação adotada. Essa documentação

deve permitir à Autoridade Supervisora verificar o cumprimento destas obrigações.

3.3.2 NOTIFICANDO O TITULAR DE DADOS – art. 34

Quando a violação dos dados pessoais for suscetível de implicar um elevado risco para

os direitos e liberdades das pessoas físicas, o Controlador deve comunicar a violação de dados

pessoais ao Titular dos dados sem demora injustificada.

A comunicação deve descrever em linguagem clara e simples a natureza da violação dos

dados pessoais e fornecer, pelo menos, as informações e as seguintes medidas:

O nome e os contatos do DPO ou de outro ponto de contato onde possam ser

obtidas mais informações;

As consequências prováveis da violação de dados pessoais;

As medidas adotadas ou propostas pelo Controlador para reparar a violação de

dados pessoais, inclusive, as medidas para atenuar os seus eventuais efeitos

negativos.

A comunicação ao Titular dos dados não é obrigatória se for preenchida uma das

seguintes condições:

O Controlador tiver aplicado medidas de proteção adequadas aos dados pessoais

afetados pela violação, tanto técnicas como organizacionais, especialmente

medidas que tornem os dados pessoais incompreensíveis para qualquer pessoa

não autorizada a acessar esses dados, tais como a criptografia;

O Controlador tiver tomado medidas subsequentes que assegurem que o

elevado risco para os direitos e liberdades dos Titulares dos dados não é

suscetível de se concretizar; ou,

Implicar um esforço desproporcionado. Nesse caso, é feita uma comunicação

pública ou semelhante por meio da qual os Titulares dos dados são informados

de forma igualmente eficaz.



27

Se o Controlador não tiver comunicado a violação de dados pessoais ao Titular dos

dados, a Autoridade Supervisora, considerando a probabilidade de a violação de dados pessoais

resultar num elevado risco, pode exigir-lhe que proceda a essa notificação ou pode constatar

que se encontram preenchidas as condições referidas acima.

4. POLÍTICAS DE PROTEÇÃO DE DADOS PESSOAIS

4.1 OBJETIVO DAS POLÍTICAS DE PROTEÇÃO DE DADOS PESSOAIS E GARANTIA DA PRIVACIDADE

DENTRO DE UMA ORGANIZAÇÃO

Toda organização de sucesso adota processos de gestão de ativos alinhados com a

estratégia e metas da empresa. E como os dados são um ativo de risco de grande relevância

dentro da Era da Informação é interessante quais os pilares de uma boa gestão de dados dentro

de uma organização.

De acordo com a Associação Internacional de Gestão de Dados (Data Management

Association International – DAMA), os dados e as informações podem auxiliar as organizações a

inovar no mercado e alcançar seus objetivos de maneira estratégica, sendo que a Gestão de

Dados (Data Management) é o “desenvolvimento, execução, e supervisão dos planos, políticas,

programas, e práticas que entregam, controlam, protegem e melhoram o valor dos dados e das

informações como ativos ao longo de seus ciclos de vida”17.

A Associação também define o conceito de “dados” (data) do ponto de vista da

Tecnologia da Informação (TI), como a informação que foi armazenada de forma digital,

embora tal conceituação não se limite aos dados armazenados eletronicamente, haja visto que

os princípios adotados para os “dados digitais” também são aplicados aos dados capturados no

papel sob o formato de base de dados18.

Tais informações quando armazenadas são absorvidas, analisadas de forma crítica e

ressignificadas pelas organizações criando vantagens competitivas e valor de mercado a partir

do conhecimento adquiridos. De acordo com Bergson Lopes Rêgo, é possível compreender a

transformação estratégica dos dados a partir da Figura 3:

FIGURA 3 – CADEIA EVOLUTIVA DOS DADOS COMO UM ATIVO ESTRATÉGICO

17

DAMA. DAMA – DMBOK: Data Management Body of Knowledge, second edition. Nova Jersey, Estados Unidos da América: Techinics Publications, 2017. p. 17. 18

A conceituação voltada para as bases de dados digitais é utilizada em razão do grande acúmulo de informações realizadas contemporaneamente de forma eletrônica, mas as técnicas e princípios de gestão de dados são validas para todos os tipos de ativos acumulados em base de dados.



28

Fonte: RÊGO, 2014.

E para que tal evolução seja alcançada, é muito importante que as organizações

realizem uma gestão inteligente dos dados como um ativo de negócio. Tal gestão torna possível

que os dados sejam transformados em informação e ganhem significado.

De maneira geral, compreende-se que o dado é a matéria-prima da informação, sendo a

informação a aplicação do dado de forma contextualizada19. Todavia, com a ampla utilização

dos dados como um ativo empresarial, mais pontualmente a partir da década de 90, é possível

afirmar que os dados ganham um papel de centralidade, já que se os dados colhidos não forem

de qualidade ou estratégicos, os mesmos nunca se transformarão em informações relevantes e

estratégicas.

Atualmente, muitas organizações desenvolvem sua matriz gerencial “orientadas por

dados” (data-driven) na busca de manter as suas operações sempre atualizadas e seu processo

de tomada de decisão mais racional e analítico. No contexto da aplicação de políticas de

proteção de dados e garantia da privacidade, essa realidade não é diferente.

E a efetividade de tais medidas de proteção seguem alguns princípios norteadores

dentro das organizações, da mesma forma que a gestão de dados:

TABELA 4 – PRINCÍPIOS DA GESTÃO DE DADOS20

19

DAMA. DAMA – DMBOK: Data Management Body of Knowledge, second edition. Nova Jersey, Estados Unidos da América: Techinics Publications, 2017. p. 20. 20

Idem, p. 21-23.



29

PRINCÍPIOS DA GESTÃO DE DADOS

PRINCÍPIOS CENTRAIS DA GESTÃO DE

DADOS (MAIN PRINCIPLES OF DATA

MANAGEMENT)

GUIA PRÁTICO DOS PRINCÍPIOS DA GESTÃO DE

DADOS (PRATICAL GUIDE OF DATA MANAGEMENT)

Os dados são um ativo com propriedades

únicas

Embora os dados sejam mais um ativo empresarial,

ele se diferencia dos demais de acordo com a forma

que é utilizado, podendo impactar a organização de

diferentes formas. Ao mesmo tempo, os dados são

um ativo não-esgotável, já que não é consumido ao

ser utilizado, podendo ainda ser ressignificado e

reutilizado de infinitas formas ao longo dos processos

de uma organização.

O valor dos dados pode e deve ser

expressado em termos econômicos

Todo ativo tem o seu valor e não poderia ser diferente

com os dados, porém esse valor é determinado a

partir de técnicas de mensuração de qualidade e

quantidade dos dados que devem levar em

consideração os custos envolvidos com o uso de

dados de baixa qualidade e os benefícios alcançados

através dos dados de alta qualidade. Assim como

qualquer indicador, é possível adotar métricas de

mensuração do valor dos dados e isso deve ser

realizado para analisar o desempenho do ativo no

quadro geral da empresa.

Gerir dados significa gerir a qualidade dos

dados

Uma gestão de dados eficiente envolve a

compreensão dos requisitos adotados pelos

stakeholders da organização e a comparação e

mensuração desses requisitos para analisar a

qualidade dos dados.

São necessários metadados para realizar a

gestão de dados

Os dados qualificados e significados, prontos para o

uso são chamados de metadados. É importante

pontuar esse fato, porque os dados em si são

impalpáveis e não tem aplicação tão prática. Por isso

que, a partir do processamento dos dados e de

técnicas de gestão, governança, inteligência de

negócios entre outros é que são gerados os

metadados: os ativos prontos para serem

manuseados ao longo da gestão.

A gestão de dados envolve planejamento

Assim como qualquer outro processo empresarial é

preciso adotar técnicas, planos de ação e criação de

processos para realizar a gestão desses ativos.

A gestão de dados é multifuncional,

exigindo diversas habilidades e áreas de

Para que a gestão de dados seja eficaz é necessário

alinhar conhecimentos técnicos e habilidades de

diversas áreas do saber devido a complexidade e

amplitude de aplicação de tais ativos. Por isso, é



30

conhecimento preciso criar equipes multitarefas e multifuncionais

para gerir os dados de forma eficiente.

A gestão de dados exige uma perspectiva

empresarial

Para que a gestão de dados seja aplicada da forma

mais efetiva possível, é preciso aplicar uma

perspectiva empresarial em seus planos de ações a

políticas de aplicação. Por isso mesmo que a gestão e

governança dos dados andam de mãos dadas: a

aplicação de políticas deve ser estratégica e movida

por propósitos alinhados com a perspectiva

empresarial.

A gestão de dados deve ser realizada por

diversas perspectivas

Com os dados são flexíveis, adaptáveis e fluidos, é

preciso estar sempre atualizando as perspectivas e

maneiras que os dados estão sendo criados, para que

a análise de suas informações seja mais fidedigna e

mantenha-se sempre atualizada.

A gestão de dados envolve a gestão do ciclo

de vida dos dados

Como os dados são utilizados segundo um

propósito/finalidade, possuem um ciclo de vida que

pode ser pré-determinado em muitas situações. No

caso da proteção de dados pessoais, o GDPR indica

que as organizações estejam preparadas para lidar

com o ciclo de vida dos dados, de maneira que

desenvolvam seu processo levando em consideração

todas as etapas, da coleta à destruição – ou

compartilhamento – das informações.

Diferentes dados possuem diferente ciclos

de vida com características diversas

Como a aplicação e uso dos dados se dá de maneira

diferente a cada finalidade a que se propõe, o seu

ciclo de vida é dotado de necessidades e

características únicas e que devem ser levadas em

consideração durante todo o processo de gestão de

dados.

A gestão de dado inclui a gestão dos riscos

associados

Faz parte das atribuições da gestão dos dados lidar

com os seus riscos intrínsecos ao longo de todo o seu

ciclo de vida. Por conta disso, a aplicação de medidas

e políticas de proteção de dados e garantia da

privacidade deve ser sempre levada em consideração.

A gestão de dados deve levar a decisões

relacionadas à tecnologia da informação

Faz parte do processo de gestão dos dados certificar-

se que esse ativo está servindo os propósitos da

organização de forma estratégica, dotada de

propósito e efetiva.

Uma gestão eficiente de dados envolve o

comprometimento dos líderes

Devido a grande complexidade dos processos que

envolvem a gestão de dados, é necessário que haja

um forte compromisso do corpo de gestão desses

ativos na busca de uma aplicação multifuncional e

multidisciplinar dos dados.



31

4.2 PRINCIPAIS POLÍTICAS E PROCEDIMENTOS NECESSÁRIOS DENTRO DE UMA ORGANIZAÇÃO

Toda a gestão de dados é realizada de forma integrada e completa a partir da adoção de

políticas de governança de dados dentro das organizações. Pode-se compreender, que a

governança de dados é a integração de todas as funções da gestão de dados em uma só matriz.

FIGURA 4 – FRAMEWORK COMPLETO DA GESTÃO DE DADOS, SEGUNDO O DAMA-DMBOK®

Fonte: RÊGO, 2014.

Tais princípios são significados em diferentes aplicações e funções, como pontua

Bergson Lopes Rêgo21:

Governança de Dados – função responsável por representar o exercício de

autoridade e controle das estratégias, políticas, papéis e atividades envolvidos

com os ativos de dados das empresas.

Gestão da Arquitetura de Dados – função responsável por definir as

necessidades de dados e alinhar os mesmos com a estratégia de negócio da

empresa.

Gestão do Desenvolvimento dos Dados – função responsável pelas atividades

de modelagem e implementação das estruturas dos dados dentro do ciclo de

vida do desenvolvimento dos sistemas de informação.

21

RÊGO, Bergson Lopes. Gestão de Dados: 10 questões básicas sobre o seu uso. DevMedia, 2014. Disponível em: https://www.devmedia.com.br/gestao-de-dados-10-questoes-basicas-sobre-seu-uso/30076.



https://www.devmedia.com.br/gestao-de-dados-10-questoes-basicas-sobre-seu-uso/30076

32

Gestão de Operações de Dados – função responsável por manter armazenados

os dados ao longo do seu ciclo de vida.

Gestão da Segurança dos Dados – função responsável por definir e manter as

políticas de segurança da informação da empresa.

Gestão de Dados Mestres e Dados de Referência – função responsável por

definir e controlar atividades para garantir a consistência e disponibilização de

visões únicas dos principais dados reutilizados na empresa.

Gestão de Data Warehousing e Business Intelligence: função responsável por

definir e controlar processos para prover dados de suporte à decisão,

geralmente disponibilizados em aplicações analíticas.

Gestão da Documentação e Conteúdo: função dedicada a planejar, implementar

e controlar atividades para armazenar, proteger e acessar os dados não

estruturados das empresas.

Gestão de Metadados: Os metadados representam o significado dos dados.

Estes significados correspondem tanto ao conteúdo técnico do dado, obtido

através das informações sobre estrutura, formato, tamanho e restrições como a

informações sobre definições e conceitos.

Gestão da Qualidade dos Dados: função responsável por promover, medir,

avaliar, melhorar e garantir a qualidade dos dados da empresa.

A partir de tais funções é possível elencar as principais vantagens trazidas às

organizações com a gestão eficiente dos dados:

a) fluidez no trabalho multidisciplinar das diversas áreas impactadas pela

tecnologia;

b) compreensão assertiva das necessidades de dados e informações da empresa;

c) maior confiabilidade e qualidade dos dados e informações utilizados na aplicação

de processos, estratégicas e tomadas de decisão;

d) aplicação da cultura de uso de indicadores de processos movidos pela qualidade

dos dados;

e) redução de riscos e falhas processuais diversas;

f) redução de esforços, custos e tempo na reutilização dos dados corporativos

quando se cria uma matriz de dados de qualidade;

g) aumento na produtividade e eficácia do trabalho das equipes em contato com os

dados;

h) estabelecimento de uma matriz de segurança sólida, com garantia de acesso e

disponibilidade dos dados e informações de acordo com a criação de diferentes

perfis de usuários que podem acessar à base de dados, desse modo, a

informação chega somente a quem realmente interessa e faz sentido.



33

4. 3 PROTEÇÃO DE DADOS E PRIVAVIDADE DESDE A CONCECPÇÃO (BY DESIGN) E POR PADRÃO (BY

DEFAULT)

O termo privacy by design tem ganhado cada vez mais popularidade entre as legislações

de todo o mundo desde a disseminação dos regulamentos de proteção de dados e privacidade

na Era da Informação. Tal expressão foi criada por Ann Cavoukian, ex-Comissária de Informação

e Privacidade da Província de Ontário – Canadá, na década de 1990.

Cavoukian utilizou a expressão para se referir a uma estratégia metodológica de

proteção à privacidade na qual essa proteção está incorporada desde às estruturas das

tecnologias desenvolvidas até os modelos de negócios e suas respectivas infraestruturas, de

maneira que a privacidade está presente na própria arquitetura dos

sistemas/processos/serviços a serem desenvolvidos com o envolvimento de tratamento de

dados22,23.

4.3.1 SETE PRINCÍPIOS NORTEADORES

TABELA 5 – OS 7 PRINCÍPIOS NORTEADORES DO PRIVACY BY DESIGN

OS 7 PRINCÍPIOS NORTEADORES DO PRIVACY BY DESIGN

O PRINCÍPIO O PRINCÍPIO APLICADO

Seja proativo, não reativo:

É melhor prevenir do que remediar

Estimula a adoção de uma postura de prevenção aos

erros e não contenção de danos. Ao adotar um

modelo de desenvolvimento de projetos e de negócio

em que um dos pilares é o foco em proteção de dados

é possível prever e antecipar os cenários em que

possa haver incidentes que afetem a privacidade. Essa

postura é muito positiva e efetiva em questão de

economia gerencial, tendo em vista que na ocorrência

de algum vazamento ou fala de segurança das

informações, os dados envolvidos nos incidentes são

comprometidos e a privacidade é quebrada.

Ao adotar políticas e medidas de privacidade como

padrão das configurações da empresa, é garantida a

máxima proteção da privacidade ao usuário. Isso

torna o acesso do usuário à sua marca carregado de

uma experiência otimizada, tendo em vista que ele/a

não precisará se preocupar em alterar configurações

22

ALVES, Carla Segala; VAINZOF, Rony. Privacy by design e proteção de dados pessoais. Jota, 2016. 23

De acordo com Henrique Fabretti Moraes (2018): “O conceito [privacy by design] começou a ganhar corpo e projeção internacional por volta de 2010, com a chancela de diversas entidades de grande relevância na proteção de dados ao redor do mundo, como a Autoridade Europeia de Proteção de Dados e a Federal Trade Comission nos Estados Unidos e atualmente está incorporada na própria GDPR[...]”.



34

Privacidade como configuração padrão

(Privacy by default)

diversas para ter acesso à melhor proteção de seus

dados. Ao mesmo tempo, o usuário acaba se

conscientizando de forma indireta acerca das trocas

de informações a que está sujeito, por exemplo,

imagine um smartphone em que a configuração

padrão não permite o compartilhando de

geolocalização e obriga todos os apps/sites que

pedem esse dada a pedir a permissão ativa do titular,

nesta situação o consumidor vai ficar muito mais

informado acerca dos serviços/produtos que exigem

esse tipo de compartilhamento e mensurar melhor

que realmente quer fornecer o conhecimento.

A privacidade incorporada ao projeto

Toda a arquitetura do projeto deve ser pensada com a

incorporação das regras de privacidade e proteção aos

dados, desde a sua concepção até o término da

relação com o usuário – que envolve o apagamento

dos dados e finalização do tratamento.

Funcionalidade total:

Soma-positiva, não Soma-zero

Na aplicação da teoria dos jogos no desenvolvimento

dos projetos observa-se a possibilidade de soma-zero,

em que somente um “jogador” ganha, em prejuízo do

outro; e a possibilidade da soma positiva, em que

todos os jogadores tem a possibilidade de ganha de

alguma forma. Transportando essa lógica para o

mundo da gestão, a adoção da soma-positiva em um

projeto significa que a garantia de um indicador não

deve se fazer em função do outro: todos devem

conviver em equilíbrio. Por exemplo, não se deve abrir

mão da adoção de medidas de segurança nos

processos, em troca da obtenção de mais dados ou

captação de mais leads; ou desrespeitar a política de

minimização dos dados, na busca da maximização dos

lucros. Cabe às equipes, através da adoção de um

trabalho em conjunto, encontrar a harmonia entre os

requisitos, para que todos possam conviver de forma

rentável.

Segurança de ponta-a-ponta

(peer-to-peer):

proteção durante todo o

ciclo de vida dos dados

Como a privacidade deve ser garantida em todas as

etapas do tratamento, através do uso de criptografia

dos dados encadeados de ponta-a-ponta (peer-to-

peer) é possível garantir que a informação seja

protegida em todo o seu ciclo de vida: desde a coleta

até a sua destruição ou compartilhamento ao término

do tratamento.

Além de se preocupar com a aplicação da privacidade



35

Visibilidade e transparência

e proteção de dados em todas as etapas, é necessário

garantir que as informações são acessíveis e

transparentes. Desse modo, o usuário tem acesso às

informações importantes como a finalidade da coleta

dos dados e as entidades têm a possibilidade de

realizar auditorias para verificação da efetividade das

medidas de proteção dos dados.

Respeito pela privacidade do usuário –

solução centrada no usuário

A privacidade dos usuários devem ser o ponto central

das operações de qualquer negócio, de maneira que a

proteção dos dados deve ser mantida, a comunicação

deve ser clara e as informações acessíveis e

transparentes, sem que a proteção das informações

seja afetada.

4.3.2 IMPLEMENTANDO A PROTEÇÃO DE DADOS E PRIVACIDADE DESDE A CONCEPÇÃO E POR

PADRÃO DENTRO DE UMA ORGANIZAÇÃO

De acordo com a certificadora EXIN24, a aplicação da proteção de dados e privacidade by

design e by default dentro de uma organização deve seguir a seguinte matriz:

FIGURA 5 – MATRIZ DA APLICAÇÃO DA PROTEÇÃO DE DADOS E PRIVACIDADE DESDE A

CONCEPÇÃO E POR PADRÃO, SEGUNDO A EXIN

24

Ver: https://www.exin.com



36

Fonte: Autoria própria com base nas informações da EXIN (2017).

5. SISTEMA DE GESTÃO DADOS PESSOAIS (DATA PROTECTION AND PRIVACY

MANAGEMENT SYSTEM – DP&P System)

5.1 O FUNCIONAMENTO DO DP&P System

A aplicação de um Sistema de Gestão de Segurança da Informação passou a ser uma

obrigação dentro da realidade de novas regulações sobre proteção de dados ao longo do

mundo para que todos os processos internos empresariais se mantenham seguros.

VISÃO E MISSÃO

DESENVOLVIMENTO DE PRODUTOS E

SERVIÇOS

APLICAÇÃO DOS 7 PRINCÍPIOS

GESTÃO DA PRIVACIDADE E PROTEÇÃO DE

DADOS PESSOAIS



37

Isso porque as ameaças cibernéticas têm crescido exponencialmente nos últimos anos,

seja no volume dos ataques ou na sofisticação dos mecanismos invasores, de modo que esta

situação tende a tornar-se ainda mais grave com a expansão da Internet das Coisas25.

Os Sistemas de Gestão de Segurança da Informação (SGSI) são sistemas corporativos

que abrangem todos os processos organizacionais ou parte deles e buscam proteger as

informações da empresa dentro dos critérios de confidencialidade, integridade e

disponibilidade (CID) da organização26. Neste sentido, os SGSI traduzem-se em planos,

estratégias, políticas, medidas e controles voltados para a segurança da informação que têm o

intuito de implementar, monitorar, analisar, manter e melhorar a segurança da informação

corporativa27.

Todas essas práticas são realizadas para que o risco da empresa seja o mínimo possível.

Todavia, esse risco nunca será igual a zero já que, como aponta Tácito Leite, “não existe sistema

ou software, por mais avançado que seja, que resolva por si questões relacionadas a riscos e

defina sozinho qual a melhor decisão a ser tomada”28.

Isso significa que existem algumas partes do processo de segurança que – ao menos

ainda – devem ser avaliadas através da subjetividade humana, por conta disso que além de um

aparato de segurança eficaz é preciso ter uma equipe de gestão de segurança muito bem

preparada e pronta para lidar com as reais necessidades da empresa.

Por isso, também é importante apontar que antes de contratar uma equipe para

implementar um sistema de segurança é preciso avaliar o trabalho dessa equipe, procurar

informações sobre a sua atuação no mercado e buscar sempre profissionais sérios, éticos e com

impacto positivo no mercado.

As vezes os/as empresários/as analisam só o valor do investimento e não os retornos

que tais investimentos vão trazer para empresa, isso pode levar a erros e trazer prejuízos

desnecessários à empresa.

No caso particular dos investimentos em segurança da informação, uma contratação

mal realizada pode expor a empresa e destruir a sua imagem perante os clientes e investidores,

25

A Pesquisa Global de Segurança da Informação de 2017 realizada pela PwC ressalta que a expansão da Internet das Coisas introduz “novos riscos que ainda não são bem compreendidos e podem ter implicações abrangentes”. Neste contexto, a pesquisa aponta que 46% das organizações planejam investir novos modelos de segurança baseados nas necessidades mais recentes do mercado. 26

FONTES, Edison. Políticas e normas para segurança da informação. Rio de Janeiro: Brasport, 2012. p.17-22. 27

Antônio Leocádio relaciona à segurança cibernética com a gestão de segurança da informação: “A segurança cibernética pode ser definida de forma primária, como: segurança da tecnologia da informação contra acesso não intencional ou não autorizado ou alteração ou destruição dos mesmos. O assunto é sério, especialmente se tivermos um viés no setor de serviços, em que as demandas por novos negócios propiciam a comodidade ao invés de segurança. Essas ações ou pensamento corporativo têm evidenciado o gestor de segurança da informação como um aliado, em face das ameaças digitais. Em um mundo cada vez mais conectado, a segurança cibernética se tornou um pilar estratégico. As estratégias, nos tempos de crise, alavancaram as preocupações corporativas, chegando a ser discutidas, muitas vezes, no “board” ou conselhos de administração. Todos entendem que qualquer interrupção na sua capacidade de produção, seja física, seja tecnológica, pode ser fatal no atingimento das metas. Portanto, as ameaças digitais acabam sendo vistas com o mesmo viés de riscos das dimensões econômicas, de imagem ou de reputação”. LEOCÁDIO, Antônio Ricardo Gomes. Segurança cibernética, pessoas, empresas e governos. Precisamos muito falar sobre isso. Revista Fonte, a. 14, n. 18, dez, 2017. p. 65-66. 28

LEITE, Tácito Augusto Silva. Gestão de Riscos na Segurança Patrimonial. Rio de Janeiro: Qualitymark, 2016. p. 52



38

causando danos irreversíveis29, por isso, fique atento na hora de contratar uma equipe para

cuidar da segurança da informação de sua empresa30.

Para lidar com os riscos envolvidos na gestão de dados especificamente, é necessário

adotar um Sistema de Gestão de Proteção de Dados e Privacidade (Data Protection And Privacy

Management System – DP&P System) para diminuir os riscos e melhorar a gestão dos dados.

O Sistema DP&P é compreendido a partir dos seguintes aspectos:

Metodologia;

Estratégia;

Conjunto de políticas, procedimentos e ferramentas técnicas.

O ideal é que cada organização desenvolva o próprio Sistema DP&P, já que cada uma

possui particularidade únicas, porém, é importante seguir um framework desenvolvido com

base em 5 fases principais:

TABELA 6 – FASES DO DESENVOLVIMENTO DO DP&P SYSTEM

FASES DO DESENVOLVIMENTO DO DP&P SYSTEM

FASE 1 Preparação das medidas de Proteção à Privacidade e aos Dados Pessoais

FASE 2 Organização da Proteção à Privacidade e aos Dados Pessoais

FASE 3 Desenvolvimento e implementação da Proteção à Privacidade e aos Dados Pessoais

FASE 4 Proteção de Dados e Governança da Privacidade

FASE 5 Avaliação e melhoria das medidas de Proteção de Dados

5.2 CRIANDO UM PLANO DE AÇÃO PARA IMPLEMENTAR O DP&P SYSTEM

A criação de um plano de ação e implementação do DP&P SYSTEM deve ser

desenvolvido de acordo com as 5 fases elencadas no framework.

5.2.1 FASE 1: PREPARAÇÃO DAS MEDIDAS DE PROTEÇÃO À PRIVACIDADE E AOS DADOS PESSOAIS

29

Edison Fontes cita uma pesquisa realizada por Brotby para exemplificar a importância da gestão da segurança da informação: “Uma pesquisa realizada pela Universidade do Texas indicou que 93% das organizações que tiveram indisponibilidade de informação por mais de 10 dias seguidos em função de desastres nos recursos de TI, chegaram à falência um ano depois. Em termos de impactos financeiros e perda de clientes, Brotby complementa: ‘Uma análise detalhada realizada pela PGP Corporation em conjunto com a Vontu Company, identificou que 31 companhias que sofreram violações de informação em um período de doze meses tiveram uma perda média de US$ 4,8 milhões, além do que 19% dos clientes deixaram de se relacionar com a companhia e outros 40% dos clientes consideravam a possibilidade de deixar de serem clientes.” FONTES, op cit, 2012, p. 4. 30

De acordo com a Pesquisa Internacional da Grant Thornton, os prejuízos por ataques cibernéticos giraram em torno de US$ 280 bilhões de janeiro de 2016 a janeiro de 2017 em todo o mundo; a pesquisa foi realizada com mais de 2500 líderes de empresas e baseada em 36 economias. GRANT THORNTON. Ataques cibernéticos causaram prejuízo de US$ 280 bilhões. 2017.



39

Os objetivos específicos dessa fase são: i) a análise da proteção de dados e privacidade,

de acordo com os requisitos e necessidades que afetam a empresa; ii) o recolhimento das leis,

normas e regulamentos envolvendo a proteção de dados e privacidade; iii) a criação de um

plano de ação levando em consideração os recursos necessários para que a empresa possa

gerenciar os dados pessoais, atividades, transações e operações, dentro de um cenário ótimo

de proteção de dados e regras de privacidade e regulamentos existentes.

A Fase 1 é organizada de acordo com as seguintes etapas e ações:

TABELA 7 – ETAPAS DA FASE 1: PREPARAÇÃO DAS MEDIDAS DE PROTEÇÃO À PRIVACIDADE E

AOS DADOS PESSOAIS31

ETAPAS DA FASE 1: PREPARAÇÃO DAS MEDIDAS DE PROTEÇÃO À PRIVACIDADE E AOS DADOS

PESSOAIS

ETAPAS AÇÕES COMO APLICAR?

ETAPA 1 Conduzir a análise de

privacidade

Realize a análise sobre as medidas de proteção de dados e

determine o panorama atual das medidas de privacidade

adotadas em sua empresa. Esta analise deve incluir os

processos e os regulamentos internos, assim como a

atuação da empresa (países em que a empresa atua ou tem

perspectivas de atuar).

Feita a análise é preciso notificar e conscientizar os

colaboradores acerca do cenário e registrar os resultados

em um relatório próprio.

ETAPA 2 Coletar Leis de

Privacidade

Realize um levantamento e coleta de informações acerca de

todas as leis e regulamentos – nacionais e internacionais –

que afetam ou podem afetar a sua empresa.

No caso das empresas afetadas pela GDPR é preciso ter em

mente os 8 princípios centrais que podem afetar as suas

operações: 1) processamento legal, já que o tratamento de

dados deve ser realizado de forma justa e legal; 2)

especificação da finalidade; 3) relevância (minimização) dos

dados; 4) precisão dos dados, já que os dados devem ser

corretos e atuais; 5) retenção limitada dos dados, pois os

dados devem ser tratados de acordo com cerca finalidade, a

sua retenção não deve ultrapassar o cumprimento deste

propósito final; 6) tratamento justo e pautado na boa-fé,

levando em consideração os direitos dos titulares; 7)

reponsabilidade na execução do tratamento em todas as

etapas; e 8) transferência de dados para o exterior só será

permitida nos países que garantam o mesmo nível de

proteção que a UE.

31

Desenvolvida com apoio da seguinte fonte de referência: KYRIAZOGLOU, John. Data Protection and Privacy Management System: Data Protection and Privacy Guide – Vol. I. Bookboon, 2016. (eBook).



40

ETAPA 3 Realizar a análise de

Impacto de Privacidade

Estude e entenda os impactos das regras de privacidade e

proteção de dados determinadas pelas leis podem ter sob a

sua empresa. O ideal é criar um guia ou coletânea interno

para que tais informações não se percam e estejam

disponíveis de forma organizada.

ETAPA 4 Realizar auditorias e

avaliações de dados

iniciais

Indica-se a realização de uma auditoria inicial de dados

pessoais que envolva a emissão de um relatório dotado de

comentários e avaliações completas e claras.

ETAPA 5 Estabelecer a organização

de controle de dados

Crie um comitê interno de governança de dados em que

haja a distribuição de papeis e funções entre os membros.

Como principais funções importantes indica-se entre os

indivíduos: um responsável pela proteção de dados; um

gerente de segurança da informação; e demais papeis

responsáveis pela qualidade dos dados.

ETAPA 6 Estabelecer Fluxos de

Dados e Inventário de

Dados Pessoais

Crie um sistema de fluxo de dados que documente todos os

fluxos de dados realizados dentro e fora da empresa e que

de alguma forma lhe dizem respeito. O DPO tem um papel

importante nesta fase, já que é quem monitora este sistema.

O DPO deve criar e manter um inventário de dados pessoais

para cada departamento e sistemas de TI da empresa,

através: i) localização dos dados e ii) identificação dos

funcionários que possuem cada dado.

Cabe a empresa garantir o estabelecimento de um processo

que mantenha a atualização das informações de forma

regular e contínua.

Cabe ao DPO criar uma política de proteção de dados

explicando como deve ser realizado o tratamento em todas

as duas etapas.

ETAPA 7 Estabelecer o programa

de proteção de dados

A implementação de um plano de proteção de dados deve

incluir o treinamento de equipes, a aplicação de um

programa de conscientização interna e adoção de ações

estratégicas para que seja alcançada a proteção e

privacidade dentro da corporação.

ETAPA 8 Elaborar planos de ação

de implementação de DP

& P

Após a realização as etapas de 1 a 6 é interessante emitir um

relatório à cúpula de gestores. Neste relatório deve haver o

resumo da análise e resultados alcançados na etapa inicial,

uma estimativa de qual orçamento será necessário para

implementar o sistema, juntamente com um conjunto de

planos de ações específicos.

Os principais produtos resultantes da FASE 1 são:

Produto 1: Relatório de proteção de dados e análise de privacidade (etapa 1);



41

Produto 2: Manual de Leis de Privacidade (etapas 2 e 3);

Produto 3: Relatório de Auditoria de Dados Pessoais (etapa 4);

Produto 4: Sistema de Fluxos de Dados (etapa 6);

Produto 5: Inventário de Dados Pessoais (passo 6);

Produto 6: Política de Proteção de Dados (etapa 6);

Produto 7: Plano de Treinamento de Privacidade (etapa 7);

Produto 8: Programa de Proteção de Dados (etapa 7);

Produto 9: Relatório e Orçamento da Organização de Proteção de Dados e Privacidade (etapas

de 1 a 8);

Produto 10: Planos de ação para implementação de DP & P (etapas de 1 a 8).

A principal meta desta fase é a preparação da empresa para receber o DP&P System e já

poder ser mais eficaz ao lidar com a proteção de dados e os riscos de privacidade mitigando os

impactos nas operações da empresa.

5.2.2 FASE 2: ORGANIZAÇÃO DA PROTEÇÃO À PRIVACIDADE E AOS DADOS PESSOAIS

Os objetivos específicos dessa fase são: i) conceber e configurar a proteção de dados e

programa de privacidade; ii) indicar um DPO; iii) criar um programa de privacidade e proteção

de dados; iv) envolver e comprometer todos partes interessadas na proteção de dados e

privacidade.


TABELA 8 – ETAPAS DA FASE 2: ORGANIZAÇÃO DA PROTEÇÃO À PRIVACIDADE E AOS DADOS

PESSOAIS32

ETAPAS DA FASE 2: ORGANIZAÇÃO DA PROTEÇÃO À PRIVACIDADE E AOS DADOS PESSOAIS


ETAPA 1 Manter o Programa de

Proteção de Dados,

Políticas e Controles de

Governança

Os programas de proteção de dados e controle da

privacidade são amplamente disseminados entre as

empresas atualmente. Esses programas levam em

considerações os requisitos legais e buscam reduzir o risco

de uma violação de dados. É sempre importante atualizar

tais programas de acordo com as regras novas que vão

surgindo, mas é necessário manter a aplicação desta

ferramenta para que o valor da empresa continue a ser

pautado sobre os pilares da privacidade e segurança dos

dados.

32




42

ETAPA 2 Atribuir e manter a

responsabilidade de

proteção de dados

É importante designar de forma clara e objetiva as funções e

reponsabilidade de cada pessoa na equipe em relação ao

cuidado e proteção de dados pessoais. Com destaque para a

indicação do DPO, tendo em vista que tal ator é responsável

pela execução de funções muito importantes e deve ser

escolhido com seriedade e ética.

ETAPA 3 Manter o envolvimento

da Gerência Sênior na

Proteção de Dados

É importante que adoção de medidas e políticas de

privacidade seja apoiada e estimulada por todos os gestores,

inclusive os pertencentes à gerências sênior que podem

patrocinar eventos envolvendo a temática, comunicar o

quão importante é se preocupar com a questão aos demais

gerente subordinados na cadeia, participar em iniciativas de

promoção e conscientização, além de garantir os

investimentos adequados para o setor.

ETAPA 4 Manter a proteção de

dados e o compromisso

de privacidade

O gerenciamento de proteção de dados e privacidade dentro

de uma empresa requer a contribuição e participação de

muitos membros dessa organização. Os membros da rede de

proteção de dados e privacidade podem trabalhar em

diferentes negócios grupos funcionais ou departamentos

nos quais a empresa opera para facilitar a compreensão dos

riscos de proteção de dados aplicáveis a esse grupo

funcional de negócios ou departamento.

Os papéis que podem ser definidos incluem: O Diretor de

Privacidade; Gestores de Privacidade; Dados Agentes de

proteção (DPO); Analistas de privacidade; Proteção de

Dados e Rede de Privacidade membros; e membros da

equipe de resposta a incidentes de violação de dados, etc.

ETAPA 5 Manter comunicação

regular para questões de

proteção de dados e

privacidade

Aqueles que forem nomeados e responsáveis pela proteção

de dados e privacidade devem se comunicar entre si para

que garantam:

i) Aprender sobre o uso de dados pessoais no contexto da

organização;

ii) Ajudar proativamente na construção de proteção de

dados e privacidade em todos os sistemas, serviços,

produtos e projetos em andamento;

iii) Entender as diferentes perspectivas sobre proteção de

dados e privacidade a corporação;

iv) Capacitar, facilitar e apoiar as pessoas para que atinjam

seus objetivos e metas de implementação de proteção de

dados e privacidade;

v) Integre a proteção de dados e o pensamento de

privacidade em toda a empresa e entre todas as suas

funções.

ETAPA 6 Manter o envolvimento É necessário que a empresa adote algumas posturas e



43

das partes interessadas

nos assuntos de proteção

de dados e privacidade

estimule comportamento na aplicação contínua da Proteção

de Dados, das quais:

a) Realizar comunicações informais ou ad hoc com

indivíduos cujas responsabilidades pode não incluir proteção

de dados e privacidade;

b) Participar em vários comitês corporativos para funções de

negócios ou unidades cujas atividades podem ter impactos

na proteção de dados e privacidade (por exemplo, segurança

da informação, marketing, etc.); e

c) Realizar discussões sobre proteção de dados e problemas

de privacidade entre parceiros fora da organização (por

exemplo, provedores de nuvem, provedores de serviços de

informação, fornecedores de manutenção de aplicativos,

etc.) propriedade (responsabilidade ou responsabilidade)

por questões de proteção de dados e privacidade.

ETAPA 7 Implementar e Operar

um Sistema

Informatizado da

Proteção de Dados e

Privacidade

Há um grande número de ameaças potenciais e pontos de

entrada de risco no ambiente virtual, por isso é necessário

elaborar uma estratégia contínua de proteção de dados que

responda a todas as ameaças em potencial - antes que as

ameaças sejam identificadas.

Tal situação pode ser resolvida projetando as especificações

de um sistema computadorizado e ferramentas de software

para dar suporte ao processo de proteção de dados da

organização e operar, por conta disso se faz relevante

investir em tecnologia.


Produto 1: Proteção de dados atualizada e estratégia de privacidade (etapa 1);

Produto 2: Programa de privacidade e proteção de dados atualizado (etapa 1);

Produto 3: Controles de Controle de Dados (etapa 1);

Produto 4: Anúncio da nomeação do Diretor de Proteção de Dados ou Privacidade (etapa 4);

Produto 5: Comunicações relacionadas à proteção de dados e privacidade (etapas 3, 4, 5 e 6);

Produto 6: Proteção de dados e rede de privacidade (etapa 4);

Produto 7: Proteção de dados e função de privacidade nas descrições de trabalho (etapa 4);

Produto 8: Plano atualizado de conscientização, comunicação e treinamento em privacidade

(etapa 5);

Produto 9: Sistema informatizado de proteção de dados e privacidade (etapa 7);

A principal meta desta fase é o estabelecimento de uma estrutura organizacional e

mecanismos necessários para proteção de dados e garantia da privacidade em sua empresa.



44

5.2.3 FASE 3: DESENVOLVIMENTO E IMPLEMENTAÇÃO DA PROTEÇÃO À PRIVACIDADE E AOS

DADOS PESSOAIS

Os objetivos específicos dessa fase são: i) projeção um sistema de classificação de

dados; ii) desenvolvimento e implementação de todas as políticas, procedimentos e controles

necessários (por exemplo, dados confidenciais, executando um plano de treinamento,

integrando a privacidade em suas operações, etc.) para implementar as leis e os requisitos de

privacidade e proteção de dados para organização.


TABELA 11 – ETAPAS DA FASE 1: DESENVOLVIMENTO E IMPLEMENTAÇÃO DA PROTEÇÃO À

PRIVACIDADE E AOS DADOS PESSOAIS33

ETAPAS DA FASE 3: DESENVOLVIMENTO E IMPLEMENTAÇÃO DA PROTEÇÃO À PRIVACIDADE E AOS

DADOS PESSOAIS


ETAPA 1 Desenvolver e

implementar estratégias

e planos de proteção de

dados

Nesta fase é preciso: i) analisar e definir as necessidades e os

requisitos da sua empresa; ii) selecionar quais estratégias,

planos, políticas e controles mais adequados para a

organização; iii) atribuir responsabilidades para implementá-

las.

Feito isso é preciso: i’) desenvolver um sistema de

classificação de dados e usá-lo para classificar dados

(exemplos: “publicamente disponível ”,“ confidencial ”,“

sensível ”, etc.); ii’) criar procedimentos para implementar o

esquema de classificação de dados da empresa, junto com

detalhes sobre a propriedade de dados, uma descrição dos

requisitos de retenção e requisitos de uso e proteção com

base no nível de classificação e requisitos legais.

ETAPA 2 Implementar

Procedimento de

Aprovação para Processar

Dados Pessoais

Há casos em que as organizações devem obter a aprovação

dos reguladores de privacidade e proteção de dados do país

antes de coletar e processar dados pessoais. Tal situação

poderá surgir quando as operações de processamento da

empresa específica apresentam riscos específicos aos

titulares de dados, tais como: processamento de dados;

processamento de dados pessoais para fins de avaliação de

aspectos pessoais do individual ou determinar a

elegibilidade do indivíduo para um direito, benefício ou

contrato; e coleta e processamento em grande escala (por

exemplo, Big Data) etc.

Cabe a empresa em questão determinar instâncias onde a

33




45

aprovação é necessária, consultar o regulador nacional ou

europeu se não estiver claro se a aprovação é necessária e

documentar todo o processo de aprovação.

ETAPA 3 Registrar bancos de

dados de dados pessoais

Em determinados casos/jurisdições, é necessário que as

empresas notifiquem os órgãos reguladores de proteção de

dados e privacidade (nacionais, europeus) de seus bancos de

dados que contêm dados pessoais e o processamento

pretendido e registrá-los de acordo com as autoridades.

É a própria empresa que desenvolve procedimentos para

determinar quando a empresa deve registrar seus bancos de

dados, que informações incluir nos registros, como proceder

para registrar e documentar todo o processo de aprovação.

ETAPA 4 Desenvolver e

Implementar um Sistema

de Transferência de

Dados Transfronteiriço

O envio de dados para outro país, ainda que seja dentro da

própria corporação, aumenta consideravelmente os riscos e

a complexidade da gestão de dados. Por isso é preciso

desenvolver um fluxo específico para manter os registros do

mecanismo de transferência usado para fluxos de dados

internacionais (por exemplo, cláusulas contratuais padrão,

regras corporativas obrigatórias, aprovações de reguladores,

etc.).

Ainda neste sentido, é preciso manter a documentação

referente a todos os fluxos transfronteiriços, rastrear seu

uso e garantir a conformidade com mecanismos de

transferência internacional, tais como: Códigos corporativos

de conduta, tais como Regras corporativas vinculativas (BCR)

para cumprir as regras de transferência de dados; cláusulas

de modelo nos contratos; Aprovação de autoridade de

proteção de dados; e Confiança em qualquer isenção dos

requisitos de transferência estabelecidos em lei.

Importante pontuar que há cláusulas modelo para facilitar a

transferência de dados de um regime de proteção da

privacidade a um destinatário em um país que não fornece

proteções adequadas para dados pessoais criadas pelos

próprios governos que as exigem; cabe à empresa conferir o

padrão e adotá-lo ao processo. A aplicação de tais medidas é

obrigatória nesses casos.

Nas situações em que os mecanismos de transferência,

como Binding Corporate Rules (BCRs) ou modelos de

contratos não estão disponíveis, a empresa pode buscar a

aprovação da proteção de dados / privacidade regulador

para legitimar a transferência de dados. Ao transferir dados

confidenciais, como dados biométricos, a autorização do

regulador é sempre necessária.

ETAPA 5 Executar atividades de Cabe às organizações incluir a proteção de dados e



46

integração DP & P privacidade em todas as suas operações, executando as

tarefas em um conjunto específico de atividades de

integração que incorporam a proteção de dados e

privacidade em todos os seus aspectos.

São alguns exemplos: a retenção de registros corporativos;

contratação de pessoal corporativo; acesso ao site;

marketing digital; mídia social; dispositivos portáteis e

inteligentes; saúde e segurança; desenvolvimento de

sistemas e produtos, etc.

ETAPA 6 Executar o plano de

treinamento DP&P

A execução do plano de treinamento DP&P inclui: i) realizar

treinamento contínuo em privacidade e proteção de dados

para o DPO; ii) executar treinamento básico de privacidade

para a equipe; iii) Executar treinamento adicional em

privacidade para novas necessidades; iv) incluir treinamento

em privacidade e proteção de dados em outros

treinamentos corporativos; v) manter a conscientização da

proteção de dados; vi) manter a certificação profissional de

proteção de dados para o pessoal de privacidade; vii) medir

atividades de conscientização e treinamento sobre proteção

de dados.

ETAPA 7 Implementar controles de

segurança de dados

A implementação dos controles de segurança de dados

resumem-se em: i) incluir proteção de dados pessoais na

política de segurança corporativa; ii) incluir proteção de

dados pessoais na política de segurança da informação; iii)

incluir proteção de dados pessoais na política de uso

aceitável; iv) Incluir proteção de dados pessoais nas

Avaliações de Risco de Segurança; v) implementar os

controles de segurança técnica de TI; vi) implementar

controles de segurança de recursos humanos; vii) incluir

proteção de dados pessoais no planejamento de

continuidade de negócios; viii) desenvolver e implementar

uma estratégia de prevenção de perda de dados ; ix) realizar

testes regulares de segurança de dados; x) manter a

certificação de segurança.


Produto 1: Sistema de Classificação de Dados Pessoais (etapa 1);

Produto 2: Procedimento para Aprovar o Processamento de Dados Pessoais (etapa 2);

Produto 3: Documento de registo de bases de dados pessoais (etapa 3);

Produto 4: Documento de registo de bases de dados pessoais (etapa 4);

Produto 5: Atividades de integração de DP & P executadas (etapa 5);

Produto 6: Atividades de treinamento em DP & P executadas (etapa 6);



47

Produto 7: Controles de segurança de dados implementados (etapa 7);

A principal meta desta fase é desenvolver e implementar um conjunto de medidas de

proteção de dados para controlar dados pessoais de maneira mais eficaz para sua empresa.

5.2.4 FASE 4: PROTEÇÃO DE DADOS E GOVERNANÇA DA PRIVACIDADE

Os objetivos centrais dessa fase são: i) projetar e configurar as estruturas de governança

de privacidade e proteção de dados (por exemplo, um programa de privacidade e proteção de

dados); ii) envolver e comprometer todas as partes envolvidas com a proteção de dados e

privacidade; iii) relatar continuamente todas as questões de proteção de dados e privacidade

de sua empresa ou organização.

A Fase 4 é organizada se acordo com as seguintes etapas e ações:

TABELA 12 – ETAPAS DA FASE 4: PROTEÇÃO DE DADOS E GOVERNANÇA DA PRIVACIDADE34

ETAPAS DA FASE 4: PROTEÇÃO DE DADOS E GOVERNANÇÃO DA PRIVACIDADE


ETAPA 1 Implementar práticas

para gerenciar os usos de

dados

O uso dos dados é modificado de acordo com o tipo de

informação ou situação com a qual se está lidando:

Dados Sensíveis: exigem um padrão mais elevado de

cuidado e proteção. São exemplos de "dado sensível":

opiniões políticas; origem racial ou étnica; dados relativos à

vida sexual; crenças religiosas ou filosóficas; filiação em

sindicato; informação de saúde física ou mental; bem-estar

social; informação financeira; identificadores nacionais ou

de outro governo, por ex. seguro Social; acusações criminais

ou condenações; biometria; dados genéticos; dados de

localização e dados referentes a crianças. O DPO deve

garantir seja possível adicionar a proteção necessária para

processar dados pessoais confidenciais/sensíveis

legalmente.

Processo Automatizado de Tomada de Decisões para Dados

Pessoais: as organizações devem ter mecanismos (práticas,

políticas e procedimentos) em vigor para avaliar a

importância de qualquer tomada de decisão automatizada

(se as decisões têm efeito legal ou significativo sobre o

indivíduo) e tomar medidas para introduzir um processo de

revisão manual onde decisões significativas estão sendo

tomadas. O DPO deve garantir que essas práticas sejam

implementadas integralmente para evitar os riscos

34




48

potenciais de tomada de decisões automatizadas nesses

dados pessoais.

Usos Secundários de Dados Pessoais: é quando o uso dos

dados pela organização vai além da finalidade central

apontada e cabe a essas empresas lidar com situações em

que deseja usar os dados pessoais de maneiras que

divergem desses propósitos definidos. O DPO deve garantir

que essas práticas sejam implementadas integralmente para

evitar os riscos potenciais de processamento secundário não

autorizado nesses dados pessoais.

ETAPA 2 Manter avisos de

proteção de dados

As empresas mantêm avisos de privacidade e proteção de

dados para indivíduos de acordo com a política de proteção

de dados, requisitos legais e tolerância a riscos operacionais.

Esses avisos devem identificar: i) quais dados pessoais são

coletados?; ii) como os dados pessoais são coletados,

usados, mantidos, retidos e divulgados?; iii) que controle

específico os indivíduos cujos dados pessoais estão

envolvidos têm?

ETAPA 3 Executar um Plano de

Solicitações, Reclamações

e Retificação

Este plano de execução deverá conter:

i) procedimentos de acesso a dados pessoais;

ii) procedimentos de Reclamação de Dados Pessoais;

iii) Procedimentos de Retificação de Dados Pessoais;

iv) Procedimentos de Objeção de Dados Pessoais;

v) Procedimentos de Portabilidade de Dados Pessoais;

vi) Procedimentos de eliminação de dados pessoais;

vii) Procedimentos de Informação de Manipulação de Dados

Pessoais.

ETAPA 4 Executar uma avaliação

de risco de proteção de

dados

O programa de privacidade e proteção de dados deve ser

determinado pelos desafios e dados de conformidade legais

e regulamentares que podem ser afetados. Neste sentido o

DPO deve adotar um procedimento para conduzir uma

avaliação de risco organizacional de proteção de dados nas

unidades de negócios (incluindo TI, recursos humanos,

vendas, marketing, produção e desenvolvimento de

produtos, etc.).

Essa avaliação de risco é um pré-requisito para o

desenvolvimento de um Programa de Privacidade e

Proteção de Dados Organizacionais, no qual o Escritório de

Proteção e Privacidade cria e supervisiona a proteção

individual de dados e as autoavaliações de privacidade e

segurança, revisões de processos de negócios, melhorias de

processo, comunicações e treinamento, entre outros.

Esse processo permite que o DPO seja capaz de identificar e

priorizar as lacunas de privacidade e segurança da



49

organização de modo a gerir o plano de ação na busca da

mitigação dos riscos.

Também cabe ao DPO a garantir que que os riscos de

terceiros são geridos de maneira confiável e correta.

ETAPA 5 Emitir relatórios de

privacidade e proteção de

dados

É necessário que a empresa emita um relatório sobre o

status da proteção de dados e gerenciamento de

privacidade para as partes interessadas (por exemplo,

diretoria, gerência, acionistas).

Ao fazer isso, é essencial informar sobre proteção de dados

e privacidade de forma precisa, abrangente e eficiente. De

modo que os gestores garantam que o programa de

privacidade está focado em que a empresa atinja a

conformidade e reduza os riscos relacionadas com o

processamento de dados pessoais. Importante pontuar que

o status do programa também deve ser comunicado

internamente.

Através da realização de tais comunicados, é possível alinhar

a proteção de dados e a função de privacidade junto aos

objetivos da empresa, concentrando-se em como a

privacidade dá suporte aos resultados finais da organização,

destacando o status de conformidade com os requisitos

legais e regulamentares.

Também é preciso emitir um relatório externo – realizado

por auditorias, por exemplo – para as partes externas

interessas (como reguladores, clientes e terceiros). Desse

modo é possível publicizar as preocupações e

organizacionais na busca de um comportamento em

compliance com as regras em proteção e de dados.

ETAPA 6 Manter a documentação

de privacidade e proteção

de dados

Esta documentação deverá estar disponível aos reguladores

e autoridades dados, quando os mesmos solicitarem.

Interessante apontar, que essa documentação também

serve como evidência ao se candidatar a "marcas de

confiança", selos, BCRs, certificações e participação em

outros programas de auto-regulamentação.

ETAPA 7 Estabelecer e manter um

plano de resposta a

violações de dados

As funções da criação de um plano de resposta à violação de

dados:

i) Manter um procedimento de notificação de violação aos

indivíduos afetados;

ii) Relatar todos os incidentes de privacidade ou violações de

dados aos reguladores, agências de crédito, leis

autoridades competentes e outros terceiros externos em

tempo hábil, etc.;

iii) Registrar certos detalhes sobre incidentes de privacidade

ou violações de dados com a finalidade de cumprir com as



50

leis de notificação de violação, aderindo às melhores

práticas da indústria, e sendo capaz de demonstrar tal

conformidade no caso de uma ação judicial ou outro exame

regulamentar.

iv) Garantir que as notificações e relatórios de violação de

dados se alinhem com requisitos e melhores práticas.

v) Monitorar, documentar e relatar métricas de violação de

dados ou incidente de privacidade para que a eficácia das

políticas e procedimentos de resposta à violação de dados é

avaliada e o conselho de administração e a gerência estão

cientes de como as violações estão sendo tratadas e alocar

quaisquer novos recursos necessários para mitigar os riscos

específicos envolvidos;

vi) Realizar testes periódicos do incidente de privacidade ou

plano de resposta a violações;

vii) Contratar os serviços de um provedor de correção de

resposta à violação de dados para serviços que podem ser

necessários para responder a uma violação, incluindo a

prestação de: investigações; Operação de um call center;

Notificações de violação; Relações públicas Serviços;

Serviços de resolução de roubo de identidade, etc.;

viii) Obter cobertura de seguro a violações de dados

adequada para os custos associados com uma violação de

privacidade, como notificações de correspondência e

fornecimento de monitoramento de crédito ou outros

serviços ao consumidor para indivíduos afetados, custos de

ações judiciais, etc.


Produto 1: Proteção de dados atualizada e estratégia de privacidade (etapa 1);

Produto 2: Política de proteção de dados (etapa 1);

Produto 3: Procedimento para manter avisos de privacidade e proteção de dados (etapa 2);

Produto 4: Plano de Solicitações, Reclamações e Retificação (etapa 3);

Produto 5: Processo de Avaliação de Risco de Proteção de Dados (etapa 4);

Produto 6: Plano de Gerenciamento de Riscos de Terceiros (etapa 4);

Produto 7: Relatório de proteção à privacidade (etapa 5);

Produto 8: Documentação de Proteção de Dados (etapa 6);

Produto 9: Plano de Resposta à Violação de Dados (etapa 7);

A principal meta desta fase é estabelecer as estruturas de governança de privacidade e

proteção de dados para melhor realizar a proteção de dados e gerenciamento de privacidade.



51

5.2.5 FASE 5: AVALIAÇÃO E MELHORIA DAS MEDIDAS DE PROTEÇÃO À PRIVACIDADE E AOS DADOS

PESSOAIS

Os objetivos centrais dessa fase são: i) monitorar a operação e resolução de todos os

assuntos relacionados à privacidade; ii) avaliar regularmente se sua empresa ou organização

está em conformidade com as políticas internas de proteção de dados e privacidade e

processos operacionais; iii) melhorar suas medidas e controles de proteção e prevenção de

dados com base em auditorias e revisões internas e externas.


TABELA 13 – ETAPAS DA FASE 5: AVALIAÇÃO E MELHORIA DAS MEDIDAS DE PROTEÇÃO À

PRIVACIDADE E AOS DADOS PESSOAIS35

ETAPAS DA FASE 5: AVALIAÇÃO E MELHORIA DAS MEDIDAS DE PROTEÇÃO À PRIVACIDADE E AOS

DADOS PESSOAIS


ETAPA 1 Realizar auditorias

internas de proteção de

dados

O departamento de Auditoria Interna deverá avaliar

regularmente se a organização está em conformidade com

as políticas internas de privacidade e proteção de dados e

processos operacionais. De modo que, os resultados dessas

auditorias e avaliações de privacidade devem informar e

orientar as decisões sobre privacidade para criar ou atualizar

políticas, projetar ou adaptar procedimentos, conduzir ou se

envolver em outras atividades para minimizar os riscos e

cumprir as normas internas ou externas.

ETAPA 2 Contratar uma parte

externa para executar a

Proteção de dados e

Avaliações de privacidade

A organização poderá solicitar que uma avaliação seja

executada por um provedor de serviços externo para validar

a conformidade com as políticas internas de privacidade e

com as políticas aplicáveis. Os resultados dessas avaliações

informam/permitem/orientam as decisões pela proteção de

dados e o DPO na criação ou atualização das políticas de

privacidade, projeção ou adaptação de procedimentos de

privacidade e proteção de dados, realização de treinamento

de privacidade ou o envolvimento em outras atividades para

garantir a conformidade com os requisitos de privacidade

internos ou externos.

ETAPA 3 Realizar avaliações de

privacidade e

benchmarks

O DPO deve seguir procedimentos para conduzir avaliações

de conformidade da unidade de negócios com as políticas de

privacidade periodicamente, mas sem aviso prévio. Além

disso, após um evento de privacidade (por exemplo,

violação, reclamação, consulta), o Privacy Office deve ter

35




52

políticas e procedimentos para conduzir uma avaliação ad-

hoc da unidade de negócios, produto, serviço, sistema ou

processo que foi o assunto do evento com a finalidade de: i)

avaliar a conformidade com a privacidade; ii) determinar os

riscos de privacidade; iii) identificar quaisquer lacunas que

devam ser corrigidas.

ETAPA 4 Executar avaliações de

impacto de proteção de

dados

Empresas e organizações têm políticas, procedimentos e

práticas para determinar quando as avaliações de impacto

de privacidade (PIAs) ou avaliações de impacto de proteção

de dados (DPIAs) são necessárias como parte do processo de

desenvolvimento de novos programas, sistemas e processos

para garantir a privacidade. Também têm as políticas e

procedimentos correspondentes a seguir quando as

unidades operacionais propõem mudanças em seus

programas, sistemas existentes ou processos para assegurar

que a proteção de dados e os riscos à privacidade sejam

medidos, analisados e alternativas de proteção à privacidade

são consideradas. Este processo também pode contar com o

Princípios de Privacidade por Re-Design para garantir a

privacidade e proteção de dados é considerado em todos os

pontos do programa, desenvolvimento de sistemas e

processos.

Essas PIAs / DPIAs devem:

i) Analisar como programas, funções, sistemas e processos

coletam, usam, compartilham e manter dados pessoais para

garantir a conformidade com a privacidade / proteção de

dados aplicável leis e políticas;

ii) Determinar os riscos para os dados pessoais inerentes aos

programas, sistemas; funções;

projetos; e processos.

ETAPA 5 Resolver os riscos à


dados (Data Protection &

Privacy - DP&P)

A avaliação do impacto na privacidade ("PIAs") ou a

avaliação do impacto sobre a proteção de dados ("DPIAs")

precisam ser inseridas no planejamento das próximas etapas

de um sistema, processo ou projeto. Empresas e

organizações implementam um procedimento para:

i) Avaliar as questões identificadas na PIA / DPIA;

ii) Avaliar possíveis proteções e processos alternativos para

mitigar essas proteções de dados riscos identificados;

iii) Monitorar como as ações de mitigação de risco

escolhidas são implementadas.

ETAPA 6 Criar relatório de análise

e resultados de risco de

DP&P

Empresas e organizações devem relatar as análises e

resultados de risco de DP & P para os reguladores, quando

necessário, e para as partes interessadas (clientes,

funcionários, defensores da privacidade, etc.). Entre as



53

razões que justificam a situação há casos em que existe

riscos de privacidade que não podem ser mitigados por

meios razoáveis por parte da empresa, ou podem levar mais

tempo, etc. Estes relatórios são emitidos para o regulador

ou partes interessadas relevantes para que esses grupos

sejam informados dos riscos à privacidade e à proteção de

dados pessoais antes do lançamento de um novo produto de

privacidade, programa, sistema, processo ou a transferência

de dados pessoais para outra jurisdição, etc.

ETAPA 7 Monitorar as leis e

regulamentos de


dados pessoais

Uma vez ciente de uma proposta de nova proteção de dados

ou padrão de privacidade, lei, regulamento ou código, ou

emendas a estes, cabe às organizações:

i) Acompanhar o seu progresso e reporta às partes

interessadas apropriadas sobre o impacto o

desenvolvimento terá no programa de privacidade ou

atividades de negócios da organização que têm riscos de

privacidade;

ii) Procura um parecer do consultor jurídico da organização

(interno ou externo) sobre o impacto que essas novas

alterações terão no programa de privacidade ou negócios da

empresa atividades que têm riscos de privacidade;

iii) Manter-se informada de como os novos

desenvolvimentos nestes (leis e regulamentos, etc.)

manuseados, inclusive fazendo registros do que foi alterado

e por que, como bem como documentar decisões para não

implementar quaisquer alterações e a lógica por trás dessas

decisões.


Produto 1: Relatório de auditoria interna de proteção de dados e privacidade (etapa 1);

Produto 2: Data protection and privacy eternal audit report (etapa 2);

Produto 3: Relatório de avaliação de privacidade ad hoc (etapa 3);

Produto 4: Relatório de autoavaliação de privacidade (etapa 3);

Produto 5: Relatório de referência de privacidade (etapa 3);

Produto 6: Relatório de Avaliação de Impacto de Proteção de Dados (etapa 4);

Produto 7: Relatório de Riscos Resolvidos de Privacidade e Proteção de Dados (etapa 5);

Produto 8: Relatório de Análise e Resultados de Risco DP & P (etapa 6);

Produto 9: Monitorando o Relatório de Leis de Privacidade (etapa 7);

A principal meta desta fase é auditar os aspectos de proteção de dados e privacidade de

sua empresa, de modo que você encontre as lacunas e erros nas medidas e controles



54

implementados relacionados à proteção de dados e privacidade e agende ações para melhorá-

los.

REFERÊNCIAS BIBLIOGRÁFICAS

ALVES, Carla Segala; VAINZOF, Rony. Privacy by design e proteção de dados pessoais. Jota, 2016. Disponível em:

https://www.jota.info/opiniao-e-analise/colunas/direito-digital/direito-digital-privacy-design-e-protecao-de-

dados-pessoais-06072016. Acesso em jan. 2019.

BOBBIO, Norberto. A Era dos Direitos. Tradução de Carlos Nelson Coutinho. Rio de Janeiro: Campus, 2010.

CENCE, Ivanise. A inocência potencializa o risco. Revista Fonte, a. 14, n. 18, dez, 2017. Disponível em: <

https://www.prodemge.gov.br/images/com_arismartbook/download/22/revista_18.pdf>. Acesso em mai 2018.

COELHO, Flávia E. S.; ARAÚJO, Luiz Geraldo S. de; BEZERRA, Edson Kowask. Gestão da Segurança da Informação:

NBR 27001 e NBR 27002. Rio de Janeiro: Escola Superior de Redes, 2014.

COMISSÃO EUROPEIA. Orientações relativas à Avaliação de Impacto sobre a Proteção de Dados (AIPD) e que

determinam se o tratamento é «suscetível de resultar num elevado risco» para efeitos do Regulamento (UE)

2016/679. 2017.

COMISSÃO EUROPEIA. Orientações encarregados da proteção de dados (EPD). 2017.

COMISSÃO EUROPEIA. Proteção de dados. Disponível em:

https://ec.europa.eu/justice/smedataprotect/index_pt.htm. Acesso em jan. 2019.

DAMA. DAMA – DMBOK: Data Management Body of Knowledge, second edition. Nova Jersey, Estados Unidos da

América: Techinics Publications, 2017.

FONTES, Edison. Políticas e normas para segurança da informação. Rio de Janeiro: Brasport, 2012.

GRANT THORNTON. Ataques cibernéticos causaram prejuízo de US$ 280 bilhões. 2017. Disponível em: <

https://www.grantthornton.com.br/grant-thornton-noticias/press-releases/2017/ataques-ciberneticos/>. Acesso

em mai 2018.

HONORATO, Eduardo. Cibersegurança: qual o risco mundial? Revista Fonte, a. 14, n. 18, dez, 2017. Disponível em:

< https://www.prodemge.gov.br/images/com_arismartbook/download/22/revista_18.pdf>. Acesso em mai 2018.

INTEL SECURITY; THE ASPEN INSTITUTE. Critical infrastructure readiness report. Holding the line against

cyberthreats. 2015. Disponível em: <

https://www.thehaguesecuritydelta.com/media/com_hsd/report/43/document/Critical-Infrastructure-Readiness-

Report---Holding-the-Line-against-Cyberthreats.pdf>. Acesso em mai 2018.

KYRIAZOGLOU, John. Data Protection and Privacy Management System: Data Protection and Privacy Guide – Vol.

I. Bookboon, 2016. (eBook).



https://www.jota.info/opiniao-e-analise/colunas/direito-digital/direito-digital-privacy-design-e-protecao-de-dados-pessoais-06072016

https://www.jota.info/opiniao-e-analise/colunas/direito-digital/direito-digital-privacy-design-e-protecao-de-dados-pessoais-06072016

https://www.prodemge.gov.br/images/com_arismartbook/download/22/revista_18.pdf


https://www.grantthornton.com.br/grant-thornton-noticias/press-releases/2017/ataques-ciberneticos/


https://www.thehaguesecuritydelta.com/media/com_hsd/report/43/document/Critical-Infrastructure-Readiness-Report---Holding-the-Line-against-Cyberthreats.pdf

https://www.thehaguesecuritydelta.com/media/com_hsd/report/43/document/Critical-Infrastructure-Readiness-Report---Holding-the-Line-against-Cyberthreats.pdf

55

LEPRONI, Paola. Gerenciamento de dados: gerencie seus dados como um recurso valioso. SAS, 2018. Disponível

em: https://www.sas.com/pt_br/insights/data-management/gerenciamento-de-dados.html. Acesso em jan. 2019.

MORAES, Henrique Fabretti. Proteção de dados pessoais: privacy by design e compliance. Legal, ethics &

Compliance, 2018. Disponível em: http://www.lecnews.com.br/blog/protecao-de-dados-pessoais-privacy-by-

design-e-compliance/. Acesso em jan. 2019.

PINHEIRO, Patricia Peck Garrido. Direito Digital. 6ª ed. São Paulo: Saraiva, 2016.

PINHEIRO, Patricia Peck. Privacidade e cibersegurança. 2018. Disponível em: https://lp.startse.com.br/wp-

content/uploads/2018/05/13-as-novas-tematicas-e-oportunidades-no-universo-juridico-patricia-peck.pdf. Acesso

em jan. 2019.

PINHEIRO, Patricia Peck Garrido. O Direito Internacional da Propriedade Intelectual Aplicado à Inteligência

Artificial. (Tese para doutoramento). São Paulo: USP - Faculdade de Direito, 2018. 316f.

PRICEWATERHOUSECOOPERS. The Global State of Information Security Survey 2017. PwC, out, 2016. Disponível

em: < https://www.pwc.com/gx/en/issues/information-security-survey/internet-of-things.html>. Acesso em abr

2018.

RÊGO, Bergson Lopes. Gestão de Dados: 10 questões básicas sobre o seu uso. DevMedia, 2014. Disponível em:

https://www.devmedia.com.br/gestao-de-dados-10-questoes-basicas-sobre-seu-uso/30076. Acesso em jan. 2019.

RIBEIRO, Gilmar. O dilema da proteção de informação nas organizações. Revista Fonte, a. 14, n. 18, dez, 2017.

Disponível em: < https://www.prodemge.gov.br/images/com_arismartbook/download/22/revista_18.pdf>. Acesso

em mai 2018.

SANTOS, Jánison Calixto dos; NASCIMENTO, Hugo A. D. do. Implantação de um Sistema de Gestão de Segurança

da Informação na UFG. In: WORKSHOP DE TECNOLOGIA DA INFORMAÇÃO DA UFES, 2, Gramado, Anais, 2008.

Disponível em: <

http://www.ufrgs.br/iiwtiifes/trabalhos/TRAB10943_CPE55410_40_Seguranca%20da%20InformacaoUFG.pdf>.

Acesso em mai 2018.

SYMANTEC. Relatório de Ameaças à Segurança da Internet. ISTR, v. 23, mar, 2018. Disponível em: <

http://images.mktgassets.symantec.com/Web/Symantec/%7B4367e625-7050-4087-b199-

9640c778699f%7D_ISTR23-FINAL_PT.pdf>. Acesso em mai 2018.

VILAS, Sara Marques. A implementação da gestão de risco operacional numa instituição financeira portuguesa

tendo como base a abordagem de mediação avançada: processo, desafios e oportunidades. 2015. (Dissertação

para Mestrado em Estatística e Gestão de Informação) Universidade Nova de Lisboa, Lisboa, 2015. [Orientador:

Prof. Dr. Rui Alexandre Henrique Gonçalves]. Disponível em:

<https://run.unl.pt/bitstream/10362/17370/1/TEGI0363.pdf>. Acesso em abr 2018.

WESTTERMAN, George; HUNTER, Richard. O risco de TI: convertendo ameaças aos negócios em vantagem

competitiva. São Paulo: M. Books do Brasil Editora Ltda, 2008.



https://www.sas.com/pt_br/insights/data-management/gerenciamento-de-dados.html

http://www.lecnews.com.br/blog/protecao-de-dados-pessoais-privacy-by-design-e-compliance/

http://www.lecnews.com.br/blog/protecao-de-dados-pessoais-privacy-by-design-e-compliance/

https://lp.startse.com.br/wp-content/uploads/2018/05/13-as-novas-tematicas-e-oportunidades-no-universo-juridico-patricia-peck.pdf

https://lp.startse.com.br/wp-content/uploads/2018/05/13-as-novas-tematicas-e-oportunidades-no-universo-juridico-patricia-peck.pdf

https://www.pwc.com/gx/en/issues/information-security-survey/internet-of-things.html

https://www.devmedia.com.br/gestao-de-dados-10-questoes-basicas-sobre-seu-uso/30076


http://www.ufrgs.br/iiwtiifes/trabalhos/TRAB10943_CPE55410_40_Seguranca%20da%20InformacaoUFG.pdf

http://images.mktgassets.symantec.com/Web/Symantec/%7B4367e625-7050-4087-b199-9640c778699f%7D_ISTR23-FINAL_PT.pdf

http://images.mktgassets.symantec.com/Web/Symantec/%7B4367e625-7050-4087-b199-9640c778699f%7D_ISTR23-FINAL_PT.pdf

Documents

CURSO PRIVACY AND DATA PROTECTION PRACTITIONER...Basic, Cobol, C++, Html. Advogada Mais Admirada em Propriedade Intelectual por 10 anos consecutivos de 2008 à 2017. Recebeu o prêmio