Siglas relativas à Proteção e Privacidade de Dados

LGPD – Lei Geral de Proteção de Dados

Trata-se da Lei nº 13.709, de 14 de agosto de 2018[1]. O primeiro artigo dessa lei diz que ela dispõe sobre o tratamento de dados pessoais, realizado por pessoa natural ou por pessoa jurídica. E que o seu objetivo é proteger direitos fundamentais de liberdade e privacidade.

Assim, todas as pessoas (naturais e jurídicas) que tratem dados pessoais devem observar as regras contidas na LGPD.

Mas o que significa tratar dados pessoais? O que são dados pessoais?

Tratamento consiste em todas as operações realizadas com dados pessoais[2].

Dados pessoais, conforme o art. 5º, I, da LGPD, são informações relacionadas a pessoa natural identificada ou identificável.

DPMS – Data Protection Management System – Programa de Privacidade e Proteção de Dados

É o sistema para gerenciamento e proteção de dados pessoais. Envolve governança e gestão, com o objetivo de criar, desenvolver, implementar, operacionalizar e monitorar as práticas de proteção de dados. Aspectos a serem observados para criação e implementação do DPMS: estratégia, governança, políticas e procedimentos, ferramentas, conscientização e treinamento.

O art. 46, da LGPD, determina que os agentes de tratamento[3] devem adotar medidas de segurança, técnicas e administrativas, para proteção dos dados pessoais.

As medidas de técnicas de proteção são as relativas a recursos e ferramentas de TI[4].

Já as medidas administrativas de proteção são políticas corporativas para proteção dos dados pessoais, contratos de confidencialidade, políticas de privacidade de sites e aplicativos, capacitação de pessoal envolvido no tratamento de dados, controles de acesso, entre outras.

No âmbito jurídico, devem ser revisados procedimentos, documentos, contratos e políticas internas e comerciais, as políticas de cookies, de privacidade, termos de uso.

O art. 49, da LGPD, determina que o sistema utilizado para tratamento de dados pessoais deve estar estruturado para atender a requisitos de segurança, padrões de boas práticas e de governança, assim como os princípios gerais da Lei e outras normas.

Os requisitos de segurança mencionados são aqueles acima referidos, decorrentes do disposto no art. 46.

Tem-se entendido como padrões de boas práticas e de governança, por exemplo, aqueles previstos na Norma Técnica ABNT NBR ISO/IEC 27002, assim como privacy by design e by default e instrumentos de governança corporativa (políticas internas de segurança da informação e de proteção de dados pessoais, contratos e acordos de confidencialidade, capacitação dos empregados, monitoramento dos controles).

Os princípios da LGPD encontram-se em seu art. 6º, quais sejam: Finalidade, Adequação, Necessidade, Livre Acesso, Qualidade, Transparência, Segurança, Prevenção, Não Discriminação, Responsabilização e Prestação de Contas[5].

Relatório de Impacto à Proteção de Dados (RIPD) ou DPIA

O Relatório de Impacto à Proteção de Dados Pessoais, também denominado Data Protection Impact Assessment (DPIA) pode ser definido como: documentação do controlador[6] que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco (art. 5º, XVII, da LGPD).

Esse relatório poderá ser solicitado pela Autoridade Nacional de Proteção de Dados (ANPD)[7][8] quando o tratamento de dados pessoais tiver como fundamento interesse legítimo[9], observados os segredos comercial e industrial (art. 10, § 3º, LGPD).

Conforme art. 38, da LGPD, a autoridade nacional poderá determinar ao controlador que elabore o RIPD, devendo o mesmo conter, no mínimo: a descrição dos tipos de dados coletados, a metodologia utilizada para a coleta e para a garantia da segurança das informações e a análise do controlador com relação a medidas, salvaguardas e mecanismos de mitigação de risco adotados.

[1] http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm

[2] https://www.serpro.gov.br/lgpd/menu/a-lgpd/glossario-lgpd

Tratamento: toda operação realizada com dados pessoais; como as que se referem a:

• acesso – possibilidade de comunicar-se com um dispositivo, meio de armazenamento, unidade de rede, memória, registro, arquivo etc., visando receber, fornecer, ou eliminar dados

• armazenamento – ação ou resultado de manter ou conservar em repositório um dado

• arquivamento – ato ou efeito de manter registrado um dado embora já tenha perdido a validade ou esgotada a sua vigência

• avaliação – ato ou efeito de calcular valor sobre um ou mais dados

• classificação – maneira de ordenar os dados conforme algum critério estabelecido

• coleta – recolhimento de dados com finalidade específica

• comunicação – transmitir informações pertinentes a políticas de ação sobre os dados

• controle – ação ou poder de regular, determinar ou monitorar as ações sobre o dado

• difusão – ato ou efeito de divulgação, propagação, multiplicação dos dados

• distribuição – ato ou efeito de dispor de dados de acordo com algum critério estabelecido

• eliminação – ato ou efeito de excluir ou destruir dado do repositório

• extração – ato de copiar ou retirar dados do repositório em que se encontrava

• modificação – ato ou efeito de alteração do dado

• processamento – ato ou efeito de processar dados

• produção – criação de bens e de serviços a partir do tratamento de dados

• recepção – ato de receber os dados ao final da transmissão

• reprodução – cópia de dado preexistente obtido por meio de qualquer processo

• transferência – mudança de dados de uma área de armazenamento para outra, ou para terceiro

• transmissão – movimentação de dados entre dois pontos por meio de dispositivos elétricos, eletrônicos, telegráficos, telefônicos, radioelétricos, pneumáticos etc.

• utilização – ato ou efeito do aproveitamento dos dados

[3] Art. 5º, IX – agentes de tratamento: o controlador e o operador; […] VI – controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais; VII – operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador.

[4] Ferramentas de autenticação de acesso a sistemas, mecanismos de segurança em softwares e hardwares, recursos de controle de tráfego de dados em rede, instrumentos detectores de invasões de sistemas, recursos de criptografia, segregação de servidores, ferramentas de prevenção à perda de dados, testes de vulnerabilidade, cópias de segurança, entre muitos outros.

[5] Art. 6º As atividades de tratamento de dados pessoais deverão observar a boa-fé e os seguintes princípios: I – finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades; II – adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento; III – necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados; IV – livre acesso: garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais; V – qualidade dos dados: garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento; VI – transparência: garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial; VII – segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão; VIII – prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais; IX – não discriminação: impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos; X – responsabilização e prestação de contas: demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.

[6] Art. 5º, VI – pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais.

[7] Art. 5º, XIX – autoridade nacional: órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento desta Lei em todo o território nacional.

[8] ANPD criada através do Decreto nº 10.474, de 26 de agosto de 2020.

[9] Uma das bases legais para tratamento, previstas no art. 7º, da LGPD.

Cookie	Duração	Descrição
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.