Mapa Mental LGPD - 13.709/18 Guia boas práticas - Ricardo ÁtiLa

1. 1. A LGPD e os direitos fundamentais do titular de dados

1.1. 1.1 direitos garantidos aos titulares de dados

1.2. 1.2 direitos específicos dos titulares de dados

2. 2-principios das atividades de Tratamento de Dados art 6º - 10 atividades

2.1. 2.1 Finalidade

2.1.1. realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades

2.2. 2.2 Adequação

2.2.1. compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento

2.3. 2.3 Necessidade

2.3.1. limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados

2.4. 2.4 Livre acesso

2.4.1. garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais

2.5. 2.5 qualidade dos dados

2.5.1. garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento

2.6. 2.6 transparência

2.6.1. garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial

2.7. 2.7 Segurança

2.7.1. utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão

2.8. 2.8 Prevenção

2.8.1. adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais

2.9. 2.9 Não discriminação

2.9.1. impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos;

2.10. 2.10 responsabilidade e prestação de contas

2.10.1. demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas

3. 3-meios de acesso à informação;

3.1. 3.1

3.1.1. 3.1. O tratamento das informações pessoais deve ser feito de forma transparente e com respeito à intimidade, vida privada, honra e imagem das pessoas, bem como às liberdades e garantias individuais.

3.1.1.1. 3.1.1. Essas informações terão seu acesso restrito, independentemente de classificação de sigilo e pelo prazo máximo de 100 (cem) anos a contar da sua data de produção, a agentes públicos legalmente autorizados e à pessoa a que elas se referirem; e

3.1.1.2. 3.1.2. poderão ter autorizada sua divulgação ou acesso por terceiros diante de previsão legal ou consentimento expresso da pessoa a que elas se referirem.

3.1.1.3. 3.1.3. A restrição de acesso à informação relativa à vida privada, honra e imagem de pessoa não poderá ser invocada com o intuito de prejudicar processo de apuração de irregularidades em que o titular das informações estiver envolvido, bem como em ações voltadas para a recuperação de fatos históricos de maior relevância

3.2. 3.2

3.2.1. 3.2. O titular dos dados pessoais tem direito a obter do controlador, em relação aos dados do titular por ele tratados, a qualquer momento e mediante requisição:

3.2.1.1. 3.2.1. A confirmação da existência de tratamento

3.2.1.2. 3.2.2. Acesso aos dados

3.2.1.3. 3.2.3. Correção de dados incompletos

3.2.1.4. 3.2.4. Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto na LGPD

3.2.1.5. 3.2.5. Portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa, de acordo com a regulamentação da autoridade nacional, observados os segredos comercial e industrial;

3.2.1.6. 3.2.6. Eliminação dos dados pessoais tratados com o consentimento do titular, exceto nas hipóteses previstas no art. 16 da LGPD

3.2.1.7. 3.2.7. Informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados

3.2.1.8. 3.2.8. Informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa;

3.2.1.9. 3.2.9. Revogação do consentimento, nos termos do § 5º do art. 8º desta Lei.

3.3. 3.3

3.3.1. 3.3. Quando o tratamento tiver origem no consentimento do titular ou em contrato, o titular poderá solicitar cópia eletrônica integral de seus dados pessoais, observados os segredos comercial e industrial, nos termos de regulamentação da autoridade nacional, em formato que permita a sua utilização subsequente, inclusive em outras operações de tratamento

4. 4 Tratamento de Dados: hipóteses de tratamento, coleta, anonimização e pseudonimização

4.1. 4.1. Hipóteses de tratamento de dados pessoais:

4.2. 4.2. Coleta

4.3. 4.3. Anonimização e Pseudonimização

5. 5-Tratamento de Dados: publicidade na Lei Geral de Proteção de Dados (LGPD) e Lei de Acesso à Informação (LAI – Lei 12.527/2011), bem como em sites governamentais

5.1. 5.1. O inciso I do art. 23 da LGPD impõe às pessoas jurídicas de direito público obrigações de transparência ativa. Isto é, de publicar informações sobre os tratamentos de dados pessoais por elas realizados em seus sítios eletrônicos de forma clara e atualizada, detalhando a previsão legal, a finalidade, os procedimentos e as práticas utilizadas para a execução desses tratamentos

5.2. 5.2. Também deve ser dada publicidade aos tratamentos de dados pessoais sensíveis em que seja dispensado o consentimento do titular, seja para cumprimento de obrigação legal ou regulatória, seja para tratamento compartilhado de dados necessários para a execução de políticas públicas previstas em leis ou regulamentos, conforme prevê o §2º do art. 11 da LGPD.

5.3. 5.3. Outra informação a ser publicizada é a identidade e informações de contato do encarregado, por força do art. 41, §1º da LGPD.

5.4. 5.4. Quando o tratamento de dados pessoais envolver a obrigação legal de difusão destes em transparência ativa, estes devem ser publicados em formato interoperável e estruturado para o uso compartilhado, em cumprimento ao disposto no art. 25 da LGPD e como já previa o art. 8º, §3 da Lei nº 12.527/2011, a Lei de Acesso à Informação

6. 10-Fiscalização, ANPD e das sanções administrativas

6.1. 10.2 - ANPD

6.1.1. 10.1 - Fiscalização e sanções administrativas

6.1.2. 10.2.1. Órgão da administração pública federal, integrante da Presidência da República

6.1.3. 10.2.2. Art. 55-J. Compete à ANPD

6.1.3.1. 10.2.3. Art. 55-K. A aplicação das sanções previstas na LGPD competem exclusivamente à ANPD, e suas competências prevalecerão, no que se refere à proteção de dados pessoais, sobre as competências correlatas de outras entidades ou órgãos da administração pública

6.1.3.2. 10.2.4. Parágrafo único. A ANPD articulará sua atuação com outros órgãos e entidades com competências sancionatórias e normativas afetas ao tema de proteção de dados pessoais e será o órgão central de interpretação desta Lei e do estabelecimento de normas e diretrizes para a sua implementação

6.1.4. 10.2.5. Art. 55-L. Constituem receitas da ANPD:

6.1.4.1. I- as dotações, consignadas no orçamento geral da União, os créditos especiais, os créditos adicionais, as transferências e os repasses que lhe forem conferidos;

6.1.4.2. II - as doações, os legados, as subvenções e outros recursos que lhe forem destinados

6.1.4.3. III - os valores apurados na venda ou aluguel de bens móveis e imóveis de sua propriedade

6.1.4.4. IV - os valores apurados em aplicações no mercado financeiro das receitas previstas neste artigo

6.1.4.5. VI - os recursos provenientes de acordos, convênios ou contratos celebrados com entidades, organismos ou empresas, públicos ou privados, nacionais ou internacionais

6.1.4.6. VII - o produto da venda de publicações, material técnico, dados e informações, inclusive para fins de licitação pública

7. 9-DPO (Data Protection Officer) e boas práticas em segurança de informação

7.1. 9.1. Art. 50. Os controladores e operadores, no âmbito de suas competências, pelo tratamento de dados pessoais, individualmente ou por meio de associações, poderão formular regras de boas práticas e de governança que estabeleçam as condições de organização, o regime de funcionamento, os procedimentos, incluindo reclamações e petições de titulares, as normas de segurança, os padrões técnicos, as obrigações específicas para os diversos envolvidos no tratamento, as ações educativas, os mecanismos internos de supervisão e de mitigação de riscos e outros aspectos relacionados ao tratamento de dados pessoais

7.2. 9.2. Art. 51. A autoridade nacional estimulará a adoção de padrões técnicos que facilitem o controle pelos titulares dos seus dados pessoais

7.3. 9.3. Art. 46. Os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito

8. 8-O ciclo de vida do tratamento dos dados pessoais (fases)

8.1. 8.1. Coleta: obtenção, recepção ou produção de dados pessoais independente do meio utilizado (documento em papel, documento eletrônico, sistema de informação, etc.

8.2. 8.2. Retenção: arquivamento ou armazenamento de dados pessoais independente do meio utilizado (documento em papel, documento eletrônico, banco de dados, arquivo de aço, etc.);

8.3. 8.3. Processamento: qualquer operação que envolva classificação, utilização, reprodução, processamento, avaliação ou controle da informação, extração e modificação de dados pessoais

8.4. 8.4. Compartilhamento: qualquer operação que envolva transmissão, distribuição, comunicação, transferência, difusão e compartilhamento de dados pessoais

8.5. 8.5. Eliminação: qualquer operação que visa apagar ou eliminar dados pessoais. Esta fase também contempla descarte dos ativos organizacionais nos casos necessários ao negócio da instituição.

8.6. 8.6. É importante identificar quais ativos organizacionais estão envolvidos em cada fase do ciclo de vida do tratamento dos dados pessoais. Os principais ativos são: bases de dados, documentos, equipamentos, locais físicos, pessoas, sistemas e unidades organizacionais.

9. 7-Relatório de impacto à proteção de dados pessoais – necessidade e proporcionalidade, riscos, aprovação, término

9.1. 7.1. Principio da necessidade ->Descrever como a instituição avalia a necessidade e proporcionalidade dos dados. É necessário demonstrar que as operações realizadas sobre os dados pessoais limitam o tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados (LGPD, art. 6º, III).

9.2. 7.2. Principais riscos referentes ao tratamento de dados pessoais

9.3. 7.3. A aprovação do RIPD ocorre por meio da obtenção das assinaturas do responsável pela elaboração do RIPD, pelo encarregado e pelas autoridades que representam o controlador e operador

9.4. 7.4. Nos termos da LGPD, o término do tratamento de dados pessoais ocorre em quatro hipóteses:

9.4.1. 7.4.1. Exaurimento da finalidade para os quais os dados foram coletados ou quando estes deixam de ser necessários ou pertinentes para o alcance desta finalidade

9.4.2. 7.4.2. Fim do período de tratamento

9.4.3. 7.4.3. Revogação do consentimento ou a pedido do titular, resguardado o interesse público

9.4.4. 7.4.4. Determinação da autoridade nacional em face de violação do disposto na Lei.

9.4.5. 7.4.5. Na incidência de qualquer uma das hipóteses mencionadas, a Lei determina que os dados sejam eliminados, a não ser nos casos em que: (i) remanesça o cumprimento de obrigação legal ou regulatória pelo controlador; (ii) sejam necessários para estudo por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados; (iii) ocorra a transferência a terceiro, desde que respeitados os requisitos de tratamento dispostos em Lei; e (iv) seja utilizado exclusivamente pelo controlador, vedado seu acesso por terceiro, e desde que anonimizados.

10. 6 - Relatório de impacto à proteção de dados pessoais – o que é, como elaborar, partes interessadas

10.1. 6.1. Art. 5º, inciso XVII, da LGPD - relatório de impacto à proteção de dados pessoais: documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco

10.2. 6.2. Art. 38 da LGPD - A autoridade nacional poderá determinar ao controlador que elabore relatório de impacto à proteção de dados pessoais, inclusive de dados sensíveis, referente a suas operações de tratamento de dados, nos termos de regulamento, observados os segredos comercial e industrial

10.3. 6.3. A autoridade nacional poderá solicitar a agentes do Poder Público a publicação de relatórios de impacto à proteção de dados pessoais e sugerir a adoção de padrões e de boas práticas para os tratamentos de dados pessoais pelo Poder Público

10.4. 6.4. Identificar partes interessadas consultadas Partes interessadas relevantes, internas e externas, consultadas a fim de obter opiniões legais, técnicas ou administrativas sobre os dados pessoais que são objeto do tratamento. Nessa etapa, é importante identificar

10.4.1. 6.4.1. quais partes foram consultadas, como, por exemplo: operador (LGPD, art. 5º, VII), encarregado (LGPD, art. 5º, VIII), gestores, especialistas em segurança da informação, consultores jurídicos, etc; e

10.4.2. 6.4.2. o que cada parte consultada indicou como importante de ser observado para o tratamento dos dados pessoais em relação aos possíveis riscos referentes às atividades de tratamento em análise. Também deve-se observar os riscos de não-conformidade ante a LGPD e os instrumentos internos de controle (políticas, processos e procedimentos voltados à proteção de dados e privacidade)