Академический Документы
Профессиональный Документы
Культура Документы
LEI GERAL DE
PROTEÇÃO DE
DADOS
POR
MARIANA DE TOLEDO
SOBRE A AUTORA
MARIANA DE TOLEDO
Olá, eu sou a Mariana de Toledo. Sou
advogada por formação e
empreendedora por propósito. Sou co-
fundadora e diretora de conteúdo do
Empreendedorismo Legal, e tenho como
propósito de carreira levar educação
jurídica para micro e pequenos
empreendedores. Acredito que
empreender transforma e que
segurança jurídica é necessária nessa
jornada. Acredito também em uma nova
forma de exercer o direito! Uma forma
mais leve, criativa, e fora dos padrões.
Escolhi ser uma profissional
multidisciplinar e utilizar o direito como
meio e não como fim. Por isso utilizo
minhas principais especialidades em
privacidade e proteção de dados, gestão
jurídica e direito empresarial, para
fomentar o desenvolvimento de uma
consciência empreendedora unindo
sempre carreira à propósito.
1. Introdução:
Eu acredito que este e-book será útil para muita gente. Proteção de dados pessoais e a
Lei Geral de Proteção de Dados (“LGPD”) são assuntos que afetam todos nós e você,
aqui, vai descobrir como. Por um lado, ele serve para quem é empreendedor e está
preocupado com a aplicabilidade da LGPD em seu negócio. Por outro, ele serve para os
advogados e demais profissionais que querem atuar na área de proteção de dados como
consultores ou Data Protection Officer (“DPO"), ou almejam crescer dentro da empresa
em que trabalham.
Além disso, as estratégias que vou apresentar servem para uma infinidade de tipos de
empreendimentos, tais como saúde, marketing, customer success, educação, advocacia,
finanças, recursos humanos, contabilidade, e-commerce, varejo, e muitos outros.
Vou ficar muito feliz se você terminar este e-book conseguindo enxergar as múltiplas
oportunidades que a LGPD apresenta para o mercado, e sabendo por onde começar a
criar um programa de conformidade.
2. Porque precisamos falar sobre proteção de
dados pessoais?
Você deve estar se perguntando, porque uma Lei Geral sobre Proteção de Dados? E
porque minha empresa deve se preocupar com ela?
Para que você realmente absorva a importância desse tema, eu preciso que você se
esqueça de tudo que você ouviu falar sobre essa lei e foque seu olhar, agora, no que eu
vou te falar aqui.
Você consegue se lembrar de todos os locais que você distribuiu dados no mês passado?
Você consegue pensar em um só momento em que seus dados não estão sendo
coletados?
E se eu te contar que algumas farmácias utilizam esses dados para para desenvolver um
mapeamento das suas doenças e vender para planos de saúde para que esses possam
aumentar o valor do seu plano?
E se eu te contar que foi criada uma indústria de venda de mailing de clientes, e que seus
dados podem estar nessas listas.
E se eu e contar que o wi-fi público grátis não tem nada de grátis, que você troca internet
por dados pessoais utilizados para finalidades bem diversas à de te entregar acesso à
internet.
Com certeza você já foi perseguido por uma publicidade? Onde você entra está lá, aquela
publicidade te seduzindo e te perseguindo até que você de fato resolve ceder e comprar
determinado produto. Você gosta disso?
Dados pessoais são rastros da nossa personalidade e, além de nos identificar, podem
manipular nossas escolhas, podem afetar, inclusive, a democracia.
Não sei se você conhece, mas não posso deixar de falar do caso do Facebook e
Cambridge Analytica. Esse é um dos principais casos, se não for o principal, que
demonstra como a coleta de nossos dados pode levar à manipulação de nossas
escolhas, inclusive da escolha do nosso voto.
Ao mesmo tempo, dados pessoais são ativos de extrema importância para as empresas.
Tais dados são necessários porque correspondem ao quanto a empresa sabe sobre
aquele consumidor, e quanto mais ela sabe, maior ela fica, mais ela vende, e mais
lucrativa ela se torna.
É através da coleta de dados que a empresa proporciona ao seu cliente uma melhor
experiência, e hoje as empresas não vendem mais produtos ou serviços, elas vendem
experiência. E o cliente quer isso, ele gosta disso, porque ter serviços personalizados nos
poupam o nosso principal ativo, TEMPO.
Só que ao mesmo tempo que existem empresas sérias que valorizam os dados, existem
empresas que querem fazer com eles o que bem entenderem; e é aí que mora o perigo.
Além disso estamos vivendo a “era dos vazamentos de dados”. Toda semana nos
deparamos com a notícia “Empresa tem incidente de vazamento de dados”.
A Lei Geral de Proteção de Dados, Lei nº13.709/2018, legislação brasileira que regula as
atividades de tratamento de dados pessoais, foi sancionada em agosto de 2018 e entra
em vigor (ou seja passa a ser obrigatória) a partir de 14 de agosto de 2020.
Por tratamento entende-se todas as ações que são feitas com os dados pessoais desde
a sua coleta até a sua exclusão, tais como: coleta, processamento, arquivamento,
eliminação, avaliação, acesso, transferência, etc.
A Lei se aplica a qualquer operação de tratamento de dados pessoais realizada tanto por
pessoa natural quanto por pessoa jurídica (independente do porte da empresa); seja
realizada em território brasileiro, ou com dados coletados no território nacional, ou ainda
que tenha como titular pessoa localizada em território nacional, tanto no ambiente online
quanto no offline1 .
1 Art. 3º Esta Lei aplica-se a qualquer operação de tratamento realizada por pessoa natural ou por pessoa jurídica de
direito público ou privado, independentemente do meio, do país de sua sede ou do país onde estejam localizados os
dados, desde que:
I - a operação de tratamento seja realizada no território nacional;
II - a atividade de tratamento tenha por objetivo a oferta ou o fornecimento de bens ou serviços ou o tratamento de
dados de indivíduos localizados no território nacional; ou (Redação dada pela Lei nº 13.853, de 2019)
III - os dados pessoais objeto do tratamento tenham sido coletados no território nacional.
A lei não se aplica ao tratamento de dados pessoais2 :
I - realizado por pessoa natural para fins exclusivamente particulares e não econômicos;
II - realizado para fins exclusivamente:
a) jornalístico e artísticos; ou
b) acadêmicos, aplicando-se a esta hipótese os arts. 7º e 11 desta Lei;
III - realizado para fins exclusivos de:
a) segurança pública;
b) defesa nacional;
c) segurança do Estado; ou
d) atividades de investigação e repressão de infrações penais; ou
IV - provenientes de fora do território nacional e que não sejam objeto de comunicação, uso compartilhado de dados
com agentes de tratamento brasileiros ou objeto de transferência internacional de dados com outro país que não o de
proveniência, desde que o país de proveniência proporcione grau de proteção de dados pessoais adequado ao previsto
nesta Lei.
4. O que são dados pessoais?
Dados pessoais são todas as informações que identificam ou possam identificar uma
pessoa natural3 .
Entenda por dados que identificam uma pessoa, aqueles convencionais, tais como: nome,
cpf, identidade, titulo de eleitor, e-mail, etc.
Quando falamos de dados que possam identificar você deve pensar em um mosaico, em
que um dado sozinho não é capaz de identificar uma pessoa, mas se for agrupado com
algum outro dado pode identificar a pessoa. Por exemplo:
Aposto que você logo pensou: Faustão. Percebe que mesmo eu não te dando o nome
dele, nem identidade, nem CPF, com apenas três dados você consegue identificar de
O conceito de dados pessoais também compreende dados que possam sujeitar uma
pessoa individualizada a determinada atitude, ação, comportamento, sem que seja
necessário saber quem é aquela pessoa, mas de algum modo interferir nas suas
escolhas.
Dentro do gênero “dados pessoais”, temos a classe “dados pessoais sensíveis”, que são
dados que devido a sua sensibilidade natural, podem levar à atitudes discriminatórias
contra seus titulares, e por tal motivo precisam de uma atenção especial.
São considerados dados sensíveis4 : raça, etnia, opinião política, filiação a sindicatos,
orientação sexual, e os dados referentes à saúde ou à vida sexual, dados biométricos ou
genéticos.
Dados de criança e adolescente: tais dados também requerem uma atenção especial,
sendo necessário a coleta de consentimento específico do responsável.
Dados anonimizados: são dados que não permitem a identificação do titular através da
utilização de meio técnicos razoáveis. Tais dados não são considerados dados pessoais.
4 II - dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a
sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado
genético ou biométrico, quando vinculado a uma pessoa natural;
5. Conhecendo os Atores da Lei
Titular: Pessoa natural a quem se referem os dados objeto de tratamento.
O acolhimento desses princípios como valores da empresa fazem com que de fato surja a
cultura de proteção de dados e com isso o olhar saia da lei e passe para o usuário,
criando assim um novo estágio de sucesso e experiência do cliente.
Os princípios são5 :
FINALIDADE NECESSIDADE
5 Art. 6º As atividades de tratamento de dados pessoais deverão observar a boa-fé e os seguintes princípios:
I - finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem
possibilidade de tratamento posterior de forma incompatível com essas finalidades;II - adequação: compatibilidade do
tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento;III - necessidade: limitação
do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes,
proporcionais e não excessivos em relação às finalidades do tratamento de dados;IV - livre acesso: garantia, aos
titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de
seus dados pessoais;V - qualidade dos dados: garantia, aos titulares, de exatidão, clareza, relevância e atualização dos
dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento; VI - transparência:
garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os
respectivos agentes de tratamento, observados os segredos comercial e industrial; VII - segurança: utilização de
medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações
acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão; VIII - prevenção: adoção de medidas
para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais;IX - não discriminação:
impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos; X - responsabilização e
prestação de contas: demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a
observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.
Finalidade:
É essencial que o tratamento de dados pessoais tenha uma finalidade específica que
deve ser informada para o titular;, e o tratamento daquele dado deve se restringir a tal
finalidade.
Necessidade:
A coleta daquele dado deve ser necessária para a finalidade ao qual ele se destina. É
uma questão de minimização, sempre coletar o mínimo de dados necessários, ou seja,
coletar apenas aqueles efetivamente necessários.
Transparência:
Assegurar aos titulares informações claras, precisas e de fácil acesso a seus dados.
Trata-se de criar uma relação de confiança entre empresa e titular, em que este sabe
exatamente o que a organização fará com seus dados.
Segurança:
Prevenção:
Adequação:
O tratamento dos dados pessoais tem que ser compatível com a finalidade para qual eles
foram coletados.
Livre Acesso:
Permitir de forma simples e gratuita o acesso dos titulares aos dados coletados, bem
como a todas as informações sobre o tratamento de tais dados.
Qualidade dos dados:
Garantir aos titulares a exatidão dos dados, mantendo esses sempre atualizados e
verídicos.
Não discriminação:
Garantir que o tratamento dos dados pessoais não terá finalidade discriminatória, abusiva
ou ilícita.
Prestação de contas:
Buscar todos os meios disponíveis para demonstrar a adoção de medidas para mitigação
dos riscos e cumprimento das normas de privacidade e proteção de dados.
7. O que me legitima a tratar dados pessoais?
A LGPD não tem como objetivo acabar com nenhum modelo de negócio. Muito pelo
contrário. Ela visa desenvolver o empreendedorismo e a inovação através de uma
autodeterminação informada do titular em relação ao que de fato é feito com seus dados.
Nesse sentido, a lei estabelece 10 (dez) hipóteses que autorizam o tratamento dos dados
pessoais. Ou seja, toda vez que houver o tratamento de dados pessoais, tal tratamento
deve estar legitimado e pautado em uma dessas dez hipóteses denominadas BASES
LEGAIS.
Para cada finalidade de tratamento dos dados o controlador deverá indicar uma base
legal como fundamento que legitima tal tratamento.
Cumpre destacar que em regra uma base legal não se sobrepõe a outra.
6 Art. 7º O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses: I - mediante o
fornecimento de consentimento pelo titular; II - para o cumprimento de obrigação legal ou regulatória pelo controlador;
III - pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas
públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres,
observadas as disposições do Capítulo IV desta Lei; IV - para a realização de estudos por órgão de pesquisa, garantida,
sempre que possível, a anonimização dos dados pessoais; V - quando necessário para a execução de contrato ou de
procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados; VI - para o
exercício regular de direitos em processo judicial, administrativo ou arbitral, esse último nos termos da Lei nº 9.307, de
23 de setembro de 1996 (Lei de Arbitragem) ; VII - para a proteção da vida ou da incolumidade física do titular ou de
terceiro; VIII - para a tutela da saúde, em procedimento realizado por profissionais da área da saúde ou por entidades
sanitárias; VIII - para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços
de saúde ou autoridade sanitária; IX - quando necessário para atender aos interesses legítimos do controlador ou de
terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados
pessoais; ou X - para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente.
Consentimento:
Obrigação legal :
Execução de contrato:
Pesquisa:
Dados pessoais poderão ser tratados para realização de pesquisas, mas somente por
órgãos de pesquisa. A lei determina, ainda, que nesses casos a anonimização deverá ser
utilizada sempre que possível.
Políticas Públicas:
Proteção da vida:
Tutela da saúde:
Proteção ao crédito:
Legitimo interesse:
Poderá ocorrer o tratamento dos dados pessoais para atender interesses legítimos do
controlador ou de terceiros. Por interesse legitimo entende-se apoio à promoção das
atividades do controlador. Vale destacar que o legítimo interesse não pode ser
considerado uma carta coringa para coleta de dados, ele deve ser usado somente para
tratar os dados pessoais estritamente necessários para a finalidade pretendida, bem
como tem que ser realizada a validação de sua utilização através do Legitimate Interests
Assessment (LIA).
O LIA possui 4 fases, sendo elas:
2. Teste de necessidade: verificar se não há outra base legal que você possa se valer,
bem como se aquele tipo de tratamento desejado é necessário para atingir a finalidade
almejada.
Quando se trata de dados sensíveis as bases legais se restringem, podendo ser apenas7:
7 Art. 11. O tratamento de dados pessoais sensíveis somente poderá ocorrer nas seguintes hipóteses:
I - quando o titular ou seu responsável legal consentir, de forma específica e destacada, para finalidades específicas;
II - sem fornecimento de consentimento do titular, nas hipóteses em que for indispensável para:
a) cumprimento de obrigação legal ou regulatória pelo controlador;
b) tratamento compartilhado de dados necessários à execução, pela administração pública, de políticas públicas
previstas em leis ou regulamentos;
c) realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais
sensíveis;
d) exercício regular de direitos, inclusive em contrato e em processo judicial, administrativo e arbitral, este último nos
termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei de Arbitragem) ;
e) proteção da vida ou da incolumidade física do titular ou de terceiro;
f) tutela da saúde, em procedimento realizado por profissionais da área da saúde ou por entidades sanitárias; ou
f) tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou
autoridade sanitária; ou
g) garantia da prevenção à fraude e à segurança do titular, nos processos de identificação e autenticação de cadastro
em sistemas eletrônicos, resguardados os direitos mencionados no art. 9º desta Lei e exceto no caso de prevalecerem
direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais.
Além disso, para a categoria geral de dados pessoais, a LGPD estabeleceu o mesmo
peso, logo nenhuma base legal tem sobreposição à outra, sendo necessário verificar qual
a base legal mais adequada para aquela finalidade de tratamento. Já para os dados
sensíveis, a Lei deu mais importância ao consentimento, sendo esta a base legal “mãe”,
estabelecendo que a aplicação das demais deve se dar de forma subsidiária,
fundamentando um tratamento em caráter excepcional, somente para os casos em que a
coleta dos dados for indispensável à utilização daquela base legal.
Como definir qual a base legal adequada? Você precisa verificar 3 (três) coisas:
1. Origem do dado
4. Cancelamento: engloba a situação em que a base legal utilizada para o tratamento foi o
consentimento e que o titular deseja revogar tal consentimento, e a hipótese em que o
titular solicita anonimização, bloqueio ou eliminação de dados;
7. Oposição: mecanismo utilizado quando a base legal utilizada não foi o consentimento.
Consiste no titular se opor ao tratamento daqueles dados.
9- Como adequar a minha empresa à LGPD?
A resposta para essa pergunta com certeza não é mudar política de privacidade e termos
de uso do site.
Colocar uma organização em conformidade com a LGPD é criar uma cultura de proteção
de dados através de um programa efetivo de Governança em Proteção de Dados.
Vale destacar que esse projeto não é uma receita de bolo, e que cada empresa terá um
programa diferente, pois o programa deve ser pensado nas necessidades da empresa,
seus desafios e propósitos.
Caso o porte da organização justifique a criação do comitê, indico que esse seja
multidisciplinar, com representação de todas as áreas da empresa, para que o comitê
possa ter uma visão global da organização e de seus processos ligados a dados
pessoais. Aí sim, após definir o seu time, você adentrará nas etapas do projeto de
conformidade.
Fase 1 | Conscientização:
O objetivo dessa fase é mostrar a importância da lei e sua aplicabilidade prática, tanto na
vida dos colaboradores, como consumidores e titulares de dados, quanto na vida da
empresa, sua rotina e seus processos. Realizar treinamentos e workshops, para todas as
áreas da empresa e todos os funcionários, desde a diretoria até o chão de fábrica. Para
disseminar uma cultura, TODOS, sem exceção devem entender a sua importância. E a
minha dica é: conquiste pelo amor, mostre que a LGPD pode ser bem mais que uma
obrigação legal, mas sim uma oportunidade para toda a empresa.
Crie muito bem sua estratégia de comunicação, encontre a melhor forma de persuasão e
de conexão com os colaboradores. Veja o que de fato desperta a atenção deles e em
quais temas a curiosidade e as dúvidas mais apareceram, e lembre-se de sempre
estimular a participação.
Caso você esteja atuando em consultoria externa, nessa fase você também deverá gastar
todo tempo que for necessário para conhecer a organização. Então, não se restrinja ao
mínimo de ler um e-mail com apresentação institucional. Converse com os funcionários,
acompanhe o dia-a-dia da empresa, entenda seu modelo de negócio, seus desafios,
propósito, missão, visão e valores.
Fase 2 | Mapeamento:
O objetivo dessa fase é mapear os dados para que seja possível identificar as principais
exposições e contingências da empresa.
Nessa fase a empresa deverá descrever todo o seu fluxo de dados, respondendo
perguntas como:
Quais colaboradores tem acesso àquele dado? Porque eles tem acesso?
Esse relatório está previsto no art.388 da lei e pode ser solicitado pela ANPD. A princípio,
pela leitura literal do artigo, entende-se que este não é obrigatório. Contudo, a Autoridade
Nacional de Proteção de Dados deverá editar regulamentos e procedimentos sobre a
produção desse relatório.
Fase 4 | Planejamento:
O objetivo dessa fase é planejar a forma de execução das soluções propostas na fase
anterior, criando um plano de ação e um cronograma de execução, priorizando as áreas
que contém um maior risco. Nessa fase é importante fazer o relatório do projeto de
8 Art. 38. A autoridade nacional poderá determinar ao controlador que elabore relatório de impacto à proteção de dados
pessoais, inclusive de dados sensíveis, referente a suas operações de tratamento de dados, nos termos de
regulamento, observados os segredos comercial e industrial.
Parágrafo único. Observado o disposto no caput deste artigo, o relatório deverá conter, no mínimo, a descrição dos tipos
de dados coletados, a metodologia utilizada para a coleta e para a garantia da segurança das informações e a análise
do controlador com relação a medidas, salvaguardas e mecanismos de mitigação de risco adotados.
conformidade, detalhando as fases anteriores e os próximos passos para implementação
do programa de governança em proteção de dados.
Fase 5 | Implementação:
O objetivo dessa fase é colocar em prática o plano de ação estabelecido na fase anterior,
incluindo a elaboração de todos os documentos que se fizerem necessários. Trata-se de
fase de extrema relevância pois é neste momento que formatado o código de conduta em
proteção de dados, os aditivos contratuais, os novos modelos de cláusulas contratuais,
nova política de privacidade, restrição de acesso de funcionários a determinados dados,
cartilhas de boas práticas, revisão de processos automatizados, revisão na coleta de lead
no setor de marketing, dentre outras várias medidas que deverão ser colocadas em
prática.
Fase 6 | Monitoramento:
Um programa efetivo de governança em proteção de dados não garante que sua empresa
não terá um incidente de segurança, pois é impossível garantir 100% que nada irá
ocorrer. Contudo, se o programa for efetivo e a organização tiver tomado todas as
providências, o gerenciamento de crise será muito mais eficaz, pois já estará estabelecido
dentro do programa.
Além disso, a existência do programa e a presença de uma cultura de proteção de dados
é levada em consideração pela ANPD no momento da aplicação de uma eventual sanção.
Desta forma, não é que o programa irá evitar a ocorrência de um incidente, mas o risco da
organização passa a ser controlado, gerando maior eficiência para a empresa.
10 - O que fazer em caso de incidentes?
Caso ocorra um incidente ligado a dados pessoais é necessário que o controlador tome
medidas para minimizar os danos. Além disso, é importante que seja feito o Data Breach
Notification, que consiste em informar tanto à Autoridade Nacional de Proteção de Dados,
quanto aos titulares, o ocorrido, os possíveis danos e as providências que estão sendo
tomadas para mitigar tais danos.
6 - as medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do
prejuízo.
Você pode notificar o titular através do meio mais fácil de contato, e deve ser o mais
transparente possível, além de demonstrar a ele que todas as providências estão sendo
tomadas. Isso gera confiança, mostra que você está de fato preocupado em solucionar o
problema e não escondê-lo. Isso é cultura de proteção de dados.
9 Art. 48. O controlador deverá comunicar à autoridade nacional e ao titular a ocorrência de incidente de segurança que
possa acarretar risco ou dano relevante aos titulares.
§ 1º A comunicação será feita em prazo razoável, conforme definido pela autoridade nacional, e deverá mencionar, no
mínimo: I - a descrição da natureza dos dados pessoais afetados; II - as informações sobre os titulares envolvidos;
III - a indicação das medidas técnicas e de segurança utilizadas para a proteção dos dados, observados os segredos
comercial e industrial; IV - os riscos relacionados ao incidente; V - os motivos da demora, no caso de a comunicação
não ter sido imediata; e VI - as medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do
prejuízo.
11. Privacy By Design
Entender e introduzir na organização o conceito de privacy by design é de extrema
importância como mecanismo de minimização de riscos e prevenção da ocorrência de
danos.
Privacy By Design nada mais é que uma metodologia na qual proteção de dados pessoais
é pensada desde a concepção do desenvolvimento dos produtos, serviços, sistemas,
projetos, ou qualquer outra solução que envolva tratamento de dados pessoais10.
É uma ação totalmente preventiva e que gera muita eficiência para a empresa pois evita a
ocorrência de incidentes desde a concepção, gerando vantagem competitiva para a
empresa perante o mercado e aumentando a relação de confiança com o titular.
10Art. 46. Os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger
os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração,
comunicação ou qualquer forma de tratamento inadequado ou ilícito. § 2º As medidas de que trata o caput deste artigo
deverão ser observadas desde a fase de concepção do produto ou do serviço até a sua execução.
12. Penalidades
O descumprimento das estipulações legais levará a aplicações das seguintes sanções:
2 - multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito
privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos,
limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração;
5 - bloqueio dos dados pessoais a que se refere a infração até a sua regularização;
2 - a boa-fé do infrator;
5 - a reincidência;
6 - o grau do dano;
7 - a cooperação do infrator;
8 - a adoção reiterada e demonstrada de mecanismos e procedimentos internos capazes
de minimizar o dano, voltados ao tratamento seguro e adequado de dados;
Se você conseguiu adquirir esse mindset, parabéns, você faz parte de um seleto time de
pessoas que sabem aproveitar as oportunidades, e vender lenços enquanto alguns
resolvem ficar só chorando e se lamentando.
O mantra agora é: Menos dados, mais transparência; não faça só o mínimo faça a
diferença.