Principais passos para estruturar um programa de privacidade

Bom vamos lá pessoal vamos começar tá essa essa nossa aula complementar mal complementar aqui da da ati exames não é a sobre esse tema que vocês estão vendo aí os principais passos para estruturar o programa de privacidade tá javan já vou fazer uma apresentação aí para eventualmente quem ainda não me conhecer que era só fazer aqui alguns comentários rápidos iniciais né agradecer aí as 1.700 pessoas que se inscreveram para Essa aula complementar tivemos aí esse número de uns três tanto que estão tendo a transmissão aqui não apenas aí pelos um nesse momento agora estamos aqui

com 378 aqui na sala mas também tá tendo a transmissão direto pelo youtube tá então quero agradecer a todos inscreveram né mil e setecentos e no sábado não é pouca coisa né então agradeço pela pela inscrição aí pela presença de todos vocês e como vocês podem ver aí a gente vai falar aí nessas 2:30 tentar aí fazer esses apontamentos sobre esses tem esse tema que vocês estão vendo aí né moço principais passos para a gente estruturar um programa de privacidade tá fazendo aqui uma apresentação minha para quem ainda não conhece não me conhece né e

aqui eu queria também dizer aproveitar e colocar que tem pessoas as pessoas do brasil com as pessoas de portugal também assistindo é eu não sei se tem alguém de outro país mas eu sei que de portugal também tem Tem alguns colegas aí pessoas que eu conheço estão aqui presentes né então estamos aí fazendo essa aula para os dois e por isso é claro que a aula vai cair alguma algumas características que eu vou comentar e daqui a pouco é mais um lá para quem ainda não me conhece vocês podem ver aí né eu me chamo

aí mateus né com vocês vocês já sabem lá e em primeiro lugar queria colocar que eu tenho essa certificação da ver né ah sei lá é também tem uma Certificação do dp ó vou falar sobre isso daqui a pouquinho também muito rapidamente que não é o nosso foco aqui hoje mas a gente sempre precisa fazer esse comentário tem aí a certificações o block n e não ainda de inteligência artificial mas é um tema é um deu a seu estudo eu trabalho aqui tem um essa formação como vocês podem ver aí também não vô me alongar

muito aqui para a gente não gasta muito tempo falando sobre isso né mas o que eu quero chamar Atenção para quem não me conhece ainda é o fato de que em primeiro lugar e o trabalho eu eu sou brasileiro mas eu moro aqui em lisboa como ele está aquele desde 2014 já estou aí há 5 anos e meio quase seis anos aqui em o hino momento atualmente eu trabalho como the pooh na l'oréal portugal sou depois da l'oréal portugal o encarregado de proteção de dados da l'oréal aqui em portugal e também sou professor na universidade

na faculdade de direito da Universidade nova de lisboa né então a trabalho destes dois locais aqui em portugal e o membro aí nessas associações associação europeia de proteção de dados associação aqui de portugal atuou como representante da cnbb participa conhece associação do brasil né de proteção de dados a então ele isso aqui é para que vocês vejam aí né tem que a gente vai ter salvo com que vocês vão ter aula para aqueles que não conhecem aqueles que não conhecem por Obras são muito bem vindos assim como por óbvio aqueles que a gente já se

fala eu já bati o olho aqui no chat jade aí várias pessoas a gente já tem conversado o tempo né então é isso para quem eventualmente ainda não me conhecer também quiser fica à vontade para adicionar ele no linkedin tem os links ali assim tem a vontade para adicionar eu sempre tento responder e auxiliar com a maior rapidez e da melhor maneira possível então tinha ainda não tiver Também convida aí a seguir a gente por lá antes da gente entrar aqui e ainda a título de apresentação sempre é bom fazer esse comentário né ou seja

a gente trabalha aí com algumas questões a a dia de direito autoral né então é bom aí tomar cuidado com isso tá ou seja se vocês virem esse material em algum outro lugar ainda dizem que a gente posta a corrigir isso e também claro eu sempre faço questão de dizer que esse tipo de aula mais prática por óbvio isso implica Em analisar determinadas situações pra ti e a gente não pode falar sobre a pasta sem olhar para essa prática o que significa dizer que eventualmente serão citadas aqui outras marcas etc mas é a titular e

de instrução e de formação para todos vocês tá aqui o nosso programa é de hoje né ou seja nossa expectativa é que termine aí ao meio-dia do horário do brasil é que em portugal até hoje vão ser três horas a mais a Você três horas da tarde eu digo até hoje que amanhã começa o horário de verão por aqui e aí a gente aumenta uma hora objetivos e esses são seus principais tópicos aí que eu vou falar com vocês hoje sobre essa caracterização inicial da organização a realização da auditoria inicial a definição de medidas para

adequação à lei brasileira ldb e ao regulamento europeu então eu sempre faço essa ressalva também né nos seminários todo e nas aulas do curso O próprio morando aqui em portugal em inevitável utilizar e ainda mais trabalhando na área editável utilizar algumas expressões que são correntes aqui e diferentemente do brasil né se fala aí do gpr aqui em portugal se usa a tradução oficial que o rg pb então aquele se tem aí já o contato não se assustem o sempre uso rgp de mas já tô falando do regulamento europeu né dentro umas palavrinhas aí que podem

surgir ela por uma questão de costume já meu aqui e Depois dos últimos dois pontos ali que a implementação das medidas de adequação e medidas os adequação aqui vale a pena fazer esse comentário também muito breve muito rápido e sobre o bico ao para requisitos de objetivo é tão o público-alvo é verdade aí são todas as pessoas que têm interesse né o nosso objetivo aqui é claro passar esse conhecimento do maior número possível de pessoas oi de novo e interno para que entrou Depois aí tivemos mil e 700 inscritos para essa aula então tem umas

pessoas aqui nos homens temos pessoas no youtube assistindo agora tá e agora é especial para aqueles que precisam estruturar um programa de privacidade de uma organização por óbvio né a gente vai falar sobre alguns desses passos ou alguns daqueles sorrisos com os principais não é claro que esse vai ser o copo maior tá pré-requisito desejado conhecimento ninho da legislação aí você Fala assim para mim ah mateus eu não sei nada de proteção de dar não se preocupa não precisa sair da aula agora continua assistindo porque o que é claro que eu vou te falar da

legislação de proteção unidades vou entrar nesse mérito sem dúvida mas quando eu vou falar sobre isso é claro que eu vou fazer ali um comentário o outro uma contextualização outra então você não precisa ficar desesperado de ai meu deus não sei nada tá não tem problema Bom então acompanha e objetivo é justamente passar essa ideia e mesmo se você não tiver um conhecimento sobre a proteção de dados vai ser por um lado até bom porque você vai perceber como que a coisa precisa se estruturar tá então não tem problema ninguém vai ser prejudicado se não

souber onde estão entre artigo da legislação estão os princípios ou a as bases legais e por aí vai não se preocupe com isso a ideia é passar essa visão geral se você já Tivesse conhecimento ótimo vai aproveitar mais é claro tá se não não tem problema não vai ser prejudicados manoel luva e os objetivos aqui na verdade objetivo principal já falei você já sabe disso é apresentar aqueles são os principais passos para criação do programa de privacidade agora eu quero chamar atenção para algo que não é o objetivo aqui como vocês podem ver o objetivo

aqui é passar algumas ideias há alguns Pontos que estão vinculados aí a leitura que estão vinculados a minha frase específica minha experiência não é passar como eu coisa ali no freio o que eu sei disso aqui não é uma receita de bolo que você vai pegar depois desses slide levar para sua organização e dizer ok uma empresa agora está aí em conformidade com a legislação de proteção de dar não é ir a então como eu pus ali na no último ponto passos adicionais são necessários para essa Unidade completa então não pensa em tá eu vou

copiar e pronto tá se não é assim que a coisa vai funcionar e aí você que ainda não sabe você quer aprender mais né ou seja especialmente é esse slide é mais pra quem ainda tá no nível um pouco mais iniciante aquela pessoa aqui poxa não sei nada não tem problema ou não falei que eu sugiro para você primeiro lugar claro conhecia legislação de proteção de dados é para quem dá a atuando esse é um ponto de Partida não tem como fugir disso se você quer levar a proteção de dados da série você precisa conhecer

quando eu devo conhecer não é indicar número de artigo que diz o que mas a entender todo o contexto da legislação de proteção de dados então uma leitura do texto é fundamental claro que aqui claro né nós temos de fazer aí o nosso merchan né então sem dúvida eu deixo aqui como sugestão para quem tiver ainda no nível intermediário iniciantes a intermediária Lúdico aqui esse com fala comigo tá acontecer aí vai ser no sábado e domingo cartão dia 25 e 26 de abril no para quem tiver começando tiverem no nível intermediário na se quiser aprofundar

eixo venha fazer esse curso com a gente tem ali win depois está entrar no site da tvi exame de ver na parte dos cursos para quem já tiver um nível mais intermediário intermediário avançado vai ter também aqui já tem exames com o professor davis Alves aí no final de maio o prático né e depois quem tiver aí no nível bem avançado a gente já vai entrar no curso de gestor de privacidade que é o que quer pegar essa aula que a gente vai ter hoje e dividir como vocês podem ver ali em três sábados diferentes

vão ser 16 horas 24 horas tá de força nós vamos ter aí as 18 18 horas depois para fazer a confusão pode ser 18 o curso mais algumas horas de atividades complementares por isso com das 24 horas Mas não se três sábados ali a gente vai pegar 6 horas por dia e vamos entrar em todos os detalhes disso que eu tô falando aqui hoje tá então se você quer seguir por essa área da proteção de dados recomendo que faça esses três cursos na sequência para que você possa então aprofundar os seus conhecimentos e aprender aqui

com a gente tá então essa é a nossa indicação aí claro de estudos tá bom depois antes ainda de começar aqui o nosso tema ou a claro dar a césar O que é de césar né ou seja as fontes bibliográficas aqui foram utilizadas como eu disse antes é claro tem a minha experiência fica bem fofinho mas sem dúvida alguma eu tenho também de me basear naquilo que outras pessoas estão colaborando então esses são os três os principais pontos de apoio a gente esteja e para montar esse material ou seja o livro daí a pedir o

primeiro lugar aqui a base do curso de gestor de privacidade que eu falei agora então é Um livro disponível você pode o nível de você pode adquirir em formato digital tem esse outro livro que é de autores da kitty portugal segundo dia do processo de adequação ao é de bebê então é um livro recente aqui tem duas semanas três semanas por isso foi publicado aqui em portugal em o terceiro é o da lgp né da de animal donar então também tem aí se vocês quiserem adquirir esses livros recomendo para todos que queiram se aprofundar nisso

Ó e aqui o fim último comentário bem rápido são os pontos de partida aqui da nossa aula de hoje né você já pode eu ponho quando eu coloco aqui ponto de partida é o que é um básico ou é de onde a gente vai iniciar a nossa orientação em termos de desenvolvimento dessa nossa aula de hoje bom então primeiro lugar lembra que as legislações legislação brasileira ea legislação europeia e acampar em quando eu digo legislações por óbvio só me Referir às legislações de proteção de dados então quem tá aqui na europa sabe muito bem que

por exemplo não se consegue fazer proteção de dados em as legislações referentes a diretiva do incrível se quem tá no brasil sabe que não vai ter como fazer sem levar em consideração por exemplo marco civil da internet ou o código de defesa do consumidor o que é tratamento de dados pessoais então aqui focando na legislação de proteção de dados lembrar Que isso essas relações se fundam com tá ali no princípio da responsabilidade o que que significa dizer significa que a responsabilidade da organização seja a empresa e precisa pegar esse programa e comprovar que não apenas

o programa existe mas que ele está e ele está funcionando e que ele está acontecendo com aquilo que vocês virgem da legislação a então lembrar de escrever não é um terceiro não é o depo como eu vou falar disso mais para frente Né o encarregado de proteção de dados não são outros é organização que precisa dizer fiz isso seja lá o que for a gente vai ver as ações aí e essas ações garantem a conformidade então esse é o princípio da responsabilidade lembra que a eventual fiscalização das autoridades controle será sucessiva tá ou seja não

é uma nesse não há necessidade de autorização então as organizações para realizar o tratamento de dados pessoais elas não precisam mais pedir autorização Elas fazem e depois em autoridade controle verifica se tá ok ou não o que por causa do princípio da responsabilidade e segundo o último desculpa e colocar like garantir a segurança da informação não leva a garantia automática dos dados pessoais no sentido da legislação de proteção de dar a existem várias pessoas que dizem ah não se eu tiver um sistema a de tecnologia um sistema de t.i. funcionando tá ótimo Da da proteção

de dados pagar antigas eu discordo desse posicionamento e descobre vou mostrar daqui a pouco o quê que eu discordo tá então sempre parte de sentido claro que são coisas interligadas mas ao mesmo tempo distintas não adianta você ter a não sistema fantástico se você não cumprir as bases legais por exemplo mas eu vou chegar lá daqui a pouquinho esses aqui são então os nossos quatro pontos de partida e aí a gente chega então no Primeiro momento né ou seja e agora entrando aqui no nosso programa de privacidade tá o quê que eu quero dizer com

isso ó e aqui eu bati o olho aqui aí pessoal comentar né como a gente tem aí muitas pessoas tá hoje então a geralmente nos a binárias quem já assistiu e sempre vou aqui olhando e etc claro a gente faz um debate então nós vamos parabéns espaço para perguntas mas eu vou fazendo os comentários aí com como eu vou além do Olho ali então já viram ali do homero de segurança informação e parte essencial isso aí ela não tem proteção de dados está certíssimo mas não quer dizer aqui só tendo segurança da informação se tem

proteção de dados é isso eu quis dizer e vou explicar mais pra frente tá então vamos lá primeiro passo né primeiro momento que a caracterização inicial da organização simples e eu me respeita muito óbvio como é que eu vou implantar um programa de privacidade se eu não Souber o que que a organização faz como é que eu vou implantar um programa de privacidade eu não souber o que é organização tem como é que eu vou implantar um programa de privacidade se eu não tiver toda uma estrutura organizativa você já administrativa dentro da empresa e leve

a concretização da conformidade com a legislação de dar tá então aqui e antes de passar ali para aquele outro slide aqui eu repita muito simples por lado é muito óbvio simples No sentido de se saber que tem que fazer não de fazer esse ah mas é o primeiro passo quer dizer não tem como você dizer olha eu vou buscar a garante isso garante aquilo seja lá o que for no âmbito da legislação de dados você não souber por óbvio onde a empresa se encontra neste momento onde a organização está agora então aqui o que que

eu coloco por óbvio como primeiro a sugestão né ou seja é a realização de uma reunião com a administração Bom então é isso aqui é o ponto principal deste conta é é o início nesse pontapé inicial deste programa sempre vai precisar começar por aí o que fazer uma reunião quer dizer você comeu coisa ali você precisa a o bebê essa caracterização detalhada da organização e quando digo aqui uma caracterização detalhada não tô querendo dizer que nessa reunião aqui as pessoas já vão entregar tudo para você você como o gestor da privacidade né ou seja eu

amo Que não a gente não tá partindo aqui desse princípio mas a gente está partindo do princípio de que você vai precisar eventualmente com esse é o coração especialmente para aqueles que vão atuar com as empresas brasileiras e quem tá no brasil sabe muito bem da situação aí da legislação de proteção de dados inclusive aí com as notícias recentes de agora dois três dias atrás talvez e não há falta da mpb certo aquela coisa Toda então você precisa convencer a pessoa que vai meter a mão no google se tirar o dinheiro para investir neste programa

de privacidade você precisa dizer para ela o que que é necessário fazer por lá e por outro lado você precisa saber a a situação da organização para poder fazer esse planejamento mas não tem como fugir né isso aqui vai ter de vir dessa primeira reunião você precisa sentar você vai precisar conversar com a pessoa mais Fizer dizer olha com administração a gente vai dizer olha a legislação exige a privacidade é importante como eu já falei em outro seminários e às vezes falo com os colegas aí no grupo de whatsapp a o investimento e privacidade não

pode nem deve ser responder gasto ou seja é tentar montar uma estratégia para convencer o dono da empresa o dono da organização não apenas de é importante o que ele eventualmente vai sofrer uma sanção lá na frente se ele Não quiser mas porque ele vai se destacar dos seus concorrentes se ele fizer então esse é um ponto que precisa eu acho sem batizado e claro precisa ser passado para quem para quem toma decisão dentro da empresa então é administração e por isso que essa realização da reunião ela precisa ser aí com a administração da organização

porque no fim é ela que vai bater uma ferro ela administração é a gerente é diretoria é o que for a luz em aí conforme a Situação da organização para a qual vocês vão fazer isso mas não tem como fugir tá tem que ter estar presente quer dizer além da gerência ou da diretoria ou da administração eu vou usar aquela expressão administração seria o nível mais alto aqueles dois setores ali são importantes o responsável pelo setor de t.i. né você e do aqui no galho pesquisa está presente e precisa estar presente porque como foi comentado

anteriormente né ou Seja a o aspecto de tecnologia é indissociável da proteção de dados portanto não não é que não se consegue mais naquela situação em que nós vivemos hoje todos nós sabemos disso muito bem e que a maioria talvez dos dados produzidos pelos titulares são em formato digital ou são passados para o formato digital é claro que a pessoa responsável pela área de tecnologia vai ter está presente e também a pessoa do rh da empresa claro que isso aqui vai Variar o tamanho da empresa tendo um setor um departamento de rh vai precisar participar

vai precisar participar porque porque o rh vai tratar de informações e dados que são extremamente relevante a empresas falando aqui de questões salariais por exemplo as dores não significa dizer que outros setores como setor financeiro da empresa por exemplo o gerente da área financeira não deva participar da por óbvio que se puder adiar uma reunião com todas melhor Ainda mas pelo menos esses aqui dependendo da situação será interessante estarem presentes representantes de alto source ou seja as empresas terceirizadas que atuam aí na sua organização então se você tem um sistema de peri e não é

a seu próprio seja você contrata alguém e usa o sistema de t.i. dessa outra empresa é no sentido da empresa vir lá a sua aquela e quando eu digo a sua aqui vou usar essa expressão é a sua empresa para a qual você tá fazendo criando esse Programa então é interessante que elas estejam presentes também para que se tenha já essa concentração e uma vez que vocês tiverem respostas a resposta a funcionar respostas a formulários tá e quando a gente fala aqui reunião de trabalho também eu não tô dizendo que vai ser uma né também

não tô dizendo que eu não sei sem aviões não é isso aí vai depender muito da situação dos no caso concreto é claro que cada um mais lembrar que a partir daquilo que você Ouve tiver dessa reunião ou dessas reuniões da análise inicial você já vai mudar no primeiro projecto de orçamento o processo de auditoria eu chamei aqui no processo de auditoria tô partindo do dente empresa ainda não tem problema você vai auditar empresa neste vistas a adequação bom então esse questionário existem vários modelos tá então a e montar o questionário para buscar obter essas

informações e trabalhar com base nessas Informações né outras bate o olho aqui né a ana perguntou se o jurídico não tem que estar presciente participar sim né voltando aqui como eu falei quando eu falo aí administração de preferência claro se tipo dessa presente todos os diretores dos setores sem dúvida tá ou seja aqui eu tenho focando eu tô colocando aqui um pouco de maior nesses dois porque não quer dizer que outros setores não devam estar presentes né como diz questão do financeiro ou Departamento de marketing lovely apartamento the market ou departamento de compras por exemplo

né ou seja aqueles trata com fornecedores é com como parte station e vai ter estar presentes em empresa por exemplo tem uma área de trabalha mais com a área de com a parte de pesquisa vamos pouco tem uma pesquisa alí que empresa desenvolve os seus produtos internamente ou seja gerência de maneira geral nível de administração até me Espero que todos estejam envolvidos em fogão esse efeito cascata dentro da própria organização e aqui só para repetir na verdade reforçar né claro que a gente porque se reunir com essa alta ou pula como eu chamei ali né

o óbvio que ela necessidade de sensibilização para a temática e para os objetivos e aí volta pergunta né que ela colocou cara colocou ali claro que outras gerências também estando presente melhor ainda que todas elas vão ter um situação Diretamente de você se conscientiza de que a produção de idade não é custo mais investimento como eu já tinha falado antes e mostrar e isso é que eu quero chamar atenção de que protestante da e pode apenas ao comprimento de uma legislação que que eu quero dizer com isso eu quero dizer com isso que proteção de

dados é óbvio ela está presente na legislação mas não se limita a ir ou seja a uma série e no caso da legislação brasileira a gente sabe disso Muito bem é se não estou em erro no artigo 50 da lbv e falar sobre as boas práticas boas práticas um pai eles passam por exemplo ou a questão disse e as normas iso por exemplo isso não tá na legislação não se exige ea empresa siga 27001 a 27701 por exemplo é ou seja mais isto é algo que vai além e que resposta essa ideia da proteção de

dar portanto ter isso em mente e isso você precisa mostrar para a empresa para a organização na hora que você for vender O seu peixe é na hora que você for vender lá o programa de privacidade não pode simplesmente chegar olha tem de cumprir porque senão você toma muda a esse argumento ele é um argumento razoável é mas ele não é um argumento que sensibiliza então o ponto aqui é sensibilizar e essa sensibilização vai além dessa questão aí da legislação segundo ponto tá mas ainda vejam ali no título principal ainda no primeiro Momento ou seja

no momento de caracterização inicial da organização você vai realizar a identificação de jogos sistemas utilizar e aí eu fiz a ressar uma está explícito aqui de que os sistemas quem tem nesses diferentes maneiras pelas quais os dados são armazenados não estou falando aqui de sistema show em termos de tecnologia aqui é perceber como esses dados estão armazenados e os principais ali na europa eles estão Informar papel ou eles estão em formato digital é isso é fundamental porque porque a gente não tem a legislação de proteção de dados não se aplica apenas ao da digitais ou

seja proteção de dados é dos dados pessoais onde eles estão podem está em qualquer lugar cartão não pensar que ar eu vou olhar lá o sistema em termos de tecnologia e tá tudo resolvido é não é assim então o meu coisa identificar qual é o tipo de sistema utilizado então basicamente a Quer dizer ah tá no papel ou em formato digital agora não só isso identificar quem nos utiliza tá ou seja verificar quais são as áreas quais são os setores e aqui não estamos ainda falando de um mapeamento de dados mais de e para quem

já tem condição de proteção de dados sabe o que que é um mapeamento não estou falando disso né isso aqui ainda é ter uma visão bem geral tá não estamos ainda entrar nos detalhes do mapeamento de dados vou falar disso Daqui a pouquinho mas identificar aqui quem utiliza no seguinte sentido qual é a estrutura da empresa e aí voltando à pergunta que foi feita aqui né ou seja se a a você tem ali quais são as quais são as divisões da empresa né ou seja quais são os setores as áreas aí eu tenho sertão de

origem até o financeiro rh eu tô de compras eu tenho de pesquisa científica é o diesel em diante daquilo só quando eu digo a quem os utiliza a compreender ele perceber ou tentar Perceber logo nem lixo quais são os tipos de dados cátaros e aqui eu coloquei entre aspas se são dados normais tá ou seja é apenas por oposição aos dados sensíveis e já tanto o rg te conta lgpd trazem essa definição de dados sensível tá e uma outra caracterização que eventualmente pode colocar mais lembrando que aqui é no sentido de uma boa prática é

no sentido não jurídico mas de dados que tem uma grau de Sensibilidade maior do que o dado normal o que que eu quero dizer com isso aqui para deixar bem claro o nome das pessoas tá são dados normais diferentemente pode a gente da orientação política que lendário sensível o número do cartão de crédito é o que número de cartão de crédito é dado normal ou é dado sensível no ponto de vista jurídico número de cartão de crédito é dado normal ele não é dados em se viu porque nem lgpd e nem a lgp de dizem

que cartão de créditos São dados sensíveis a então o número do cartão de crédito é um dado entre é normal mas por óbvio que se a gente for pensar em termos de uma violação de dados pessoais ou seja o vazamento da exposição de cidade o pessoal por óbvio que a gente pode imaginar que a violação do número do dado pessoal número do cartão de crédito vai trazer mais prejuízos por titular do que se o nome dele foi exposto então entenda de uma ponderação de risco é claro que o Empréstimo número do cartão de crédito é

um risco maior não tem uma consequência pior particular apenas o nome então pensar nisso aqui também quando se tiver fazendo essa definição aí dos tipos de dar agora lembrando que juridicamente só uma perspectiva apenas jurídica onde cartão de crédito as sandálias normal no mesmo jeito que o nome identificar noah a forma como esses dados geridos é já falei um pouco sobre isso como esses dados são transmitidos tanto no sentido Bom e quando eu digo aqui interno eu tô falando não apenas dentro da organização é de que setor da organização para outro mas também falando em

termos de dentro do país enquanto que o externo por óbvio eu tô falando entendeu de externos a organização ou seja aqueles dados precisam de ser transmitidos para órgãos a tributários por exemplo do estado estão para fora ou para outras empresas né para o contratante no caso dos operadores como diz a ldb ver e também o Internamente em termos de país ou seja não se esquecer e as duas legislações de proteção de dados elas tratam de maneira clara a questão das transferências internacionais isso precisa tá claro também e essas informações como estão ali elas vão então

a gerar esse diagrama de fluxo de dados que mostram onde estão quais são como são tratados e para onde vão os dados pessoais e eu bati o olho aqui sabrina perguntou sobre o dado sensível dados possível Está na legislação de proteção de dados no rgp canal ativo no e na lgpd eu não vou lembrar de cabeça agora mas tem lá dados sensíveis a definição ou seja basicamente são dados que dizem respeito a orientação política ou orientação sexual orientação a religiosa dados de saúde dados biométricos por exemplo desde outros então esses são dados e são chamados

de dados sensíveis nas legislações de proteção de dados porque o que se esses dados forem expostos ao Público eles podem causar um prejuízo a pessoa muito maior do que os dados como eu chamei aqui e ele é um jeito de dizer apenas dados lombar é aquele que eu falei né ou seja a o prejuízo para uma pessoa se o e-mail dela é violado é vazado na internet por exemplo é que ela vai e ele mais spam por exemplo em santa claro de uma maneira muito simples a ou muito mais uma das formas de pensar o

que não quer dizer que não possa trazer Outros prejuízos mas isso é diferente por exemplo disse eles postam os dados de saúde o histórico de saúde daquela pessoa tá então essa é a ideia do lado sensível nas duas legislações e disse que esse aqui claro é uma simplificação né claro mas tem de lembrar desse detalhe né ou seja que os dados sensíveis todos os dados pessoais geram riscos se eles forem gelar os outros estão vazamento de cidade exposição desse dado não importa se lembrado entre Aspas normal seus filhos todos eles vão trazer risco à questão

é que os dados sensíveis consideram eles trazem um risco muito maior pelo celular tô voltando para cá né para a gente finalizar aqui esse primeiro momento que eu te conhecer a empresa e essas informações estão vão gerar esse diagrama de fluxo de dados vocês vão fazer isso com base na realização de entrevistas com pessoas ligadas à organização por óbvio além de visitas Então é sim recomendada que você fala a visitar e porque eu chamo atenção para este último ponto analisar organização interna e quando eu falo organização intera eu tô falando aqui especificamente a físicos engolir

quer dizer quando você for analisar a questão da proteção de dados por exemplo é necessário verificar como que os computadores por exemplo as baias de trabalho das pessoas são direcionadas ali dentro do ambiente porque geralmente Dependendo da maneira como os computadores de e os monitores estiverem a distribuídos pessoas que não devem ter acesso ao não precisam ter acesso a determinados dados pessoais acabam tendo acesso a dados e se você não consegue descobrir simplesmente fazendo uma pergunta no questionário por exemplo você deixa o monitor de frente para outra pessoa quer dizer você precisa ir lá e

ter atenção a isso também é o seja perceberá ao Aspecto físico da organização a então por isso que é interessante e fazer essa visita na medida do possível é claro né para verificar isso também o olá tem mais isso então pessoal eu dei uma olhadinha ali mas fica a pergunta já foi respondida né e aqui então a gente chega no resultado do bicho disso que eu chamei de primeiro momento que é a caracterização inicial da organização tão o resultado até aqui a identificação preliminar das necessidades da Organização ea representação macro dos processos que envolvem dados

por região diagnóstico empírico então você vai lá verifica você tem ali os questionários respondidos por esta administração você tem as informações gerais sobre os dados são tratados pela organização e você tem esse raio-x inicial desses processos mais repito e enfatizo de maneira macro como tá aqui tá ou seja isso aqui é importante de hades e logo no início tá você não vai ter Ainda muitos detalhes mas você vai ter essa representação macro dos projetos dos processos internos a organização e importante ter em mente como eu fiz ali no segundo ponto que pensar ou lembrar que

a adequação não se vincula apenas ao tamanho da organização até mesmo porque esse conceito de tamanho da organização tem vários critérios é tamanho da organização no sentido de em quantos países ela está presente e tamanho e da organização em termos de volume de Vendas e tamanho da organização em termos de volume financeiro que a sua atividade gera e tamanho da organização entende do número de funcionários é tamanho da organização em termos de quantidade de dados pessoais são tratados como existem vários critérios para se definir tamanho da organização de isso aí a um que cada um

vai ter de descobrir ele fez e para poder fazer por óbvio as devidas adaptações É mas também levando em consideração as operações e tratamento de dados as categorias de dados e seus titulares o modelo de negócio fornecedores etc a pra deixar essa ideia claro eu coloco aqui a hora que vocês pensem nessa situação dessas desses dois tipos de organização ao das duas é maior o qual das duas você pode dizer que um tamanho maior do que a outra tá ou seja eu tenho organização de 250 trabalhadores no setor têxtil tá que fabrica camisas por exemplo

e eu tenho Organização com 15 trabalha dois faz marketing digital qual das duas tem o tamanho maior então vão lembrar disso lembrar que a essa adequação tá ela vai precisar isso aqui que a gente passa é um esqueleto geral é claro é uma montagem geral a isso aqui precisa ser adaptado conforme a realidade da organização é ou seja se eu tenho uma organização do caso do brasil por exemplo tô pensando em termos um bei não é o Microempreendedor individual que tem o seu cnpj importante pelo menos até o momento é uma organização de precisa ter

o seu dp o seu encarregado e portanto precisa fazer isso daqui será que ele vai precisar utilizar um sistema de criptografia de última geração por exemplo a então ou será que ele vai precisar seguir todos esses passos então esse salão que precisa ser pensado porque por óbvio deve ser adaptado ao tamanho da organização ok então esse é o Primeiro momento a gente passa aqui já para o segundo segundo momento a ficha né tomara que a minha o meu gosto de água para a gente poder continuar tô passando por um segundo momento aí deste programa então

o primeiro momento que você tem como eu tinha marcado ali essa representação macro da organização quando a gente chega no segundo momento a gente vai entrar o que na auditoria em si então repito e aquilo que eu chamei de primeiro momento é para você conhecer A organização a ver o que que ela faz o quê que ela deixa de fazer ter uma visão geral dos seus processos para aquela questão da representação macro que eu falei ou seja a gente não vai ter ali todos os detalhes absoluto mas é necessário ter essa visão é necessário dessa

noção até mesmo porque e você como gestor de privacidade vai precisar fazer o que você vai precisar montar o orçamento você vai precisar dizer para a organização olha é para eu Limpar esse programa de privacidade e eu tenho que fazer as etapas 1 2 3 5 10 100 e isso vai custar x só que você furou viu não consegue dizer quanto vai custar se você não tiver que ela visão inicial geral macro da organização tanto aquele primeiro ponto ali a aquele primeiro aspecto ali ele diz respeito à que ele desrespeita conhecer a organização você já

vai ter num primeiro momento até alguma ideia de dados pessoais como eu pus nos slides para onde vai uma ideia De fazer certa porém o foco ali naquele primeiro momento é muito mais para que você como gestor da privacidade consiga perceber a organização com a conhecer a organização a de novo você não vai negócio um programa de privacidade sem conhecer o redação para você precisa conhecer essa organização tá depois a gente passa aqui para o segundo ponto e aí eu vi ali a pergunta do antônio carvalhal é para o escopo da auditoria que eu vou

mostrar aqui agora Talvez seja basicamente antônio você vai fazer nessa os dois tchau é tudo você precisa conhecer absolutamente todos os processos da organização do menor processo ao maior ou seja do mais simples ao mais complexo para fazer com que a organização da esteja em luminária tá com a área da proteção de dados então até já antecipando aqui já dando um spoiler entre aspas do que a gente vai falar daqui a pouco você vem e aí na cidade vai precisar saber Exatamente a respeito dele informações a respeito de todos os processos todas as atividades de

tratamento de dados pessoais não é assim ah é a mais importante ou é aqui tem mais volume termos de quantidade de dados recolhidos de pular ou não é aquela tem mais volume termos de retorno financeiro para empresa a ou aquela que é o maior número de titulares estão ali naquele naquele naquela atividade né então subir gente não todas todas as atividades precisam Ser mapeado é claro que você como gestor e privacidade em conjunto com a empresa pode delimitar o que que é mais urgente isso aí é claro todas as pessoas que vão trabalhar com isso

precisamos ter esse jogo de cintura de saber se o seu tem um tratamento de dados pessoais que envolvem nome e-mail e eu tenho outro que envolve o nome o endereço telefone cpf né o seu nicho aqui em portugal ou rg de crédito etc é óbvio que eu vou dar prioridade para o Segundo porque se der um problema no primeiro e a a tem a relação de idade do nome e do e-mail o nível de risco é muito menor do que o outro tem dúvidas mas não quer dizer que o outro que o primeiro lá ele

não vai ser não vai entrar aqui nessa autoria então na auditoria então a todos os processos você precisa verificar todos os processos da organização todos os processos podem ser processos repito tô falando aquele processo das atividades De tratamento de dados pessoais tá então vamos lá você fez a primeira etapa efeito fiz tudo bonitinho e já tem uma ideia inicial de com uma coisa funciona por ali naquela organização política que eu coloquei que agora você vai aprofundar esse fluxo de dar a vocês a idade criados na capô terior pegue ser aprofundada aprofundada de sentir-se a partir

de agora vai estar obter todos os detalhes possíveis e imagináveis digamos assim dos tratamentos daquela Organização das atividades de tratamento de dados pessoais atualização e aí repetindo que eu acabei de dizer você deve conhecer todos os procedimentos e todos os métodos da organização em relação à recolha a coleta e ao tratamento dos dados pessoais né até ali quer dizer quando eu falo coleta eu já tô falando de um tratamento de dados pessoal você precisa conhecer tudo detalhe é deve se relaciona a esses procedimentos com o funcionamento Organizacional ao seja é necessário aqui perceber e aí

não tem como fugir disso não é só a gente ficar eu tenho um tratamento de dados lá que recolhe esses dados xyz funciona assim mas a entender porque aqui um amigo ocorre naquela área da organização pois eu ponho ali funcionamento organizacional n sentida você já é começar e isso é uma função sua como gestor na privacidade de pensar o seguinte este tratamento de dados Pessoais que a empresa faz hoje é necessário é relevante um exemplo muito simples que a organização tiver áreas distintas por exemplo mais que tratam dos mesmos dados pessoais será que é necessário

que cada uma dessas áreas distintas tenha bases de dados diferentes tá ou seja isso é entender aquela atividade de tratamento que eu percebi eu tenho duas áreas distintas imaginemos aí que eu tenha duas divisões essa empresa e essas empresas têm sites Diferentes mas elas recolhem dados e elas percebem que o consumidor é o mesmo então eles então mente aquilo ali faz sentido no âmbito da organização não tô dizendo que é é mas eventualmente pode fazer sentido ou não ou eventualmente você como gestor vai avaliar vai dizer olha em vez de eu ter duas bases de

dados que tem lá o nome maria e o errei da maria tanto numa base daddy4k outra que a gente não junto as duas talvez isso faça sentido tá Dependendo é claro de outros critérios como por exemplo a transparência que você vai ter um consumidor a gente o que a gente vai chegar lá daqui a pouquinho mas lembrar e vincular isso perceber se até umas atividades de tratamento de dados pessoais são necessárias efetivamente para aquela para a estrutura organizacional de menos assim nesse sentido você precisa para conhecer todo o ciclo de vida dos dados pessoais a

ou seja é aquela velha história desde Quando dar o pessoal nasci para organização ou seja quando ele é coletar quando ele repolho e até o momento em que o dado pessoal morre da organização que economizar sampaio os dados pessoais nesse meio tempo deixe esse ciclo de vida é uma série de ações empresa precisa fazer então como é feito o registro desses dados pessoais e aqui como é feito em todos os sentidos ao seja no sentido da recolha do dado pessoal no sítio do Armazenamento do dado pessoal onde ele armazenados como ele armazenado onde ficam registrados

quem gerencia esses dados pessoais ou seja e pensar quem é o responsável por aquilo dali aqui em são transmitidos ou seja pegar aquele aquelas informações que foram obtidas lá na entrevista ou das entrevistas no primeiro momento na primeira etapa e aprofundar e isso daqui entrar em detalhes a respeito de todos os procedimentos de todas as atividades de Tratamento da organização só toma cuidado com ações que pareciam ser iguais para quem vem de fora da organização tá mas e coloca aqui é um exemplo né o que você tem basicamente a situação de uma pessoa chegando na

organização e fazendo o registo para poder entrar no prédio muito simples para quem está chegando de fora aqui tá visitando a empresa da ação é esta ela chega ela se identifica eventualmente ela faz um registro ali dos seus dados Pessoais não entrando no médio aqui seus dados pessoais é o cartão dos cartão cidadão não é o número da identidade do seu cpf ou chama foto tá não entro no mérito aqui mais a atividade é essa para pessoa que tá vindo de fora agora você como gestor de privacidade precisa conhecer todos esses detalhes que estão aqui

e percebam aí a nesse nesse exemplo visto de 3 a diferença é que poderia ser visto de outras mais variadas formas como para Dentro da organização ainda que um tratamento de dados seja exatamente o mesmo porque eu como organização neste exemplo aqui eu tô recolhendo dados para permitir o acesso ao prédio da empresa por exemplo ao edifício mas eu tenho maneiras distintas de fazer o primeiro caso eu tenho um porteiro que é contratado pela organização assim como o diferentemente do segundo no segundo eu tenho um cordeiro que é funcionário de uma outra empresa de segurança

privada Contratada pela organização então aqui eu já tenho uma diferença em termos de fluxo do dar pessoal porque porque se eu tenho um funcionário pela minha organização eu tenho de ter dado nível de risco em relação à qualidade pessoal mas se eu tenho um funcionário de uma empresa que eu contrato e o outro e eu de risco então eu como gestor tenho de pensar nisso nessa distinção e depois continuando ali no primeiro exemplo ainda eu tenho cortei Funcionário da organização ele faz o registro de entrada e saída em um livro próprio ali no físico ele

a nossa ali tá depois de ver se livra depositado ao final de cada turno e um repositório um arquivo uma raio o que for local da organização de acesso restrito e esse livro é arquivado quando estiver cheio tá ou seja tem audi 100 páginas preencheu todas as linhas da 100 páginas ok aqui vai esse livro ode o repositório próprio da organização aqui eu tenho um Uma uma sequência de ações para este tratamento de dados pessoais repita não estou dizendo que é diferente dos outros é a outra kabibh atividade tratamento da mesma mas vejam não chegou

no caso o segundo passar tem um porteiro funcionário da empresa de segurança privada é contratada pela organização como já falei o registro de entrada e saída é feita no livro próprio mas o pai ao final de cada turno como no anterior ele fica ali no posto de Trabalho no local na recepção ele fica ali embaixo da mesinha embaixo do balcão então detalhe tá é um acesso restrito que eventualmente ali só ainda na recepção que tem a falsidade entrar enfim é ativada quando tiver quando ele estiver cheio repositório da empresa de segurança ea terceira situação em

que eu tenho o porteiro que da empresa registro de entrada e saída em programa e for batizado ou seja não é mais um livro na mão tá ou seja é ali no no sistema Qualquer mas o sistema não é da minha organização sistema da empresa terceirizada e aí esses dados estão indo para onde tá o senhor nos maneirão online de um navegador e o computador que é fornecido por mim então sou eu empresa que contrata outra e eu disponibilizo o computador para elas utilizarem para ela acessar o site da empresa dela então comece a perceber

e o nível de risco que vai variando é que comece a perceber quais são as Medidas de segurança e medidas técnicas que são necessárias dedicar fora por óbvio as medidas organizativas né administrativas para saber quem tem acesso a isso mas são coisas que você como gestor vai ter de pensar e continuando ali os dados do programas alojado num servidor da empresa privada o backup é feito em nuvem contratada pela empresa de segurança privada e fornecido com uma outra empresa tá e eu ia poderia complicar isso aqui dizer que Essa empresa terceira lídia que fornece o

espaço para o backup para fora do país então perceba como aqui eu tenho a mesma atividade tratamento com níveis de risco completamente diferentes e eu como gestor de privacidade preciso fazer isso aqui para todas as atividades de tratamento ou seja onde começa por onde vai quem faz o quê ou quando e onde a e aí eu volto aquela pergunta que foi feita antes então e nesse caso a cachorro antônio que sair Das atividades isso é auditoria é você fazer esse mapeamento completo do que que é feito com aquele ciclo de vida daqueles dados pessoais a

é claro que aí você vai ter uma abordagem completamente diferenciada de um casal o outro já falei sobre isso né apesar de que a atividade de tratamento de dados ser grosso morre a mesma então este exemplo mostra isso você pode ter essa mesma atividade de tratamento de dados empresas distintas as mais distintas Possíveis mas é claro que vai variar de situação a situação que vocês precisam também que tomar você como gente pode privacidade preciso tomar cuidado com os tratamento de dados na área das relações de trabalho e aqui eu chama atenção em os vi alguns

dos exemplos são mais puxados um pouco para essa área ou seja igual a 10 rapaz do recrutamento mas recrutamento aí tem uma distinção que eu vou falar daqui a pouquinho tá ou seja e quando a gente for falar de base legal Aqui que precisa pensar a respeito disso passando pela execução do contrato de trabalho a eventual cessação do vínculo e pelos efeitos pois morte do colaborador ou seja o colaborador veio a falecer depois de sair da empresa ou durante final entramos aqui no médico ou mais quais são as obrigações da empresa com aqueles dados pessoais

até aquele momento então você como gestor precisa pensar nisso tá é necessário conhecer todas as operações de tratamento de Dados para que a diretoria seja realmente válida não tem como fugir já dá trabalho é dar trabalho e por isso que você precisa é todo esse planejamento iniciado tem esse esqueleto diz o que você precisa fazer não tem como fugir dessas características aqui como exemplo e podem ter outras armas aqui para que vocês têm entender atividades de tratamento de dados no âmbito de uma rh algumas eu repito existem outras atividades é claro que Algumas que estão

aí você pode ver com a mente não ser o caso na organização que você trabalhou na organização para a qual você presta serviços à assim como o contrário pode ter atividades tratamento que estão lá e que não estava aqui no exemplo para que só para que se tenha uma ideia geral para uma área da empresa era organização cara de rh você tem a atividade a tratamento recebimento de candidatura espontânea com currículo a então isso Aqui é uma atividade exatamente está recebendo as pessoais você tenha a outra situação que é recrutamento mas é quando a organização

ela abre ela divulga estou contratando me enviou currículo e essa é uma atividade de tratamento que é diferente da anterior o que a anterior e você tem lá no site da empresa espaço passa a sua candidatura voluntária você não tá pedindo dado pessoal de ninguém a pessoa tá dando dado pessoal outra coisa não segundo caragem que você tem um Recrutamento e você como organização de ei eu quero p e vai trabalhar para mim então são os dados eventualmente até podem ser os mesmos se a gente for pensar de maneira bem genérica que a pessoa vai

enviar um currículo aí vamos imaginar que o currículo seja modelo igual para todos nos dois casos as atividades tratamento é a mesma não é diferente a e é diferente porque a base legal vai ser diferente da sky tá você tem duas Atividade tratamento na fase prêmio é pré-contratual de negociação do contrato de trabalho ou seja você faz entrevista com aquela pessoa faz uma duas três quatro cinco entrevistas enfim durante as entrevistas você tá coletando dados pessoais mais ainda não tem contrato de trabalho mas é uma atividade tratamento para você tem que cuidar da cidade pessoais

depois quando tem a celebração do contrato de trabalho e os eventuais aditamentos razão eventuais alterações No conteúdo do contrato de trabalho tão ali começa a relação trabalhista mas eventualmente o seu contrato de trabalho especial a mulher no brasil agora aí né tamos aí 28 de março não tem a legislação a lgp ligou então contrato de trabalho de um modelo que não tem a cor não levem em consideração a proteção de dados pessoais do trabalhador porque ele é a titularidade do mesmo jeito então você precisa fazer o aditamento então aqui Olha é uma atividade certamente dados

pessoais as inscrições de comunicações obrigatórias né ou seja para quem tiver aqui em portugal faça as devidas aí alterações é a autoridade tributária ou a segurança social e por aí vai o fundo de de trabalho de garantia né pelo tempo de serviço ou a questões de estatística órgão de estatística por exemplo eventualmente você você como organização tem obrigação legal de repassar essas informações não são atividades de Pagamento a bíblia corrente comunicação a seguradoras no caso pode ser o caso de ter um seguro de acidente de trabalho por exemplo tá aqui continuando comunicação trocada entre a

organização empregadora e o colaborador então são tratamentos você vai gerar informações por meio dele e é uma atividade tratamento você precisa saber como isso funciona vocês aumento salarial por óbvio que houverem um software integrado De gestão empresarial para gestão de rh aquilo ali vai ser uma atividade ou vai haver ali atividade lamento os registos obrigatórios mapas registro obrigatório essas regiões de férias registro de ponto carros seja isso a gente entra no ponto ponto né vai ser assinatura o controle biométrico conta reconhecimento facial e aí eu tenho atividade de tratamento com níveis de risco diferentes o

registro atualizado dos colaboradores registro de horas extras Utilização do sistema biométrico para a cidade eu já falei e acesso a instalação tá então isso é para pensar eventualmente empresa faz sistema de profarma e dos dados dos trabalhadores pode se empresa faça aí tá não não não entra no mérito aqui vocês essa errado a sua função como gestor de privacidade deve e analisar e propor soluções processo disciplinar é uma atividade de treinamento treinamento e formação profissional se for o caso ou seja é Outra atividade tratamento mecanismo de controle de trabalho à distância especialmente nestes momentos em

que vivemos agora em que as pessoas estão fazendo aquele trabalho e aí você tem eventualmente não é o caso da vídeo vigilância mas geolocalização no contexto de trabalho mesmo que não seja nessa situação atual ou seja você tem é a pessoas que dirigem carros da organização vai eu não vai colocar ali a geolocalização para saber onde a pessoa Está andando e onde ela tá indo com o carro a então ou a questão da videovigilância se a sua empresa sua organização tiver na loja e você coloca câmera de videovigilância ali para evitar eu funcionária por exemplo

é roubo caixa isso é viável não é viável visto é legal não é legal ou câmera de videovigilância para segurança do prédio até onde você pode colocar a câmera de videovigilância pode pegar a rua e te pegar a rua e as pessoas que Estão passando na rua são titulares e das pessoas que vão ter mais filmar velho que você vai fazer com aquilo como você vai tratar então você tem que pensar nisso e as licenças médicas que a em logo ali também clara medicina do trabalho e aí falando ele no trabalho e voltando com aquela

questão foi colocada antes do da axilas eu pegar o tratamento dado sensível por homens saudáveis saúde então como que esse tratamento e veja até que eu não tô nem entrando nas Denúncias de cada tratamento apesar que são atividades de trás mas e aí você como gestor vai precisar mapear casa uma dela e identificar em cada uma delas o ciclo de vida mudar pessoal olha ele começa com ele é tratar e onde ele terminou quando ele termina então isso vai estar aí nesse mapeamento e aqui a gente tá falando dessas operações de tratamento aí você vai

então realizar este mapeamento de dados tá você vai ter quais dados pessoais são Coletados pela organização do conjunto das operações de tratamento realizam desde a coleta conservação tratamento em determinado contexto e posterior destruição a então percebam que até aqui você tem lá como eu coloquei a definição das operações de tratamento e consequentemente você tem uma piauí dessa nestes dados no ciclo de vida desses dados pessoais e aí você precisa fazer duas atividades fundamentais bom e duas atividades fundamentais que Você como gestor de privacidade não vai poder fugir não tem como fugir e isso precisa ser

feito neste momento da auditoria que é o que verificar as finalidades e verificar a base legal ou seja os tratamentos identificados até aqui são tratamentos que tem uma finalidade legítima ou seja em chuva né a especialmente aí ele atualmente pode-se ter uma uma uma questão em relação a finalidade para entender isso é muito simples perceber eu preciso Fazer esse tratamento ou esse tratamento precisa ser feito desta maneira tá ou seja será que esse tratamento e veja aqui não é o questionamento referido se deve ou não ser feito tratamento mas é verificar o tratamento do jeito

que ele está se já está de acordo com uma finalidade determinada ou a finalidade pretendida então essa análise precisa estar presente e aqui vejam que está ali na terceira linha do segundo ponto aqui Você vai precisar olhar para esses dois princípios da necessidade daqueles dados ou seja minimização dos dados pessoais e o da proporcionalidade tá então para colocar início especialmente aí para ele não mexer não cor da área jurídica e contentar colocar da maneira mais simples e da necessidade da minimização eu preciso coletar todos os dados pessoais que foram identificados por você para atingir aquela

finalidade e aí eu sempre Gosto de dar aquele exemplo quer um exemplo genérico mais simples e eu acho que ele deixa se ideia clara e é você identificou que a organização quer fazer marketing direto sem entrar em outras questões legais tá mas entrando no princípio da finalidade o princípio do o marketing direto tem como objetivo enviar um e-mail para o meu consumidor ponto e o meu objetivo é enviar um e-mail para consumidor e dado e eu tenho de recolher para essa atividade de Tratamento dois eu tenho que recolher o nome do consumidor por quê porque

eu quero padronizar lá neném olá joão da silva eu não quero ser aquele e-mail a frio do tipo olá e pronto eu quero colocar o nome dele tá demonstrar aproxime a enorme próprio disney acabou eu não preciso pedir um nicho o cpf eu não preciso pedir endereço eu não preciso pedir cpf eu não preciso pedir outros dados senão a minha finalidade enviar um E-mail com propaganda para o meu consumidor então é aqui que você vai ver esse princípio da minimização da necessidade tá ou seja é verificar e analisar esse tratamento tem esta finalidade para que

gera essa finalidade cuidados que são recolhidos estão ok ou adição excessivos é essa pergunta que você tem que fazer nesse tapa e isso está diretamente relacionado com o ponto posterior ali que a identificação do fundamento de licitude como se diz aqui Em portugal ou a base legal como se diz no brasil como tá lá na lg tv então é necessário identificar se existe mais legal para as atividades de tratamento que você identificou a ou seja não tem como fugir da identificação dessa e aqui nesse momento aqui e o repito você não vai aqui corrigir não

vai dizer olha aqui tá como consentimento mas tem que ser execução do contrato não é isso você tá fazendo aqui o que você tá fazendo aqui é aqui para este tratamento A base legal eu consentimento ponto então aqui identificar lembre-se estamos ali no segundo momento de auditoria geral então aqui você não vai corrigir você vai apenas identificar olha essa atividade por exemplo do marketing vendido a propaganda por e-mail identifiquei que a base legal é o consentimento ponto se está certo ou errado você vai verificar esse depois mas não agora agora seu objetivo é dizer que

essa atividade se utiliza o Consentimento tá e outro ponto fundamental é claro né a limitação da conservação em outras palavras é o prazo ou seja qual é o prazo de conservação daquele dados pessoais todos nós que estamos a reflexão de dados e se você ainda não tá se você tá começando agora e vai estudar sobre assuntos você vai ver que um princípio fundamental é esse princípio da limitação da conservação a organização não pode manter os dados dos Seus clientes dos seus consumidores de maneira indefinida por exemplo é claro que existem estações isso é outra história

mas esse é obrigatório que a organização diga que vai haver uma determinada conservação a ou seja nem que seja para dizer eu vou conservar o seu e-mail na minha lista para te enviar propaganda enquanto você não se descadastrar então ali eu tenho uma limitação da conservação então e verificar os dados estão sendo guardados E durante o período que devem estar guardar isso você vai fazer aqui também a e essa análise dali resulta então um relatório de todos os dados pessoais são tratados pela organização ou a clara indicação de quais são os dados né efetivamente necessários

e quais são desnecessários tá e sem a identificação das operações de tratamento de dados pessoais e sem este mapeamento extremamente detalhado não é possível fazer a equação é aquela que eu respondi Anteriormente a perguntas feitas são todos os mapeamentos todos os as atividades tratamento que você precisa fazer tá não tem como deixar de fora nenhuma a você pode priorizar pode dizer não vamos começar por essa questão mais urgentes ótimo show de bola mas você precisa fazer de todas elas neste mapeamento inicial e aí aqui eu deixo ali a apenas uma ideia a existem essas duas

maneiras diferentes ou o manual ali entrar Já viu né ou seja você pode fazer esse mapeamento de uma maneira mais manual deslizando por exemplo uma quadrilha dele céu ou você pode utilizar um sobre mapeamento automático por só quais os dois utilizar aí você vai precisar analisará a organização e perceber qual dos dois vai ser mais eficiente porque os dois têm prós e contras os dois tem pontos positivos e tem pontos negativos a então o fato aqui você vai precisar escolher um dos dois pontos de hoje Possível depende do orçamento da empresa mas cadê você escolher

tá antes de mapeamento que você vai querer fazer depois que você fez esse esse mapeamento né do tratamento das atividades você vai identificar quem realiza essas operações de tratamento e aqui é fundamental de sempre na mente na sua mente na sua cabeça aquele tá em no primeiro ponto fundamental olá neste miccional base ou seja quem tem de ter acesso aquele dado pessoal Então aqui você precisa se identificar l leis de acesso e lembrando que quando eu falo níveis de a fecha não tô falando em níveis de utilizador divertir usuário em um sistema informático por exemplo

não tô falando disso estou falando é quem deve ter acesso a planilha lá do e-mail de propaganda a ou seja se a gente está falando de um departamento de marketing e partindo do princípio que a empresa que deus é mais elas vão contratar uma agência para fazer isso então vamos Pensar no departamento de marketing desde o diretor até o estagiário precisa ter acesso ao banco de dados um e-mail de todos os consumidores não tem que pensar nisso eu volto aquele exemplo se a minha empresa tem duas divisões distintas uma divisão precisa ter acesso aos dados

da outra divisão sim ou não como que está a estruturar-se e aí você vai identificar quem deve ter acesso quem não deve ter acesso ao seja lembrar que a legislação de proteção de Dados deixa isso claro os dados devem ser protegidos é a privacidade ou o padrão né o pra ver se vai de fogo falar disso daqui a pouquinho mais detalhes ou seja é pensar o padrão ou definição né quem deve ter acesso a esses dados principais todo mundo não não é todo mundo mas você precisa pensar aqui nesse momento quem realiza essas operações então

pensar a respeito de paz acesso devem ser concedido da quem e garante que tal concessão seja limitado ao Mínimo necessário a então aqui você já começa a maquiar e dizer olha eu dou vendo e no banco de dados lados e meios para propaganda a divisão inteira tem acesso e não não deve ser a divisão deve ser aquela pessoa x o que ela é responsável por enviar os remédios por exemplo inventando aqui mas é nesse passo está cheio tá eventualmente você pode dependendo da situação é claro fazer a linha uma espécie de reset né do acesso

aos dados Garantindo o acesso aos menus a partir do zero a ter isso em mente isso é fundamental o fato de uma pessoa não precisar de ter acesso a andar pessoal é um indicativo a inclusive de violação de dar pessoal a ou seja se a amaria deve ter acesso e o joão não mas o joão tem acesso aquele cidades pode vir a ser considerado como jeová santidade pessoal mas a gente vai chegar lá daqui a pouco tá me lembrar dos acessos externos também né como se Fizesse mapeamento quais são as as instituições externas por exemplo

que tem acesso a esses dados pessoais autor sem eles essa né e depois com o fluxo de dados completo e dizer que o fluxo de dados concretos são esses três itens aqui quais são os tratamentos que ocorrem quais são os dados tratados lembrando que quando eu falo em quais tratamentos e quais dados tratados eu tô embutindo nesse nesse conceito a questão da finalidade a Questão da base legal do fundamento de licitude ea definição de quem nos trata aí é que a gente vai pensar na questão da segurança da empresa como está a segurança da empresa

hoje lembrando estado da segunda etapa momento de auditoria não estamos propondo novidades não estamos propondo mudanças estamos vendo o quê que a organização tem a íris uma a gente precisa ver tchau mas ação garante esses elementos é a cide confiabilidade integridade e Disponibilidade mas também ali a questão da restrição do acesso é isso aí é mais explícita até na área de bebê mas lembrar de que isso é um elemento importante está vinculada a definição de quem trata os dados pessoais lembrar que as medidas de segurança podem ser medidas técnicas e organizativas ou físicas ainda que

as medidas físicas não estejam presentes na legislação de proteção de dados ou seja o rg pb ea ldpv não trazem lá medidas Físicas trazem que devem ser tomadas medidas técnicas e organizativas mais as medidas físicas também devem ser levadas em consideração a cor uma boa prática é aquela questão do posicionamento do contador no local de trabalho por exemplo o pensar nisso levar isso em consideração e analisar o que que essa análise só é feita agora e não antes que que este não é o primeiro ponto a ser visto numa gestão de privacidade o que primeiro

eu preciso conhecer quais são Os o existentes tratamento de dados que aquela trilha de ali no fluxo de dados completos só quando tivesse louco de fluxo de dados completo é que eu vou poder dizer não as medidas tá ok ou eu vou poder dizer que não as medidas não está ok sem defe que precisam ser solucionados ou seja não adianta eu querer começar pelo meu sistema técnico vamos colocar assim pela minha medida técnica pela parte de tere talvez Colocando ele já que ele vai direta se eu não sei quais são os tratamentos eu não adianta

só depois que eu tiver aquele fluxo aquilo que aqui eu tô chamando de fluxo de dados completo quais são os tratamentos quais são os dados finalidades base legal quem trata limitação do acesso né e do acesso não estou dizendo que temos aqui de tecnologia tô dizendo hein tem deve ter o direito de ter acesso aquele dado pessoal ou não é aí que eu vou olhar os Mecanismos técnicos e administrativos próprios da redação lembra um toque quando eu faço isso eu não estou dizendo organização nude deste sistema para este outro eu tô dizendo a organização tem

isso ponto final a mudança vai vir depois tá e lembrar para avaliação dessas medidas de segurança que tá ali no último ponto que as medidas de segurança devem evitar não apenas os acessos ilícitos mas também acessos inadequados ou acidentais é Aquele que eu falei agora ou seja é a pessoa que deve enviar um e-mail para o fulano a envia para o fulano b você já que eu tenho uma violação de dados pessoal por exemplo ou a pessoa que não deve e ela não deve aquela não precisa de ter acesso a uma base de dados mas

tem acesso então ele eu tenho um acesso que ele não é ilícito mas ele acidental ele não deve acontecer então a medida de segurança aqui a análise da medida de segurança deve verificar isso eu tô Vendo a e a pessoa que todos os membros do departamento de marketing e tem acesso a banco de dados tá errado não pode acontecer ponto então essa é a análise e vejo que a lei todas as pessoas terem acesso eu não vou considerar que algum ilícito tá o que estão todos no mesmo barco todo mundo faz parte da mesma organização

tá no mesmo departamento mas é o acidental ou inadequada então a gente fazer ponto a isso lá na minha Análises lá no meu relatório e verificar isso com uma fragilidade porque todo mundo tem acesso aqueles dados pessoais e isso na pode acontecer tá e aqui só de curiosidade de maneira geral a é de perder não fala quais podem ser as medidas técnicas a serem totais já o regulamento europeu trajes principalmente lá no artigo 32 a reorganização e a cifragem dos dados pessoais um exemplo é claro que isso aqui são apenas exemplos e o fato da

Lgpd não prazer por óbvio não quer dizer que não devam ser o simpática né mas enfim a pensar quais uns então essas medidas técnicas específicas jipe a vão ser analisadas e o repito enfatizo e som repetitivo de propósito aqui você não vai dizer eu devo ou dar disto para aquilo aqui estamos na auditoria e você deve fazer o quê que vai me dizer olha eu preciso fazer isso outro chinelo e depois claro você vai fazer aí esse Cruzamento para você vai dizer que está sendo feito isso ponto final né ali na etapa anterior você vai

fazer esse cruzamento do fluxo de dados com as medidas de segurança corrente existentes na e isso então vai resultar a identificação dos riscos de privacidade por hobby você tem o fluxo dos dados pessoais esses dados pessoais estão sendo o tratamento desses dados pessoais é feito dessa forma x na empresa da organização as medidas técnicas e Administrativas e organizativos de segurança de maneira geral e o cruzamento dos dois leva a identificação por óbvio dos riscos de privacidade e lembrando você não vai buscar soluções mas você claro começa a ter uma ideia ali do que precisa ser

feio agora lembrar que você exatamente não vai ficar limitado ao que a legislação de proteção de dados eu já tinha falado isso antes do início aqui do nosso papo e aqui o reforço ou seja Você não vai olhar só para a legislação de proteção de dados mas também para outras legislações sejam legislações setoriais ou regulações o que for e sejam específicas e que causa impacto na proteção de dados tá e a lembrar aqui da questão dos princípios isso aqui é só para até mais atitude de 3 dias para que tiver ainda este ano e aí

como é que a gente tem no artigo 5º os princípios e no artigo 6º os Fundamentos de licitude são as bases legais e na lgpd eles são respectivamente o artigo 6º e no artigo 7º da legislação para fazer aquela análise anterior você vai escolher uma dessas bases legais ver se está de acordo com essas mais legais oi e a larissa está aqui isso aqui também é importantíssimo analisar a forma como as operações de tratamentos são realizadas seja relação ao procedimento sou em relação aos suportes Ou seja analisar o privacy by design pra ver se vai

se for é a privacidade ali desde o início né ah e o padrão tá então lembrar de isso que todos esses projetos todos esses tratamentos precisarão a estar de acordo com chips as duas legislações trazem esses dois princípios o rgp de maneira bem lícita já lgpd não tão espírito mais trás tão lembrar de que os pagamentos precisam seguir estão até essa ideia da privacidade e aí se verificar como está ali fazer ainda uma Última análise em termos de a mais legal tá como tá aqui sintetizando eu ficasse essas atividades de tratamento observe os princípios e

sem fundamento na base legal então você viu o anteriormente fez análise da segurança uma vez que você fez análise da segurança e fez aquela junção desses dois relatórios digamos assim você vai fazer essa verificação aqui é ou seja aqui efetivamente ver verificar se as medidas de segurança estão de acordo com Privacy by design pra ver se vai ser fogo por exemplo a verificar se as medidas de segurança concretizam as bases legais se uma tá de acordo com a outra tá para evitar diretamente o problema nesse sentido por isso que eu coloquei o objetivo de avaliar

se o tratamento de dados pessoais atualmente em execução se vincula uma das circunstâncias previstas nas normas né e lembrar que você está apenas verificados passam tá e lembrar e aqui eu falei no Início eu falei depois eu vou explicar por que que a questão da segurança vem depois as mais legais como thalia os destaques avaliação da licitude né ou seja das bases legais é o primeiro passo porque sem tratamento lixo não pode existir tratamento de idade tem aquele que eu falei não adianta eu dizer nossa eu tenho um sistema aqui e os dados podem só

digitais eu tenho um sistema de terem fantástica prova de invasão sempre sempre garantindo ótimo mas a minha base Legal tá errada porque em vez de usar o consentimento eu sou usado sou obrigada a usar a execução de um contrato se eu tiver pensando em termos de trabalhadores por exemplo do rh então a é para o processamento salarial eu vou utilizar ali a execução de um contrato por exemplo mas eu tô escolhendo consentimento então meu sistema é seguro ninguém vai de os dados pessoais dos meus colaboradores show de bola só que você tá usando o mais

legal você tá Errado do mesmo jeito tá lembrando é claro que uma coisa depende da outra dois estão completamente interligados mas se não dá para imaginar que sem um o outro vai funcionar ah tá entendi dar mais legal e depois ir para a questão da segurança porque não adianta ter segurança sem base legal tá ou também não adianta eu dizer como eu disse agora eu tenho ali no mecanismo de segurança muito bom mas que eventualmente trata dados que são Exageros então de repente seu comércio a área mais técnica mais segurança eu vou bolar porque eu

imagino a e vejo que lá para minha campanha de marketing sem nome endereço telefone cpf não sei o quê não sei o quê não sei o quê 10 dados pessoais da pessoa então vou pensar nossa olha eu vou eu preciso de um sistema está meio busto para proteger o que são 10 dados pessoais de cada titular eu tenho 1 milhão de titulares para que o engenheiro dois milhões 10 Milhões enfim ainda mais pensando em termos de brasil eu tenho milhões de consumidores na minha base idade portanto tem seu sistema fantástico ótimo só que se o

seu objetivo é enviar e-mail você não deve ter dez dados pessoais coletados da pessoa você deve ter dois você começa o tratamento depois vem para essa questão para fazer a devida adequação à como eu disse é que aqui só para reforçar não adianta se preocupar com a Segurança técnica na proteção dos dados que os dados forem protegidos tem várias legal tá e aqui a lembrar de se você percebe isso nessa auditoria deixar você já deve deixar ele marcadinho no lado os dados o tratamento se não houver mais legal o tratamento deve ser terminados os dados

apagar a esse aqui é o padrão isso aqui é o ideal claro que aí compete a organização decidiu que que ela vai fazer tá então mas qual é a recomendação por óbvio a pagar unidade pessoais e aí Eu entra naquilo para a gente finalizar a segunda etapa do recebimento de currículos espontânea em relação à recebimento de currículo em processo seletivo aberto pela organização o tratamento é o mesmo pode até ser como eu disse antes pode ser que o currículo seja um modelo que a empresa disponibiliza oi e aí ela diz olha é se candidatar em

tem problema não tenho a um processo seletivo aberto as duas esse modelo ou Não é o processo seletivo está aberto e uso esse modelo são tratamento diferente porque a base legal e distinta e por que que a base legal e diferente o que no primeiro caso que o recebimento de currículos contrário a minha base legal precisa de ser o consentimento e nascido um daquela recebimento de currículos em processo seletivo aberto a base legal não é o consentimento a mais legal a execução de um comprar o quê porque execução de contrato não é só o contrato

De trabalho mas são os elementos pré-contratuais e no segundo caso estão vinculados a uma relação aí a que a empresa está ali levando adiante a e o próprio titular fazer a análise do currículo a ser feita pela empresa ela está sendo feita pela iniciativa do titular no âmbito daquele processo e aqui no outro caso não no outro caso pedreiro na empresa vai precisar do consentimento para tratar aqueles dados pessoais porque não há nenhuma relação Entre os dois ela não vai estar actualizar no primeiro caso como a possibilidade de a execução das diligências pré-contratuais então aqui

eu tenho atividades distintas tá como exemplo bom então até aqui o que que a gente tem a gente tem um relatório com a identificação de todas as operações concretas com dados oficiais e todo o detalhamento relativa as formas médico do esporte intervenientes e o seu frouxo Vale destacar que o relatório deve apresentar os fundamentos todas as operações de exatamente das pessoais independentemente da sua maior ou menor complexidade como já falei e o relatório deve analisar criticamente todas as operações de tratamento identificando aquelas que estão ou não estão em qual comunidade inclusive aquelas que talvez já

devam ser terminadas neste momento a poesia somente você percebe tem uma atividade de tratamento de dados Pessoais e eu tenho os dados pessoais lá dos consumidores e não é feito nada eu partindo já dez anos os dados estão lá parados há dez anos eu as cinco anos enfim seja e aquilo não vai ser usado daqui para frente termina sempre ali encerra aquele dali e tira uma a possibilidade de risco da empresa sofreu algum problema depois então até aqui a gente fez aí a segunda o primeiro e o segundo momento e agora a gente passa para

o terceiro tá Bate o olho aqui e vi ali lidiane ah ah ah pergunta né que tem algum modelo de relatório de auditoria existem aí alguns modelos que você pode comprar internet tá né gente novamente talvez posso ver aí com flávio depois da gente pode militar um ou dois modelos táxi em para auxiliar mas a é uma questão de você realmente pesquisar verificar e analisar quais são esses aspectos precisam ser levados em consideração na hora de se fazer essa análise ok vamos lá uma outra Pergunta as passar aqui qual é a relação dos profissionais de

veículos questões áreas do direito é a mesma de conhecimento pergunta do caso pergunta que sempre surge aqui tá tão casos olha só e é para quem for trabalhar como the pooh a precisa conhecer os dois não tô dizendo que precisa fazer um curso né no sentido de uma graduação não é isso mas o dp ó precisa ter conhecimento das duas áreas tá é claro que ele pode ficar Tardinha dele para um lado pro outro agora o dp o precisa ter conhecimento dos dois porque é responsabilidade do depu indicar tanto a base legal por exemplo para

gente puxar para o lado jurídico quanto uma menina técnica tá ou seja eu vou usar a sei lá este ou aquela é só aquela medida técnica a por exemplo pensar em uma dificuldade mais técnica que a questão de um apagamento de dados pessoais backup consideramos um backup incremental número como é que eu apago Os dados virtuais então dp ó precisa ter essa noção não quer dizer que ele precise ter bom então é nos dois casos a licenciatura aqui em portugal mas ele precisa sim ter conhecimento então quem raro inserir precisa saber conhecer legislação e precisa

saber interpretação da legislação pelo menos isso assim como que é da área jurídica precisa ter uma noção de quanto tempo conhecimento técnico e valem daquilo que a gente Chama do utilize do usuário como medo ai mediano a passando aqui para o nosso terceiro ponto definição de medidas para adequação então aqui a gente terminou a segunda etapa e aí a gente tem ali como quem tava ele tava tendo digital relação tem uma visão geral e detalhada né o fato de se geral não quer dizer que é superficial ao contrário a gente viu da sua situação em

relação à proteção de dados e com isso conseguir a montar então um plano de ação para ver passa Dela elevação sem descuidar das suas atividades não marcas significa dizer que o cronograma com a definição das e ele tomate com o objetivo de averbação deve estabelecer prioridades em relação a organização então aqui cadê você tem todo um mapeamento e toda estrutura e organização está neste nível e qualquer mas eu preciso chegar aqui e é hora de se definir as prioridades é ou seja que a gente tá no momento de definir medidas para adequação pensando aí a

em termos De brasil e pensar pensando em termos da lg p500 em vigor em agosto desse ano a nós temos aí cinco meses então supondo-se que fosse possível adequar uma organização aí de médio e grande porte talvez até pequeno dependendo dos dados lá tá 205 meses o que que você tem que fazer qual é a primeira coisa que precisa ser feita e aí eu coloquei um exemplo muito simples aqui tá ou seja qual é a prioridade que a empresa deve ser e aí como é que você vai descobrir Essa prioridade base lá no chão até

a de repente a sua prioridade não é nenhuma dessas duas medidas aqui de segurança tá uma técnica ea outra física de repente a sua prioridade a identificar as bases legais e corrigir as bases legais pode ser tá ou pode ser uma medida mais técnica ou a medida de segurança né é uma medida mais jurídica digamos assim então aqui sim da definição das medidas é que vocês você cônjuges ou na privacidade vai verificar Os isso aqui é o é o tá vai me dar problema e claro que eu tô usando a gente do do brasil mas

em portugal que tiver assistindo aqui depois várias coisas o rp já está em vigor há dois anos né tem a legislação a a lei de execução aqui então eu preciso de verificar aí preciso definir prioridades o que que gera mais risco para a organização é nisso que eu preciso trabalhar no primeiro momento então por isso que eu indiquei aqui em abstrato Perceberam que eu fiz questão de colocar em itu e se destacado por que o que é que é uma sequência que em princípio de uma maneira abstrata é a melhor sequência mas não quer dizer

que necessariamente tem de ser assim a dependendo da situação da organização você pode seguir por um lado seguir uma etapa antes da outra isso aí vai depender claro da situação real da organização é mas é abstrato então primeira coisa de Recomendação garantir a os direitos dos titulares de garantir isso em primeiro lugar por meio da garantia do direito à informação em conjunto com a transparência e porque o que a partir de agora você vai pensar em termos de medidas para adequação e lembre-se daquele que eu falei lá no início do ponto de partida do princípio

da responsabilidade ou seja ser responsável frente eu te zoar portanto para ser responsável frente a titular você tem de Passar todas as informações para ele e ser transparente com esse titular e esse direito informação e sustento então nesses três pilares primeiro e formal titulação de todas as operações realizadas com os dados pessoais dele a ou seja a deixar claro para o titular de dados quais são as operações que você vai realizar os dados pessoais dele porque certa e formaram é feito da forma esclarecida e livre que ele titular permitiu o tratamento dos Dados basicamente isso

aqui é fazer o que é mostrar o titular olha eu tô tratando os seus dados conforme tá lá na minha política de privacidade lembra disso tá você já deixar de mostrar que você foi transparente com titular e que o titular percebeu que você foi transparente então não é só você ser transparente bem mas é você conseguir comprovar que você foi transparente fala para sua mãe que segura informaram tipo de uma relação aos meios para o Exercício dos seus direitos tá então isso precisa ser aí o seu ponto de partida e aqui eu tô falando então

da política de privacidade a ou seja que deve sofrer atualizações constantes para o seu ponto de referência particular de dados a respeito do exercício dos direitos e do direito à informação então a organização deve adotar os mecanismos mais eficientes tendo em conta a sua estrutura é claro né eu morava os titulares exercício dos Direitos da forma mais adequada possível por exemplo criar mecanismo o acesso aos dados bem como sua atualização retificação por parte do titular estabelecer critérios que permitam a pagamento dos dados a não ser em casos necessidade obrigação legal de mas é aquele sagas

permite a portabilidade certa tá então aqui eu não vou entrar nos direitos especificamente aqui quem tiver mais interesse e ainda não souber aqueles cursos que eu falei ninguém te Explicam direitinho tá mas lembrar que vocês precisam você como gestor da privacidade precisa pensar em maneiras de facilitar ao titular o exercício do seu direito tá então esse é um ponto fundamental aqui como que eu coloquei ele já é recomendado é sempre avisar o exercício dos direitos e o local próprio tanto na perspectiva do titular ou seja um dashboard por exemplo e que é o painel titular

entra e aí lá ele escolhe eu quero receber isso eu não quer E eu quero que apaga ontem e 167 quanto na perspectiva da própria organização ou seja centralizado e meio do de centralizar um apoio consumidor for o caso a empresa pode escolher isso ou se for um interno né porque lembre se já falei isso o colaborador também a titular de dados então tem o responsável vai ser o rh de chá criar um ponto de referência bom lembrar que o exercício do direito deve ser garantido a todos os cantos Externos clientes e consumidores quantos internos

que são os colaboradores tá então aquela questão que eu já falei do consentimento pensar em termos de como medida de adequação os e-mails internos é os eles da organização e profissional ele institucional é do tipo nome e sobrenome irrigação ou do tipo comercial organização e sal que você pode pensar e pode sugerir geralmente o padrão é o primeiro tem o nome o nome e sobrenome de pessoas mas estão dado pessoal e aí Já tá mente tá ou seja veja que eu tô entrando a denúncia mas você pode pensar isso e sugerir não vai ser um

padrão para todo mundo que você não quer identificar os seus colaboradores fora na empresa por exemplo depende da empresa o atual das pretensões das nos contratos com os colaboradores como já falei antes em lei de sigilo e confidencialidade e por que causa de proteção de idade que você tem que colocar no contrato como os Dados pessoais vão ser tratados não ou seja quais são os princípios do tratamento de dados pessoais no âmbito da relação trabalhista modelos consentimento para ações que sejam realizadas fora do contrato de trabalho ou seja é aquela velha história né eu também

já usei sempre outros outras outros animais aqui uma coisa é eu utilizar os dados pessoais do trabalhador do colaborador enquanto ele está no trabalho agora essa empresa faz Um jantar que convida os colaboradores e é gratuito pec 37 trabalhador vai lá o colaborador vai lá a empresa tirou foto do colaborador e aí aí a empresa que é divulgar qualquer coisa quer dizer olha como nós somos legais que nossos colaboradores fizemos aqui o jantar para todo mundo de fim de ano por exemplo show de bola top e a empresa vai utilizar esses dados pessoais do colaborador

com qual das legal uma execução do contrato não pode Ser execução do contrato porque não contrato não diz que o colaborador é obrigado a participar de jantar de fim de ano então é necessário pensar nisso a controle de acesso lógico ao sistemas de rh se a organização tem meios para pedir intervalos regulares que os colaboradores atualizem seus dados pessoais que veja que é é o princípio da exatidão né ou seja a ter os dados pessoais os mais exatos possíveis os mais corretos possíveis e a gente sabe Que as pessoas esquecem nós esquecemos de entrar lá

no site atualizar a gente pode avisa quando vai fazer alguma coisa diferente dá uma empresa precisa pensar nisso eu vou enviar um e-mail para o meu colaborador olha confira se seus dados estão aqui tá então agora em tempos de epidemia aí de panelinha empresa vai lá envia olha se eu realmente preciso entrar em contato com você então atualiza seus dados se a política de alteração de senha sem uso do post Bom né que você exige lá massinha de 58 caracteres alfanuméricos e etc e claro que a pessoa vai anotar então tem que pensar nisso dados

biométricos são apagados quando encerrou o contrato de trabalho a ou seja que uma coisa é um dado que diz a hora que o cara chegou nós não emprego outra coisa é um dado biométrico dele então qual dos dois você vai manter quando terminar o contrato de trabalho e a contratos claras com serviços Auxiliares que explicita a necessidade de proteção de dados o que aconteceu com a empresa de higiene ali de limpeza por exemplo essa empresa ela não é uma uma operador como diz a ldb não é um sub contratante como diz o rd perder você

já ela não está tratando dados pessoais em nome da da sua organização mas ela pode ter acesso a dados pessoais porque geralmente a pessoa tá fazendo a limpeza vê-la chega na mesa e ver que tem dados pessoais ali e aí nesse caso tem um Contrato que garante esse dever de confidencialidade o dever de segredo né nesse serviços auxiliares então isso é uma medida e você vai analisar o contrato e precisa verificar vai ter a operação ou não e aí você coloca na sua medida de adequação a organização deve tomar cuidado ao tratar os dados fiscais

de representantes de outras organizações o que ainda que atua em nome de uma pessoa jurídica né de uma pessoa coletiva aqui Em portugal são titulares de dados a isso aqui para diretamente relacionado com aquela questão do e-mail aqui no último ponto que tem lá bater os pontos silva arroba qualquer coisa é um dado pessoal que me identifica então aquilo ali está sendo exposto um outro coisa uma outra estação ali uma outra coisa envio de dados pessoais de colaboradores para reuniões com representantes de outras organizações se localizam fora do território mas você tem que pensar isso

Você vai fazer uma reunião a sua empresa vai comprar alguma coisa no serviço de um fornecedor de um operador ou já tinha em portugal tem transferência internacional se você envia os dados pessoais daquela pessoa ah mas é em nome da empresa em nome da empresa mais aquele colar o chocolate dados pessoais e isso precisa ser pensado também tá então são recomendações na primeira etapa a segunda recomendação é o estabelecimento De medidas que a deco e as operações de tratamento as finalidades buscadas pela organização lembra que eu falei antes você indicou você descobriu qual era a

finalidade isso tá de acordo com o que é organização quer então necessário levar em consideração o princípio da limitação das finalidades ou seja os dados pessoais devem ser recolhidos e tratados né para finalidades determinadas explícitas e legítimas a as atividades tratamento anteriormente descobertas e Graças né devem ser analisadas à luz das suas finalidades lembrar que a definição da finalidade deve ser feita antes do início do tratamento então é claro que aqui a gente tá falando em medida de adequação do que já existe mas a gente não pode se esquecer de que pedido de adequação porque

vai bom então lembrar a olha daqui para frente eu só posso ter uma atividade de tratamento se antes eu já tiveram a finalidade explícita não é aquela coisa De ar eu vou recolher dentro os dados pessoais do meu titular e depois eu vejo o que que eu faço com esses dados se eu vou usar se eu vou usar como eu vou usar o não isso não pode acontecer então lembrar que você vai precisar com giz toda privacidade fazer essa adequação aos tratamentos que já existem mas como estamos aqui na fase de definição de medidas para

adequação pensar no futuro também a lembrar de isso daí das atividades futuras depois da terceira Medida é a questão do privacy by design privacy baile for das operações e todas as operações de tratamento e isso é importante porque o que isso aqui previne as violações de privacidade a estão os titulares devem ter acesso facilitado ao gerenciamento dos seus dados como um dashboard confessional e as medidas técnicas e organizativas deve estar presente em todos os momentos do ciclo de vida dos dados pessoais a então aquela questão que eu falei agora Da finalidade isso essa aqui no

privacy by design ou seja eu já tô pensando teu bom fazer uma atividade tratamento futuro eu já te disse a minha finalidade agora se eu tenho a finalidade eu não vou recolher 10 dados pessoais de cada titular eu vou recolher dois ou três vão aparecer 5 a esses dados pessoais são dados sensíveis então eu já tenho de pensar em que eu tenho de pensar na garantia técnica na segurança técnica as medidas de segurança para esses dados Sensíveis não tem um nível de risco maior do que os dados normais não falei antes há eu vou enviar

propaganda para ver o titular eu quero enviar onde eu tô de organização quer mas lá no meu dashboard eu tenho deixar desativado o negocinho lá o item sim eu que disse quero receber mensagens os seus produtos e serviços e seu privacy vai de fogo então o estado nas atividades de tratamento os que eu coloquei no último ponto o marco Zero dos tratamentos de dados deve ser a privacidade absoluta utiliza-se o mínimo possível de dados pessoais para prestar o serviço entregar o produto a mateus mas é complicado a organização não quer ao relação que é continuar

coletando 500 dados pessoais de cada titular ok é escolha dela esse depois ela tomar uma arruda se ela pode dizer que você não avisou né a lembrar disso estamos trabalhando com privacidade é pediu mínimo possível de dados deixar Explícito informar ser transparente e por aí vai tá e inclusive como acabei de falar no que diz respeito à recolha dos consentimentos não pode ter lá o checkbox pré mais caro tem de estar desativado é o consentimento é uma ação explícita à ativa inequívoca do titular de idade ele tem de lá e cai desistir com cinto e

já vem pré marcado esse consentimento é inválido e isso é o privacy by design e o privacy vai de Fogo precisa estar aqui presentes nesse momento como medida de adequação então é pensar ah eu tenho a o meu formulário de contato da empresa e quero o consumidor entre em contato comigo só que agora eu já vi anteriormente lá no site e o formulário já tem pré-marcado consentimento então eu tenho de alterar o código da minha página e deixar lá desmarcado o consentimento tá então a pena na medida de adequação tá tem mente isso aqui Eu

acho que é importante pra frente todos nós apenas apenas aceitamos o que nos é mostrada nas políticas de privacidade e tenho certeza que a maioria de você está me assistindo agora e que não me assistir depois fase seja tem uma política de privacidade ou você clica na ok manda ver ou você rola até o final para um botãozinho aparecer você clica em a maioria de nós pais isso constantemente tá então isso não é mérito nem de mérito isso é uma coisa Muito prática e se nós e muitas vezes nós que estamos já na área de

proteção de dados fazemos isso pensem no consumidor quando eles vão colocar aquela expressão do usuário comum tá então a privacidade tem que ser assim por a by design mainly for né o padrão por definição já estabelecida tá então as configurações padrão deve ser pré-definidas de maneira a garantir o máximo de privacidade a sessão de dados pessoais que não O resultado de uma sativa espírito informado demitido e não passiva como já falei anteriormente e por quê que isso é positivo a galinha primeiro ponto como tá indo o primeiro ponto e se relaciona com que eu falei

lá em cima que a gente volta lá no início da dessa nessa nossa conversa essa metade das favorece o envolvimento do titular eu li agora essa semana uma publicação lá e app em que eles fizeram uma pesquisa e que tem essa comprovação Sem a notícia quem tiver interesse entra lá e procura tá a que as empresas que usam isso aqui garantem uma maior confiança do titular e vendem mais tá então já tem pesquisa comprovando isso aqui não é do defensor da privacidade não sei que é coisa tem pesquisa repito para não sai sai app essa

semana saiu essa semana que passou uma notícia que o resultado dessa pesquisa de uma olhadinha lá quem tiver interesse e não se fala em restrição do uso de Idade isso aqui é outra coisa que você quando tiver lá na reunião inicial tem que falar para administração não estamos impedidos de usar dados pessoais em absoluto mas sermos de usar dados pessoais uma determinada maneira a então lembrar disso né e é que eu dou um exemplo tá me claro deixa em paz você vai design privacy by de fogo e eu também vi nessa semana nesses últimos dez

dias por causa dessa coisa de vamos ficar em quarentena cursos de proteção De dados gratuitos na internet tá inteirão pedido os dados completamente desnecessários e aqui eu vou fazer uma análise das nações nos seguintes sentidos se o curso é gratuito tá o quê que eu como empresa preciso da pessoa dos dados a pessoa que dados eu preciso eu preciso do nome do e-mail porque o curso é digital portanto eu não lembro já não é por causa dela e sem graça como emitir fatura não tem de emitir nota fiscal portanto eu não preciso de Outros dados

que não nome dela o e-mail para dizer olha o curso está disponível aqui grosso modo é claro então aqui eu tenho um exemplo de uma situação tá ou seja de uma determinada no curso gratuito de proteção de dados em que você vai fazer a inscrição e tem todos esses dados aqui aí é claro que vejo eu tô fazendo a minha análise aqui como não tempo e vendo que aqui eu não tô vendo princípio da organização agora a organização pode argumentar e pode ter Lá usar o o o fundamento dela para explicar por que que é

um curso gratuito ela quer cpf ela quer telefone data de nascimento e o sexo da pessoa tá então isso é passível tiverem ficar uma outra situação aqui tá ali e começa ok muito bonito muito interesse um ótimo toque diz que os dados vão ser mantidos como ele está quem vermelho por prazo indeterminado então aqui seja fica com a pulga atrás da orelha aí você começa a ver ele ó primeiro coleta e Armazenamento dos dados para identificá-lo como pessoa natural que se inscreveu no evento e para agradecer por essa iniciativa tá então o que que eu

como peixoto tô lendo isso o que que eu imagino imagine que é que eles querem a base de pessoal para poder enviar o curso para mim o link de acesso para depois dizer poxa parabéns você participou do meu curso obrigado espero que tenha gostado então e essa é a minha interpretação por quê que o prazo é um Determinar tá então aqui já tem aí um pequeno problema e aí depois quando você chega aqui no curso gratuito você vê que tem o nome completo tem um e-mail show de bola confirmação que mais para aquele telefone para

que empresa para que um cargo a ou seja o princípio da minimização mim é preciso das três últimas informações para um curso gratuito que é um e binário pela internet ou seja eu não preciso de mais nada e aí clara nós Vamos para o exemplo o correto né fazer aqui de novo nosso mexam-se que todos vocês que participaram estão participando aqui viram e preencheram este formulário em que se tem primeiros homens então não tô pedindo nome completo e eu tenho o e-mail da pessoa o cliente que eu preciso para ele enviar o link para você

assistir essa aula eu preciso do seu nome para dizer olá joão tudo bem vai ter aula aula tá no link tal tá boa isso é o privacy by design e O privacy by the for e precisa estar numa medida de adequação tá repito nos exemplos anteriores onde haver motivos para empresa querer aqueles dados pode podem ser motivos legítimos pode a por exemplo aqui nesse caso de repente você quer aline a empresa e o carro o que fazer no perfil da pessoa ótimo mas aí então isso precisa estar explícito aqui nessa indicação a então a mesma

coisa não anterior precisa tá explícito você não pode dizer que vai Usar para isso e pedir mais dados do que o necessário para essa ação então lembrar disso como medida de adequação cuidado para não incorrer nesse erro aqui depois aqui planejamento tá o quatro foco do planejamento é só as medidas técnicas e organizativas a ser implementadas pela organização já tinha falados já tinha falado sobre isso antes mas basicamente a pensar eu tenho essa situação que o analisei lá na segunda fase lá no segundo momento eu Identifiquei esses galhos aqui em termos de segurança medidas técnicas

medidas organizativas medidas físicas eventualmente como boas práticas e preciso fazer então eu tenho de ir fazer essa adequação ea que eu trouxe aí do rg pelo artigo 32 número um destaque ali que medidas técnicas vão ter essas medidas vão ser medidas adequadas para assegurar um nível de segurança adequado o bicho tá então é aquilo que eu falei não se deve falar e tá no Primeiro ponto não se deve falar apenas em aumentar a segurança mas também proporcionalidade na aplicação das medidas a então você precisa pensar nesse tipo de situação a ou seja não é assim

desmanchar eu quero aumentar é mais tira a proporcionalidade tão lembrada a polícia de mesa limpa por exemplo ela pode ser tão ou mais eficiente do que um sistema de criptografia dependendo da situação né a depender da situação a política de mesa Limpa vale muito mais do que um sistema fantástico de criptografia aí tem vários exemplos acho que a maioria de vocês é mais da área técnica então vocês vão saber disso aí com certeza a e quem não souber por mais áreas jurídicas olha o que que são essas ilhas todas aí tá para poder aprender que

é tudo que eu falei antes precisa aprender e lembrar também se essas próprias soluções acessam dados pessoais o que eventualmente você vai colocar lá uma dlp né e esse sistema Acesso a dado pessoal ele tem acesso a dar pessoal justamente para ver o que que vazou que não vaza tá então esse sistema ele foi devidamente homologado e ai um contrato de utilização o que que acontece se o sistema de defeito e vazar em aqueles dados pessoais então é necessário pensar nisso a mesma questão dos cookies né ou seja é a questão de cookies mapeamento de

cookies que os cookies tem dados pessoais estão quase utilizados qual Razão para a gente em são paulo que isso já tava de ademir ia ter sido feito antes identificar os cookies como medidas de adequação para deixar isso explícito sobre os requisitos de informação e transparência de um sentimento dos outros há que lembrar como eu pois além do terceiro completo os o site que coleta idade o segundo a gente ia falar garantia da segurança mas lembra aqui para ela ainda segurança às operações de tratamento de dados já Devem ter sido uma piadas a eu digo não

sites vão verificar quais são as operações de tratamento de dados que ocorrem que precisam já tecido uma piadas com a gente chegar nesse ponto foco que também extremamente importante ou seja reestruturação dos contratos com fornecedores tá fornecedores clientes parte terceiras da a cidade o operador ou o subcontratante quando se diz aqui no rgp então pessoal aqui é analisar os contratos em vigor né E verificar por quê que deve ser feito tal seja é necessário uma coisa ele fazia de tamento a esses a esses comprar tá verificar além das necessidades realizar a entrevista com os operadores

para que seja claro o que eles fazem em nome do controlador ou do responsável pelo tratamento como se diz aquele ou seja verificar o que que é tratado por esses a resposta vencedores vamos colocar sim né por essas essas entidades contratantes o que que elas fazem e não Da empresa e analisar os contratos medidas de adequação em necessário ter isso nos contratos seja nos atuais que vão ser a operários sejam nos contratos futuros não tem como fugir disso eu não sei se esquecer dos contratos com os colaboradores gente que é isso tá e no caso

brasileiro ou sugiro que quem tá no brasil coloque nos contratos as exigências estão lá no artigo 28 do regulamento europeu porque o que ali tem uma série de obrigações de parte a parte Mas principalmente obrigações do operador em relação ao controlador usando aí a nomenclatura do brasil né ah e que precisam estar presente comprar tá então sugiro que dêm uma olhada isso para que esses contratos estejam devidamente adequado isso aqui é o que demora aqui então aí é é necessário olhar é necessário desses contratos sem cláusula de proteção de dados que os contratos identificam todas

as atividades de tratamento feitas seus Contratos a deixam claro quais são as medidas de segurança que o operador vai dar para garantir aquelas atividades de tratamento feitas que ele faz para o ah e por aí vai tem coisa questão do registro das atividades tratamento como medida de adequação se a empresa não tiver registro ela precisa fazer esse registo mas isso já vai tá mais ou menos pronto se a entidade como tá ali já se aquele mapeamento que a gente fez na primeira etapa tiver sido bem feio Porque o mapeamento de idade no chelsea bem realizado

já corresponder a grosso modo ao registro das atividades acadêmicas lembrar como medida de adequação que o registro das atividades de tratamento se refere não apenas as novas atividades de tratamento surgir você já tem as que existem hoje então está feio as novas precisam ser registradas e se as anteriores sofrerem alteração por óbvio o registro tem se alterado também também para o brasil é Um sugiro que sigam as exigências do que tá lá no artigo 30 do rgp de táxi não é o conteúdo do registro que na lgpd isso não está claro ainda né e isso

era necessário identificar quais atividades de tratamento requer uma avaliação de impacto e isso também precisa ser feito não tem como fugir a sétima medida diz respeito à criação das políticas e procedimentos internos a organização então não confundir político é procedimento interno com política de Proteção de dados política de privacidade desculpa políticas e procedimento interno diz respeito àquelas políticas de segurança da informação política de uso responsável política de guild a política de na home office o teletrabalho e eles era a política de privacidade é para os consumidores tá então levar isso em consideração lembrar de políticas

de privacidade que aqui outra chamada de política de privacidade ela é Direcionada ao público externo mas também aos colaboradores então fugir o que tem uma política de privacidade business-to-business bitchubi tá para clientes e fornecedores aí você vai falar na mateus mais o cliente fornecedora e ele é uma empresa empresa não têm proteção de dados depende porque eu posso ter proteção de dados do representante da empresa como eu já disse anteriormente ou se for a uma empresa em nome individual não é um Microempreendedor individual que é o nome dele é dado pessoal precisa ser protegido por

óbvio a polícia consumidores ea política dos colaboradores tá então a presença dessas políticas é fundamental não tem como fugir lembrar que a política não pode nem deve ser um texto maçante seja mas antes só jurídico do tipo forma artigo tal da ao fazemos isso ou só técnico né vamos usar as medidas vamos usar ao dmz modem pote por exemplo sem identificar o Que quer ou os dois a política de privacidade a clara ela precisa ser inteligível já puxando ali por último aí tem fácil acesso e por fim vocês cabe vocês definir em qual redação colocar

no segundo ponto se a política de privacidade vai ser global ou seja geral para todas as atividades ou se ela vai ser específica para a cada atividade de tratamento isso pode ser necessário antes de entrar aqui nesse quarto Momento eu vou encher essa garrafinha de água e voltar por não ter um minuto de pausa tá não saia daí só vou colocar água que acabou você já deve ter percebido aqui na garganta já tá começando a sofrer um pouquinho então só água enche e e pronto vamos lá pessoal voltando aqui tá já já voltei exato vi

ele vai versão né colocou para o senhor já voltou já voltei vamos lá senão a gente acaba extrapolando aí o nosso horário né não Vou atrapalhar aí o almoço de vocês nem o meu descanso aqui né nesse nesse fim de tarde aqui mas vamos lá né quarto momento implementação então vejam que pulamos o que que deve o que precisa ser feita a análise inicial simula estipulante que deve ser feito que são aquelas medidas ali de sugestão agora vamos levar a cabo isso então aqui é mais algumas dicas não é porque basicamente a implementação e pegar

aquilo que você viu ali na etapa 3 no Terceiro momento que são as medidas para adequação e colocar isso em prática é claro né então claro vamos lá uma é mais uma situação atual escolha das medidas é hora de implementar as alterações próprio né tem primeiro lugar fazer apresentação junto à empresa para juntos colaboradores a respeito das propostas e das medidas que serão tomadas pela gerência e visitantes e resistências por um lado e por outro a contando com a colaboração consciente de Todos agora não confunde isso aqui com treinamento a nem o concentração é ou

seja isso eu vou falar daqui a pouco mais aqui é no sentido de fazer essas essas apresentações deixar claro deixar transparente olha vai haver alterações nós precisamos cumprir etc ou seja é um trabalho de conscientização mesmo de mostrar hoje é assim mais para frente vai ser assado contamos com a sua ajuda etc etc etc então a alterar a com a implementação primeiro ponto Surgiu ali no último último item é que isso seja feito entre aspas que nos bastidores é ou seja realizar com pratos deste momento em diante apenas com a operadores ou subcontratantes né que

também estejam adequados à legislação de proteção de dados a ou seja lembrar desse detalhe isso é importante porque lembra que a responsabilidade pelo tratamento de dados e no controlador a então se o mesmo a circulação de dados pessoais lá na agência eu contratei para Fazer um serviço para mim usando os dados pessoais em meu nome eu sou responsável no rgp deixa explícito no artigo 24 energia ele é menos explícito mas também está presente lá no artigo 42 então cabe ao responsável pelo tratamento adotar as medidas adequadas que garantam seus operadores subcontratantes um para quais são

as obrigações relativas à proteção de dados e isso é feito como ah entendi comprar e aqui dica a prática No contrato quando eu falo com atrás eu tô falando só contrato com cláusulas de proteção de dados no seu sentido jurídico o contrato deve trazer como anexo explicitamente quais são as medidas de segurança que o subcontratante vai a por em prática ou seja pra você a sua organização e aí o operador que é o responsável pelo tratamento enviar um questionário ideal modelo e as exigências enfim para outra empresa e dizer você cumprir isso aqui Porque senão

os meus critérios a empresa responde isso questionar de homens questionário para vocês eles tinham rubro é você fala ok então é isso questionar tá aqui ó é anexa ao contrário e no contrato você diz que o operador se comprometeu a seguir aquelas medidas de segurança conforme detalhadas no anexo porque o que se o problema e chover uma violação de dados lá na ponta lá no operador você depois a sua organização tem como Comprovar olha eu fiz minha parte ele me disse ele operador midst garantia tá aqui ó o contrato e ele não cumpriu então eu

jogo no bom retiro aqui né mas o jogo a responsabilidade aí para ele a então lembrar desse detalhe de contrato que é extremamente importante como eu cuido ali sabe o controlador responsável pelo tratamento avaliasse os operadores oferece as garantias suficientes em relação as atividades tratamento porque eu falei aqui agora pela atenção também Aquelas situações na hora da implementação de duas ou mais organizações para candidatos de maneira conjunta é ou seja quem é responsável pelo que analisar se esses operadores vão realizar a transferência internacional de dados pessoais o que se o operador de história eu vou

enviar o e-mail marketing para você mas eu vou armazenar as dar base de dados nos estados unidos ok agora de quem é a responsabilidade pela Transferência internacional dos dados a responsabilidade não é do operador que vai mandar esses dados para lá resultado a responsabilidade é sua da sua empresa como o como controlador e aí eu sempre falo isso eu acho que a a tradução do português aqui em portugal é muito boa é do responsável pelo tratamento essa responsabilidade é um cabe a você como responsável pelo tratamento que é a gente opção é a organização que

vai pedir um dado o pessoal para o Consumidor tem isso claro no contrato os dados vão ser transmitidos e internacionalmente ótimo tem as garantias cumprir as garantias isso indigitado contrato precisa estar lá presente tá isso precisa estar explícito no contrário em atenção ao contrário das entidades terceiras como já tinha dito antes essa serviço de limpeza motorista etc elas não dá não tratam dados pessoais eles não são operadoras não são Subcontratantes no sentido da da privacidade mas elas podem ter acesso a dados pessoais a prova que isso aqui que a gente tá agora na fase da

implementação isso se aplica não apenas a implementação do o dos contratos futuros mais dos contratos anteriores e os contratos que não contém na proteção de dados já existentes deverão ser a de tarde com cláusulas específicas né englobando e como eu já disse as questões jurídicas e tem que ter atenção Aquelas pessoas que trabalham por conta própria tá então assim como o caso dos colaboradores da organização dos trabalhadores por conta própria não apenas para dados pessoais em nome da organização mas também são titulares de dados pessoais verdade isso então aqui especificamente as um monte de desses

trabalhadores por exemplo externos né que prestam serviço por conta própria a empresa a organização quer dizer e usando aquilo Colaborador como exemplo que a mesma coisa o colaborador vai ter acesso a dados pessoais então ele tem ali o seu dever de sigilo e confidencialidade no tratamento daquele dados pessoais mas a empresa também deve para causado pessoais deste colaborador seguindo os mesmos princípios de proteção de dados né então lembrar de isso no momento de implementar aí a o programa de privacidade outro aspecto importante claro desrespeito alteração daquele que A organização mostra o público então a equação

de sites ou de aplicações online se for o caso a a organização precisará compartilhar o seu planejamento com os operadores e subcontratantes que realizam a manutenção de site ou caso não se não é a sua organização que criou o site mas contrata uma outra para criar um site e outra tem que saber o que que vai ser precisa então você lembre-se você sua organização é o responsável pelos dados Pessoais é o controlador né no caso da legislação brasileira e isso é muito para quem controla as finalidades e os mais legais a o tratamento dos dados

pessoais portanto você deve fazer um acompanhamento constante junta essas aos seus contratantes no caso junto aos operadores para ver se eles estão a segunda que você quer por óbvio né lembrar aqui aqui voltando desculpa nesse nesse contexto destaca-se a necessidade de publicitação das Políticas de privacidade claro né você já a gente está na fase da implementação e aquela política de privacidade que eu falei anteriormente que já tem todas as atividades de tratamento seja a política global ou seja por tratamentos e aí cara é organização escolheu o quê que vai ser melhor ou uma é mas

com ações específicas isso aí a outra coisa a gente tem imaginar aqui sobre política de privacidade mas lembrar então o que é que a gente fala Não apenas de política de privacidade voltadas aos titulares mas também a divulgação das políticas e dos procedimentos internos é o seja um colaborador usando como exemplo o colaborador ele precisa conhecer a política de privacidade que diz respeito a como a organização vai tratar os dados pessoais de colaborador mas eu colaborador também precisa ter acesso a política de guild por exemplo para quando ele entrou céu seu computador Para empresa o

que ele pode ou não pode fazer a então a os atores relevantes precisam ter acesso a essas políticas e procedimentos internos por exemplo a não esquecer disso o segredo é fazer a intensa publicidade como eu falei né cumprindo com o dever de informação de transparência e junto essas partes do processo cuidar com e padronizadas do tipo declaro que li e concordo com os termos da política de privacidade a gente já falou disso na Questão do consentimento lembra que a indicação da política de privacidade deverá ser feita sempre que houver coleta de dados pessoais dos titulares

não quer dizer que você vai mostrar por isso que o tempo todo mas dizer e aí eu acho que todos já viram né olha concordo lhe etc sem está marcado a política de privacidade com limpa para ela tá quem sabe não sou da implementação está a criação de um fluxo de trabalho interno organização que garante a Existência de bases legais para o tratamento de dados pessoais os próximos futuros claro né não é só depois que a gente já tem mas o que a gente vai criar daqui para frente fiz a ter finalidades de mais legal

e por aí vai tomar cuidado com a escolha correta da base legal e aqui é uma sugestão minha tá eu sei que tem muita gente que pensa diferente mas a minha sugestão é tentar fugir do consentimento sempre foi possível o que eu consentimento ele depende a do Titular e eventualmente titular pode dizer que hoje concordo e amanhã não concorda mais e aí o negócio vai para o buraco tá ou seja o que o seu consumidor tiro consentimento você não pode mais trocar os dados dele ou tomar cuidado com o consentimento se for consentimento não tô

dizendo que não é para usar mas tentar buscar outra base legal em primeiro lugar mas se a mais legal foco um sentimento eu verificar shimizu foi dado pelo título a gente vai ver alice Eu já tinha falado disso antes de aqui é só para reforçar que o consentimento tácito o opções pré-selecionadas não são maneiras listas sobre seu consentimento tratamento que se fundamenta no consentimento mais que o mesmo não tenha sido corretamente coletado deverão ser adaptados à nova estação aí a gente precisa ver o que que a npd vai dizer nessa situação tá mas eu dou

aqui um exemplo para deixar claro mais ou menos o que que seria o ideal vai ser feio Solicitar consentimento dos usuários antigos apagando os dados x não correr então você tem hoje uma base de dados que não foram coletadas em termo consentimento e para aquele tratamento você identifique contrariamente ao consentimento então quê que você vai fazer vai pedir o consentimento olha eu tenho seu dado meu o seu dar eu vou usar para isso e eu quero usar com base no consentimento você me dá para um sentimento patente fazer isso para que Aquela base legal para

que ela a base de dados esteja legalizada vamos dizer assim se o cliente e consumidor responder não não do consentimento que que você tem que fazer você tem que apagar o dado a mas não tem a mais em vai ter que apagar o dado se você pediu o consentimento ou pedir o recurso do consentimento do consumidor de sério não você vai tem de apagar os dados lembrar que a partir de agora sempre se deve solicitar o consentimento dos usuários Novos né o guarda que vai design by the fosse floresta mais legal e aqui né a

questão do marketing direto eu quero trazer um exemplo aqui que há base legal para a continuidade dessa atividade só você tem hoje sua base de dados para marketing direto a então aqui a gente tem duas visões para marketing direto você pode usar a base legal do interesse legítimo ou pode usar o consentimento mas a escolha depende da forma como os dados foram obtidos então você tem ilha Candidato o tratamento não confunde que marketing direto é não é a mesma coisa que comunicação então são duas atividades tratamento distintas e aqui eu tenho um exemplo gráfico de

isso daí tô mostrando como você implementa essa mais legal no tratamento atual eu tenho a minha lista de contatos atual foi adquirida de terceiros se sim foi adquirida de terceiros ou seja se ela não foi obtida direta do consumidor os Contatos não poderão ser utilizados a não ser que você solicite e homem novo com sentimento agora sim senão não seja a lista de contatos pode querer de terceiros não eu adquirir eu obtive os contatos diretamente do consumidor o consumidor solicitou inscrição ou se inscreveu diretamente sim então tá ok mas a partir desse momento com a

nova implementação você deve enviar só política de privacidade sempre permitir o descadastramento senão já teve alguma Interação comercial contacted o contato foi lá entrou no site e comprar um produto tá ele realmente você pode utilizar aquele dali com base no seu interesse legit o que é e você o seu consumidor ou seu produto você tem o interesse legítimo de enviar propaganda para ele tá então se já houve relação comercial ok agora se não houve relação comercial por exemplo que a gente foi lá criou uma conta no seu site mas não compra nada então vamos teve

Relação comercial então aí você não pode usar esse contato dele veja ou contato ou consumidor foi lá e ele criou a conta porque ele deu o enem para você mas ele não comprou nada então você não pode enviar uma propaganda para ele com base no interesse legítimo você vai ter que pedir consentimento para ele então aqui para que vocês vejam como é possível tratar com dados pessoais coletados antes da entrada em vigor da legislação e se não houver mais legal para o Tratamento dados devem ser apagados ou anonimizadas mas lembrar que anonimização a inclusive a

orientação do grupo de trabalho do artigo 29 deste de anonimização não é assim por cento segura na visão deles portanto se em algum momento aqueles dados e você disse que analisou foi desarmonizados você continua sendo a responsável e se houver divulgação do seu responsável a e a questão da entender que eu já falei né a questão do registro também já coloquei Antes então aqui é é um pouco de repetição não seja realizar o registro estamos na implementação das medidas então é necessário monitorizar o registro tempo todo verificar se está atualizado se ele está correto ou

se as atividades e tratamentos estão ali das medidas de segurança estão presentes se alguém tiver interesse em um modelo de registro entra no site da comissão nacional de proteção de dados aqui de portugal entra lá no link sobre o rg pb No espaço rg.pdf lá tem dois modelos têm modelo para controladores de modelo para o operador a então você preenche seja eu tenho registro atualizado isso é importante depois você vai categorizar tá esses dados e de escrever isso aqui no próprio registro né aquele lembrando ali o que que deve ter registro para que eu coloquei

apenas como reforço tá mas é só se está aí ea questão do tempo né ou seja nessa fase de implementação pensar a respeito do depu quem já fez curso Saiu do cortina deve estar achando estranho e pensar nossa mas o depo lá no sgp dela ele vir na fase dois né então a etapa 2 e por que que aqui tá no final tá no final porque o que na verdade vai caber ao organização definir se ela quer que eu dê supervisione este processo ou se obter a entra no final e por que que eu disse

supervisione processo de adequação o que o dpa deve ser independente e o de pior não toma decisões Ou seja ele não é quando a gente então tomar decisões ele não é ele não é fim as finalidades então se for aquela pessoa que vai fazer análise lá pensando lá naquela naquele primeiro momento do mapeamento chamar de mapeamento geral que eu vi nesse momento então o detalhes a situação é essa pa e para melhorar a situação que a etapa 3 ou teixeira momento um momento de definição de medidas ou depois disso recomendo que sejam feitas essas essas

Essas mudanças ponto a e aí chega aqui na fase da implementação a organização resolveu fazer de maneira completamente diferente ok um bebê ao tá fazendo o papel dele agora outra coisa é pior dizer assim olha é para sanar esse jeff aqui de segurança deve ser utilizado o programa x o que for a ou a medida técnica x nesse caso ele depois tá tomando decisões e ele não está agindo como depois a ou seja essa decisão não é dor de ipu a decisão é da organização Por isso que eu deixei de propósito o final táxi a

nomeação do ipu e depende da maneira como a organização vai enxergar isso daqui tá joça ao bepo lembrado a ação da questão de olhar implementar um sistema de violação de dados pessoais não é isso aí tá diretamente relacionada com as questões das medidas técnicas então a medidas de segurança principalmente é mas não apenas medidas técnicas política de utilização por Exemplo uma medida organizativa né e que deve estar presente aqui eu listen várias delas então vovô aqui lei para gente buscar cansativo para vocês a e por fim de conquistar mente importante para a gente passar para

a última frase encerrar aqui né durante todo o processo de implementação fator fundamental é a documentação de tudo que foi feio a então o gestor de privacidade deve registrar tudo tem reunião no dia tal para pessoa tal falou se isso parar para Decidiu se isso fulano fez uma proposta beltrano disse que não concordo esse cano bateu o martelo e disse que é para fazer no terceiro g registra isso e agitado que no dia e na hora e que autoridade controle chegar lá e bater na porta e dizer olha mostra aí como é que tá a

solicitação você tem lá o seu relatório de 500 páginas vai ficar aqui ó fiz isso holanda foi responsável ou irresponsável que pode acontecer né então é isso que aconteceu ter tudo Documentário nessa fase de implementação que não só é claro né e aí pessoal para finalizar do múltiplo quinto momento se adequarem a minha organização adequada fica a gente faz algumas atividades aqui pós adequação de novo do dpa pode vir aqui quer dizer se esse projeto de adequação da organização foi feito pela própria organização com envolvimento do setor jurídico da organização com envolvimento do setor gti

etc etc eventualmente de possui o Que ele pega mesmo que o bonde andando e ele começa então a cuidar a exercer as suas funções de como tá no segundo ponto atuar na verificação constante da conformidade da organização então vai pegar todos aqueles relatórios ele vai ler tudo aquilo e vai ver qual esse é o ela é o ponto de situação da organização hoje a universal tá neste vídeo então eu perdi manter essa é uma opção outra opção como acabei de dizer é a organização mundial de jamais O e colocar o dpa para dar as suas

recomendações dele tem isso vai variar de empresa com a empresa o fato é que o de te o precisa estar presente né até tinha colocado aqui anteriormente volta um pouquinho aqui ó no caso brasileiro até o momento hoje 28 de março quando eu tô fazendo essa aula todas as empresas todos os sem pj se precisam de um tempo como tá na ldb aqui no caso europeu tem exceções mas na prática acaba fazendo com que todas as empresas precisam ter E quem deve ser o depo coloquei ali explicitamente na europa não deverão ser nomeados com de

peor pessoas que existam esses cargos dentro da organização se o gerente ou administrador diretor responsável por alguma dessas áreas área de rh tiê market financeira logística o advogado da organização o chefe de departamento jurídico não pode ser de contador ou pessoa responsável pelo contrário dessas áreas essa pessoa se quando interno é o dpa interno pessoas Que existam essas funções não podem não devem ser pior porque eu depois deve ser independente e essas pessoas que tomam decisões no sentido qualquer coisa limpo quem exerce essas funções definir e finalidades e meios de tratamento de dados pessoais tá

no caso brasileiro caso brasileiro a lgpd não fala nada de maneira explícita a respeito da independên e depois ela não diz nada sobre as independência como rgp de isaac na Europa então no momento atual dia de hoje a gente foi extremamente legalista positivista e olhar para a lei não há problema e copiaram dp o interno dizer essa uma ou até mais dessas funções que a gente tenta realmente chefe desses departamentos o advogado ou contador ou se ou e por aí vai a agora o bom a prática de governança isso não é recomendado pelos mesmos motivos

no caso aqui na europa que eu volto esses lá essas pessoas que estão nessas funções Tomam decisões é ou seja no sentido de definir finalidades e meios de tratamento de dados pessoais então como boa prática não é recomendado que o depo no brasil venha a ser dessas aves agora e no brasil tem que esperar ele perder surgir para ele perder geralmente redefiniu o que que é o dp o quais as organizações que precisam de ter um dp o homem quais vão ser as suas funções e por aí vai uma a gente sabe disso muito bem

tá mas deixa esse detalhe aqui para Vocês e aí a gente vai aí encaminhada para o sininho principais finalidades atividades pós adequação à questão de treinamento e concentração lembrando que aqui quando eu falo de treinamento é a gente já pensou já falou um pouquinho atualmente daquelas atividades de conscientização de que a coisa vai mudar de que o tratamento de dados tem que ser diferente mas aqui eu entro em dois pontos e são aí bem direto digamos assim que não é mais só aquela coisa de olha Vamos colaborar não é treinar mesmo ensinar as pessoas a

respeito de o que que é proteção de idade por quê que é importante o que tem que ser cumprida tá aquela legislação que tem dia de segurança e aí então o treinamento tem que ser constante um treinamento tem que ser adequada ao público-alvo por óbvio é ou seja dependendo ali da função exercida pela pessoa dentro da organização eu posso ter um treinamento entre aspas Mais superficial o outro mais aprofundar em sem três escolher um comitê de proteção de dados esses livros de se cometer precisam ter uma formação mais funcionar a então isso tudo precisa claro

ser levado em consideração de toda sorte o que eu quero destacar aqui aqui esse treinamento precisa de ser curtindo ele deve ser continuado é porque a área de legislação de proteção de datas altera ou surgem coisas novas o tempo todo a gente ver aqui mas kg e aí com Grande frequência o comitê europeu por exemplo as autoridades de controle aqui na europa ele tem as suas orientações as suas recomendações a gente tem de olhar tem que conhecer e tem dever a coisa pegou então quem está novo treinamento os meus colaboradores agora tão importante quanto é

a concentração e aqui eu quero eu quero deixar claro que o treinamento é aquela coisa de fazer uma aula online e a pessoa conhecia meus princípios a concentração é o que a Concentração ea pessoa não botar lá por exemplo da ainda que não seja diretamente aqui mas voltar o post com a senha a concentração é a pessoa tá para tanta lá com a planilha do excel x de e-mail dos consumidores ela vai no banheiro e deixa a tela desbloqueada por exemplo tá concentração é nesse sentido de mudar cultura interna das organizações com a situação é

mais difícil do que treinamento que treinamento na pior das e pode ser vira O funcionário diz é obrigatório vai fazer o treinamento ea concentração não então é necessário também de vídeo entre o treinamento ea conscientização tá e principalmente treinamento e consciente as violações de dados pessoais e aqui eu não tô dizendo violação de dizer meu amigo é se você fizer alguma coisa errada a empresa vai sofrer com uma multa isso também mas isso é secular aqui o principal como eu pus ali é fundamental de todo o colaborador saiba O que são as violações como identificá-las

e como reportá-las a então isso é voltando aqui isso é fundamental deixar claro para o colaborador olha houve violação faz a repórter essa violação indica que o homem de relação à ou seja entre aspas é claro r ou fazer de mais do que por causa de menos o que se passar o brasil a empresa pode sofrer cartão lembrar disso e temos de controle de violação de dados pessoais a questão de manutenção Do registro já tinha falado de ções a a monitorização das atividades e novas auditoria existe o precisa ser feito e hoje estou de privacidade

ele vai aí monitorar as atividades de tratamento de maneira constante vai realizar auditoria de maneira constante vai ver se as atividades de tratamento as atuais ou aqui falando em termos de pós adequação às novas precisam de uma avaliação de impacto ou não tá então ele vai fazer essa definição vai fazer essa Verificação né fazer treinamentos setra vai realizar os testes da de verificação enfim vai analisar e vai fazer relatório de isso tudo vai fazer um relatório para poder ter maneira de comparar o meu pois ali no último ponto é a recomendação de realização de auditorias

no mínimo uma vez por ano mas ideal é que sejam feitas duas ou três vezes por ano e tona cada auditoria nova nesse momento olhos a negação relatório compara com anterior o que que melhorou que eu roll que precisa Ser feito e por aí é a que eu falei aqui agora relatório completo para realização de benchmarking né ou seja também é necessário para analisar proporcionalidade das medidas sugeridas ou seja pode ser verificado que as medidas propostas foram excessivas ou não adequadas então necessário corrigir mudar aquilo ali né e para provar para as autoridades controle que

a organização está em busca de melhoria constantes é fundamental e Claro mantenha o controle é o último ponto a gente encerra aqui mas tem o controle aí de violação de dados pessoais nem um sistema para gerenciamento de jeová santidade principais funções os procedimentos internos preciso estar claro para todos como eu disse agora há pouquinho tão todos e não só os colaboradores mas pode depois ali os parceiros da organização eu tô falando interna do subcontratante dos operadores os operadores precisam Saber que este houve violação eles precisam de cá o impacto controlado eles precisam saber disso e

precisa mostrar para que isso seja feito precisa recortar para que a sua organização tome as devidas providências então lembrem-se que aqui não é só violação interna do colaborador mas também externa ea responsabilidade da sua organização fazer isso toda violação deve ser devidamente importada e formalizada em relatórios internos a Organização para o estabelecimento do histórico reparação de danos e etc e é isso pessoal então em termos gerais e vejam que aqui antes da gente abrir aí um pouquinho para a gente faz perguntas né como eu disse o início bate o olho algumas responde uma outra aqui

mas é muita coisa e eu quero deixar claro difícil aqui essa é a ponta do iceberg tá ou seja tentei detalhar algumas coisas que eu considero mais importante mas é a ponta Do iceberg da quem quer atuar nessa área do gestor da privacidade não é à toa que o nosso curso lá em junho e julho vão ser três sábados 6:01 para sábado e aí a gente vai deitar é só que muito mais tá mas até para que vocês têm uma uma ideia tá ou seja para quem já fez aí o pati né deve ter percebido

que a gente fugiram aqui do sgt de tal você já que é uma questão tentar fazer mais prática mas lá da realidade para essa adequação que é necessário que precisa ser feito mais Rapidamente possível com os pontos principais né não é à toa que a nossa aula e chama principais pontos para estruturar o programa de privacidade e aí eu não sei pessoal se a gente tem ainda aí uns 10 minutinhos aí para fazer alguns responder algumas perguntas também não quero tomar banho de vocês e claro né eu oi dani a descansar por aqui espero que

vocês tenham gostado dessa aula pertencido produtivo e aí deixa aberto No face o seu flávio abreu aí o microfone está aberto ou não se alguém quer fazer alguma pergunta alguma coisa tá eu vou dar uma olhadinha aqui também tá as perguntas estão vindo direto aqui para em uma aqui do wellington vou responder essa aqui que fora que eu parei né wellington falou aqui a posso enviar o termo de consentimento por e-mail a resposta sendo própria meio eu preciso que é assim e digitalize e pode ser no próprio e-mail pode ser no Sistema clara wellington que

a sua pergunta que ela tá meio em abstrato então eu precisaria saber o consentimento do quê para quê né mas tendo estando presente para aqueles critérios da transparência do titular saber para quê que você tá usando os dados pessoais a resposta e você arquivando guardando aquele dali eu acho que já estaria tá tranquilo tá quem a deixa eu ver aqui que é mais tá aqui o elvis não não Perguntou e tô vendo as últimas né pessoal que não deu para ler tudo espero que vocês tenham essa consideração aí né na né compra uma conta outro

por óbvio ou elvis colocou a função do de pior na sua opinião poderia ficar dentro de uma área de auditoria interna é um mesma pergunta é capciosa digamos assim né beijo aqui na minha visão é a o dp o ele pode fazer auditoria tá agora eu não acho que ele fica dentro de uma área de auditoria específica e eu vou te dizer o Porquê porque a eu sempre me preocupo muito com aquela questão da definição das finalidades para a definição que a gente falou com aí nos slides anteriores né os meios de tratamento o e

eventualmente aquilo ali pode ser considerado como uma atividade que foge ao escopo do de ferro aqui em portugal por exemplo tem um certo debate porque o rg pb diz que não mas a lei portuguesa diz que sim ela deve fazer auditoria e eu pessoalmente sou mais favorável a Visão do regulamento europeu do rg pb tá então na minha visão acho que não acho que tem que ser separado e independente a morrendo daqui para frente pessoal tá então e veja aqui vários aí agradecimentos os agradecimentos são nossos aqui ou vocês tiraram esse tempo aí para aprender

um pouco mais né e enfim eu poder contribuir aqui colaborar com vocês a weather perguntou ali sobre as certificações diferenças olhar dele eu Conheço esse toy aqui em et surf eu conheço mais a daí sim eu fiz a certificação da rede sim a certificação leitinho para que você seja um dp o certificado como eu mostrei lá no início né vou voltar aqui rapidinho a voz aqui já tá falhando eu coloquei aqui nela eu sou certificado como depilar a pele assim para você receber essa certificação que você precisa fazer três provas ou seja a prova de

segurança da informação fundamentos em segurança da Informação a prova ea que o avanço de novo não é para mostrar a prova do fã deixam essa daqui que acha o driver cidreira protex do pão deixan do e depois você precisa fazer essa prova aqui também tá que a prova do pra tchau e aí o outro aqui são três cursos ou do formation do paty chan e o de segurança da informação que a gente não colocou aqui aí você recebe esse esse certificado aqui nessa certificação na verdade como de po e agua e piscina daí App ela

não tem uma certificação específica para de petrópolis ela tem essa daqui do cpp e é isso que é sobre a legislação europeia então é aqui é do livro então quem tem essa certificação comprova que você tem conhecimento profundo sobre a legislação europeia de proteção de dados e quando eu digo legislação europeia não pode dizendo só do rg pb o regulamento eu mais amei na diretiva aí pra ele vai ser que eu citei anteriormente e aí a pt tem uma outra Que é relevante é o rpm é que é o privacy manager é tão que é

vinculada ao nosso outro urso tem esse de nível aqui avançado de gestor da privacidade não tem essa situação então tem essa distinção e aí ele é você eu sugiro que você dê uma olhadinha nessas certificações para ver qual que é quais delas são aquelas que mais serão úteis aí para você na sua profissão né deixa eu ver que mais aqui mais alguma pergunta tá vindo aqui as Perguntas tá então obrigado eu que agradeço tá é o elton fez a pergunta aqui olha sendo a l'oréal uma empresa internacional poderia comentar essas o que mais tira o

seu sossego olha ele eu até poderia mas agora eu vou me valer do meu cd de confidencialidade eu mudei p o não apenas pelo rg pb mais pela lei portuguesa eu estou vinculado ao segredo de é o segredo ao dever de sigilo a mão na verdade tem o dever de confidencialidade Eu desejo sigilo tem um bebê de segredo então eu vou me abster de responder a sua pergunta e espero que você é leve isso em consideração tá deixa eu ver aqui que é mais aqui pessoal repito eu tô passando de maneira bem aleatória tá não

tô beneficiando ao b tô passando aqui o mouse na hora que eu clico para a gente ver tá aqui o diogo perguntou numa empresa que trabalha com marketing direcionado a coleta e coleta os dados de plataforma de terceiros temos pegar o Consentimento de todos sim vai precisar pegar o consentimento qual vai ser diogo a sua justificação para enviar um e-mail para alguém se você não tiver arruma mais legal para fazer aquele dele a então não tem como fugir a minha visão você vai precisar fazer isso ela vai precisar pedir é porque se você não pede

consentimento envie um e-mail o que que aquela pessoa pode fazer ela pode dizer mais eu não deu consentimento eu não tenho contato Com essa empresa e a empresa que tá me mandando e aí o que que o titular vai fazer ele vai reclamar seja rayane bebês a mpb surgiu o dia seja lá no ministério público do distrito federal que vocês sabem melhor do que eu aí no brasil que está super atlante tô com outros órgãos tá aqui tem feito às vezes aí da da mpb na proteção de dados então tem sim vai ter de fazer

isso tá não vai ter como fugir bom a deixa eu ver aqui que é mais e a aqui uma interessante do leandro Abreu tem mais um parceiro empresa terceirizada que trata a folha de pagamento da empresa e direciona os dados para o banco uma lgpd pode entrar nisso então leandro no caso a sua empresa é a controladora e essa empresa parceira que é a processadora hora você vai ser o responsável aí o utilizar uma obrigação legal no caso da para o execução do contrato para poder enviar esses dados é se é para o banco quer

dizer você em relação ao titular a qual Vai ser a base legal vai ser execução do contrato imagino que seja aqui direcionados para o banco né para pagar o salário você falou que folha de pagamento isso tá no âmbito da execução do contrato então como titular como colaborador ou se utilize execução do contrário agora a outra empresa ela também precisa ter uma base legal e qual vai ser a mais legal também vai ser o contrato para a execução do contrato com quem ele estava à vontade com você Com a sua empresa não com titular tá

então lembrar desse detalhezinho aí tá deixa eu ver aqui que é mais tem aqui pessoal também aqui mais de 99 mensagens não vou conseguir tudo né claro a pergunta que importante da ana eu não consegui ver aqui o sobrenome mas ela colocou assim o que acontece se auditoria externa identificam dado como sensível e a empresa não considerou como tal ana na minha visão eu acho que nesse caso o mateus mateus está conseguindo me Ouvir agora eu acho que nesse caso que você citou apesar de ser resolvido porque o que eu o mais triste males marcelo

as duas lá em dia perder o repetir o artigo 9º da lei brasileira na ele não me lembro exatamente o artigo não memorizei tudo da lei brasileira né tá mas tem lá o quais são tão tem muito como fugir aquilo né aqueles lados vão ser do ponto de vista jurídico os dados sensíveis tá tchau organização ou auditoria é aquele Exemplo do cartão de crédito é bem no início a organização ou auditoria considera cuidados aqui o cartão de crédito é um dado sensível ela não pode dizer isso no ponto de vista jurídico porque no ponto de

vista jurídico não é ela pode considerar criar uma classificação interna de dado confidencial ou de dado senhora reforçada qualquer coisa que você imaginar mas não é juridicamente falando como dados sensível tá então aí assim Que olhar na legislação e na interpretação do que vem a ser esse dado sensível tá isso aqui já foi eu ver quem mais aqui a deixa eu ver que é mais g1 bom vamos lá você pode citar uma pergunta aqui do paulo se tá um caso que não esteja dentro da sua situação de segredo para ele tem um problema comum enfrentaram

poder ferozes e que tem complexidade mediana para resolver sim Eu acho o paulo uma situação e aqui eu falo de outras coisas não vinculadas aí a l'oréal né mas é alma aqui a questão dos contratos por exemplo de você identificar nos contratos qual é a base legal para os tratamentos o que veja um contrato entre controlador de operador neste contrato precisa para explícito e aqui dando exemplo claro mas não regulamento europeu mas precisa tá lá claro quais são as atividades de tratamento ela tá lá no artigo 28 então Eu tenho eu como consultor por exemplo

eu preciso trabalhar no para uma empresa aqui x eu preciso fazer com que essa empresa a exija da empresa b&a e deixe claro e quais são os dados todos os dados qual é a atividade tratamento qual é a finalidade quais são os dados da tarde qual é a mais legal se vai ter transferências não vai ter transferência quais são as medidas de segurança aqui o operador a empresa b né que tá fazendo o Trabalho para mim que ela toma aí a gente aumente ela devolve para mim diz não mas eu não sou operador eu sou

responsável conjunto pelo tratamento porque eu quero usar esses dados pessoais para mim problema benefício próprio aí a gente tem de rever o contrato e vincular então esse é um exemplo de algo que eu diria que tem essa dificuldade o que você precisa ter tão explícito aí você tem o contrato fechou contrato bonitinho com uma Agência x qualquer aí daqui um mês dois meses três meses surge um novo projeto na empresa dessa empresa a qual é o preço de um serviço de consultoria com a empresa dentes mas é um outro pagamento e esse tratamento não quem

sabe então eu tenho de fazer um aditivo ao contrato para deixar claro que tem mais uma atividade de tratamento e aí todo aquele processo retorna tá então é o tipo de situação e o depois vai precisar saber lidar né nesse no seu Dia a dia ok deixa eu ver aqui que é mais a pergunta aqui do luciano no youtube ele colocasse em quais as pernas quais as finalidades sofrerá um de própria onde extremamente relevante quais finalidades sofreram de piau em um processo mesmo que ele tinha tomado todas as medidas exigidas pela lgpd ele possa mandar

embora por justa causa não né não pode o luciana desculpa não no chão não pode antes ou seja a função do depois é o que fazer recomendações por Isso em alguns slides anteriores eu frisei a questão da independência do depu quer dizer ele pegou a vira e fala assim olha e eu recomendo e nessa atividade de tratamento você empresa recolhe apenas um nome e-mail para voltar lá para aquele exemplo que eu dei no início da aula tá aí a empresa diz poxa obrigado pela recomendação mas não eu vou pegar nome eu vou pegar ele aí

eu vou pegar endereço eu vou pegar telefone vou pegar Cpf eu vou pegar o diabo a quatro ok você como dp ó tem na sua parte você recomendou que deve-se pegar nome e-mail ponto aí houve uma violação daquela base de dar pois na internet aquela coisa toda que a gente ouve aí quase tempo todo aí eu titular vai e reclama com a empresa a empresa ou na mpb ou aqui na se de pedreiro em portugal autoridade controle baixa lá na porta tá e aí você como depois que faz ali a ponte entre a empresa ea

autoridade controle né vai lá Recebe as pessoas e aí é verdade comprei de história temos o titular que tá dizendo aqui que todos os dados pessoais deles foram vazados na internet e aí aí você de pior diz olha aqui ó meu relatório a minha recomendação é essa daqui porque o que quem bate o martelo tem toma decisão é a empresa é o controlador é o responsável pelo tratamento então child-pugh agir conforme a legislação de proteção de dados exige que ele atue ele fez tudo Certinho a empresa não pode penalizar o depo pelo dpa perfeito que

dele se espera agora se o dever o fez uma recomendação errada eu depois agiu de maneira incompatível por exemplo assédio ou cor e conforto dentro da empresa aí a coisa muda de figura aí é claro que a empresa pode e deve talvez até demitiu dp o mas veja não é p o lixo da sua das suas funções né que você colocou ali na sua pergunta então se o de pele fez as recomendações e de Empresa faça isso não é um exemplo atividade de tratamento de dados que envolvem inteligência artificial e você vai fazer uma atividade

dessa é obrigatória e aqui de novo usando o regulamento europeu o que no caso da lei brasileira isso não ainda não tá muito bem bem definido se essas esse vai ser o caso não mas vamos imaginar que seja porque obrigatório fazer uma avaliação de impacto então o setor lá da empresa que quer criar um novo processo de uma Inteligência artificial vai conversar com você você como depois você diz poxa legal ótima atividade mas aqui precisa fazer uma avaliação de impacto e avaliação de impacto é prévia porque se está utilizando uma nova tecnologia para fazer definição

de perfis por exemplo tem dois critérios que são os principais para se é uma avaliação impacto é você disse esse seu e e vamos lá e que complicam ainda mais que esse processo de Definição de perfil com a inteligência artificial seja em relação a dois milhões de usuários por exemplo seja um boomer muito grande então nós temos vários critérios para dizer que neste caso é obrigatório fazer avaliação de impacto você de ferox faz lá o seu relatório de jiló olha conforme ali como assim foram passar né e eu verifico que esses três critérios está presente

e eu recomendo que antes do tratamento de dados ocorrer antes do projeto iniciar Seja feita uma avaliação de impacto conforme exige a regulação o regulamento europeu a legislação de proteção de dados em consonância com privacy by design privacidade for o seu relatório aí aquele gerente lá que é o responsável pelo projeto e não né isso aí não tem nada a ver o que fazer porque é uma campanha fantástica que a empresa tem que estar na frente o mercado beleza você fez sua parte aí empresa vai coloca esse prático e aí Eventualmente ou aquilo pode vir

a dar problema e tem um casamento ou não ou autoridade controle ficar sabendo porque por obra empresa vai fazer propaganda autoridade controle ficar sabendo que aquele relação e diz olha eu via na televisão que você fez propaganda do processo tal usando inteligência artificial quero ver me diz aqui como é que é aí ele manda e aí a autoridade controle vai dizer cadê a avaliação de impacto hora não foi feita para o dp o Aonde aqui ó tá aqui o daqui ó tá aqui o relatório nega lá no e-mail do dia ao que enviei para você

meu relatório lá em pdf adriele tá aqui ó autoridade controle eu bp o disse que era para fazer fiz na parte tá então nessa situação por exemplo a empresa depois vamos imaginar que a empresa vai lá e tomava uma multa de x milhões a empresa não pode demitir você e o que você fez rapaz foi ela que decidiu não fazer avaliação de impacto o Que é diferente repito se o responsável chega para você e fala poxa vou usar inteligência artificial para definir o perfil de 10 milhões de consumidores você diz ok manda ver tá liberada

projeto aí você errou porque precisa avaliação de impacto e aí claro a empresa ok então acho que ficou claro para todos aí pessoal vamo encerrar por aqui tem a ele então aqui algumas outras perguntas tá mas eu não adiantado da hora e vamos serrar dá para gente ir no Estender demais eu espero que vocês tenham gostado espero que vocês tenham aproveitar e espero que vocês tenham aprendido tá deixa aí de novo o meu linkedin também tem o linkedin da telha exames não se esqueçam de procurar olá esse ia tem exames porque aulas como essa gratuitas

e abertas para todos a ter exames tem feito com frequência tá tão o regime da ter exames me sigam lá tá bem e vocês tiverem perguntas e fizeram Aqui que não deu para responder um dia em lá pelo linkedin que eu tento responder na medida do possível e já novo espero que vocês tenham gostado espero que vocês tenham aprendido tenha sido úteis e voltem faça nossos cursos e aprenda uma e cada vez mais sobre esse assunto ok obrigado mais uma vez pessoal bom sábado bom fim de semana e se cuidem não peguem doença nenhuma por

aí abraço tchau para todo mundo