E-book - 3 dicas para advogar na proteção de dados

Prévia do material em texto

3 DICAS PARA ADVOGAR NA 
PROTEÇÃO DE DADOS
Profa. Gabriela Glitz
Sobre a autora
A professora Gabriela Glitz é sócia do Escritório Cabanellos Advo-
cacia e da Dogma, responsável pela área de contencioso corporati-
vo e direito digital. Especialista em proteção de dados e privacida-
de pelo Insper. Mestranda em Direito na área de Proteção de Dados 
Pessoais pela Pontifícia Universidade Católica do Rio Grande do Sul 
(PUCRS) com bolsa CAPES. MBA em Gestão Empresarial pela FGV. 
Pós-graduada em Ciências Penais pela Pontifícia Universidade Ca-
tólica do Rio Grande do Sul. Julgadora da 5ª Turma do Tribunal de 
Ética e Disciplina da OAB. Mentora do Escritório de Carreiras da 
PUCRS. Membro do Grupo de Trabalho Regulamentação em Prote-
ção de Dados da AB2L e da Federasul. Mentora do WLM Brasil e 
Membro do elas_inTech.
Sumário
5 conceitos essenciais da LGPD
Quem é quem na LGPD
3 dicas para advogar na proteção de dados
Dica 1 - Ter um parceiro na área de TI
Dica 2 - Utilizar sistemas gratuitos que façam o diagnóstico
Dica 3 - Metodologia de trabalho
01
04
07
5 CONCEITOS
ESSENCIAIS
DA LGPD
02
5 conceitos essenciais da LGPD
Ao iniciarmos o estudo a respeito da Lei Geral de Proteção de Dados, a famosa LGPD, precisamos 
compreender 5 conceitos essenciais. Através deles iniciamos o nosso mergulho no mundo da proteção 
de dados e vamos com eles compreendendo este importante ecossistema.
O primeiro deles é a o conceito de dado pessoal. Toda a LGPD tem por objetivo a proteção dos 
dados pessoais, mas na verdade o que são dados pessoais? Dado pessoal é toda informação 
identi�cada ou identi�cável relacionada a uma pessoa física. A nossa legislação adotou o conceito 
expansionista de dado pessoal, que está relacionado a informação identi�cável. Assim, pode-se 
considerar dado pessoal desde o nome, CPF, RG, endereço, como até mesmo uma geolocalização ou IP 
de computador, informações estas que a priori não são 
identi�cadas a uma pessoa natural, porém com alguns 
cruzamentos de informações conseguimos 
identi�car o dono delas.
Outro conceito essencial para a 
compreensão da LGPD é o de dado 
sensível. Dados sensíveis são todos 
aqueles dados pessoais que dizem 
respeito à origem racial ou étnica, 
convicção religiosa, opinião política, 
�liação a sindicato ou a organização de 
caráter religioso, �losó�co ou político, 
dado referente à saúde ou à vida sexual, 
dado genético ou biométrico, quando 
vinculado a uma pessoa natural (art. 5º, II da 
LGPD).
A grande importância dos dados sensíveis está 
justamente pelo fato que eles podem gerar algum tipo 
de discriminação quando do seu tratamento, podendo acarretar 
riscos e vulnerabilidades mais gravosos aos direitos e liberdades fundamentais. Justamente por isso 
necessitam de maior proteção e cuidado por parte dos controladores e operadores de dados.
3 dicas para advogar na proteção de dados | Profa. Gabriela Glitz
Além dos conceitos de dados pessoais e dados sensíveis o conceito de tratamento de dados é 
fundamental para a boa compreensão da legislação. Assim, pode-se entender tratamento como toda 
operação realizada com dados pessoais e aqui o conceito é amplo mesmo e está previsto no artigo 5º, 
X da LGPD. Armazenar, coletar, utilizar, acessar, reproduzir, transmitir, distribuir, processar são exemplos 
de tratamento de dados. 
Desta forma, toda e qualquer operação que envolva dados pessoais deve ser entendida como 
tratamento de dados.
Dentre os conceitos essenciais não se poderia deixar de mencionar a ANPD, a Autoridade 
Nacional de Proteção de Dados, que é o órgão da administração 
pública responsável por zelar, implementar e �scalizar o 
cumprimento desta lei. Neste ecossistema de proteção 
de dados a ANPD é considerada a "última palavra" 
sobre o tema, sendo responsável por suprir 
lacunas da legislação e também por aplicar a 
política pública de proteção de dados no 
Brasil.
Por �m, e não menos importante, não 
podemos deixar de mencionar a quem a 
LGPD se destina: o titular de dados. O 
ponto central de toda a legislação é a 
pessoa natural a quem se referem os dados 
pessoais que são objeto do tratamento (art. 
5º, V da LGPD).
Ao iniciarmos o estudo a respeito da Lei Geral de Proteção de Dados, a famosa LGPD, precisamos 
compreender 5 conceitos essenciais. Através deles iniciamos o nosso mergulho no mundo da proteção 
de dados e vamos com eles compreendendo este importante ecossistema.
O primeiro deles é a o conceito de dado pessoal. Toda a LGPD tem por objetivo a proteção dos 
dados pessoais, mas na verdade o que são dados pessoais? Dado pessoal é toda informação 
identi�cada ou identi�cável relacionada a uma pessoa física. A nossa legislação adotou o conceito 
expansionista de dado pessoal, que está relacionado a informação identi�cável. Assim, pode-se 
considerar dado pessoal desde o nome, CPF, RG, endereço, como até mesmo uma geolocalização ou IP 
de computador, informações estas que a priori não são 
identi�cadas a uma pessoa natural, porém com alguns 
cruzamentos de informações conseguimos 
identi�car o dono delas.
Outro conceito essencial para a 
compreensão da LGPD é o de dado 
sensível. Dados sensíveis são todos 
aqueles dados pessoais que dizem 
respeito à origem racial ou étnica, 
convicção religiosa, opinião política, 
�liação a sindicato ou a organização de 
caráter religioso, �losó�co ou político, 
dado referente à saúde ou à vida sexual, 
dado genético ou biométrico, quando 
vinculado a uma pessoa natural (art. 5º, II da 
LGPD).
A grande importância dos dados sensíveis está 
justamente pelo fato que eles podem gerar algum tipo 
de discriminação quando do seu tratamento, podendo acarretar 
riscos e vulnerabilidades mais gravosos aos direitos e liberdades fundamentais. Justamente por isso 
necessitam de maior proteção e cuidado por parte dos controladores e operadores de dados.
03
5 conceitos essenciais da LGPD
Além dos conceitos de dados pessoais e dados sensíveis o conceito de tratamento de dados é 
fundamental para a boa compreensão da legislação. Assim, pode-se entender tratamento como toda 
operação realizada com dados pessoais e aqui o conceito é amplo mesmo e está previsto no artigo 5º, 
X da LGPD. Armazenar, coletar, utilizar, acessar, reproduzir, transmitir, distribuir, processar são exemplos 
de tratamento de dados. 
Desta forma, toda e qualquer operação que envolva dados pessoais deve ser entendida como 
tratamento de dados.
Dentre os conceitos essenciais não se poderia deixar de mencionar a ANPD, a Autoridade 
Nacional de Proteção de Dados, que é o órgão da administração 
pública responsável por zelar, implementar e �scalizar o 
cumprimento desta lei. Neste ecossistema de proteção 
de dados a ANPD é considerada a "última palavra" 
sobre o tema, sendo responsável por suprir 
lacunas da legislação e também por aplicar a 
política pública de proteção de dados no 
Brasil.
Por �m, e não menos importante, não 
podemos deixar de mencionar a quem a 
LGPD se destina: o titular de dados. O 
ponto central de toda a legislação é a 
pessoa natural a quem se referem os dados 
pessoais que são objeto do tratamento (art. 
5º, V da LGPD).
3 dicas para advogar na proteção de dados | Profa. Gabriela Glitz
QUEM É QUEM
NA LGPD
05
A LGPD trouxe importantes conceitos para o ecossistema da proteção de dados dentre eles três 
relevantes personagens para a legislação: o controlador, o operador e o encarregado. Todos 
possuem suas de�nições no artigo 5º da Lei 13.709/2018 e possuem destaque quando realizamos um 
processo de implementação da LGPD, pois torna-se de suma importância saber o papel de cada um no 
tratamento de dados, já que através desta identi�cação, responsabilidades também são alocadas.
Estes dois agentes de tratamento, controlador e operador, possuem uma íntima ligação, pois 
respondem solidariamente pelos danos causados pelo tratamento de dados. No caso, o operador será 
responsabilizadoquando descumprir as obrigações da legislação de proteção de dados ou quando 
não tiver seguido as instruções lícitas do controlador, hipótese em que será igualado ao controlador.
Diante desta íntima relação entre controlador e operador é indispensável que haja um contrato 
bem claro entre eles, limitando as responsabilidades de cada um para evitar qualquer problema futuro 
no andamento das atividades. Exemplos de operadores seriam empresas de armazenamento em 
nuvem e empresas que o controlador compartilha os dados para a realização do tratamento de dados 
pessoais.
Ao controlador, pessoa natural ou jurídica, de direito público ou privado, 
competem as decisões sobre o tratamento de dados pessoais, ou seja, ele que 
tem o poder de de�nir como o tratamento será feito, de que forma e de que jeito. 
Em virtude disso, é o responsável pelo enquadramento das bases legais, deve 
indicar o encarregado, possui o ônus de provar o consentimento do titular e 
também será sancionado administrativamente em razão de infrações cometidas. 
Quem é quem na LGPD
Já o operador, por sua vez, é quem realiza o tratamento de dados em nome 
do controlador. Salienta-se que o operador pode ser tanto pessoa natural quanto 
jurídica, porém não possui autonomia sobre a tomada de decisão no tratamento 
de dados. O operador também deve manter registro das operações de 
tratamento que realiza, na mesma linha do controlador. Além disso, é 
responsabilizado civilmente em razão do exercício da sua atividade de 
tratamento de dados pessoais, caso haja violação à LGPD.
3 dicas para advogar na proteção de dados | Profa. Gabriela Glitz
06
Hoje a legislação não diferencia quem deve e quem não deve ter uma DPO, sendo exigida este 
indicação de toda e qualquer empresa, independentemente de seu tamanho, porém espera-se que a 
Autoridade Nacional de Proteção de Dados venha para esclarecer esta situação e colocar um ponto de 
corte. O fato é que toda empresa que realize um tratamento de dados signi�cativo terá a necessidade 
de ter um DPO e com isso muitas oportunidades se abrem.
O que se imagina é que as empresas de médio e pequeno porte busquem o serviço de DPO 
terceirizado, enquanto que as empresas de grande porte tenham um funcionário destinado para esta 
atividade. Isso acontece justamente pelas atribuições do DPO e pelo grau de exigência que ele terá em 
grandes corporações, sendo praticamente impossível a sua terceirização.
Por �m, não podemos deixar de falar sobre o encarregado, o DPO (Data 
protection O�cer). Segundo o artigo 5º, VIII da LGPD, ele é a pessoa indicada 
pelo controlador para atuar como canal de comunicação entre o controlador, 
titulares de dados e ANPD. De acordo com a LGPD o DPO pode ser tanto uma 
pessoa física quanto uma pessoa jurídica, abrindo a possibilidade de que os 
advogados prestem o serviço de DPO de forma terceirizada, ou seja, mais uma 
grande oportunidade para nós!
3 dicas para advogar na proteção de dados | Profa. Gabriela Glitz
Quem é quem na LGPD
3 DICAS PARA
ADVOGAR NA
PROTEÇÃO DE
DADOS
08
3 dicas para advogar na proteção de dados
3 dicas para advogar na proteção de dados | Profa. Gabriela Glitz
A área de proteção de dados pessoais vem crescendo de forma exponencial no mercado jurídico. 
A Lei Geral de Proteção de Dados chega com o objetivo de reforçar ainda mais este cenário, dando força 
ao ecossistema e sinalizando sobre a importância do tema.
Muito embora a temática da proteção de dados já seja abordada de forma ampla em nosso 
ordenamento, CF, CDC, CC, Marco Civil da Internet entre outras leis, a LGPD vem com o objetivo de 
nivelamento da proteção de dados pessoais, reforçando que este direito traz 
impactos on-lines e o�-lines. 
Advogar na área de proteção de dados pessoais é 
mais do que um nicho do momento, mas uma 
oportunidade que veio para �car. Os dados 
pessoais são o novo petróleo da economia e 
ganham cada vez mais força no cenário 
econômico, por sua capacidade expressiva de 
monetização.
Considerando este cenário, quem 
estiver preparado para assumir este espaço 
no mercado jurídico certamente sairá na 
frente e terá melhores resultados que os 
colegas que não visualizaram esta 
oportunidade.
Partindo-se desta premissa, a quali�cação é 
essencial para todo e qualquer advogado que 
pretende atuar neste nicho, mas além disso, que é 
fundamental, preparamos três importantes dicas para 
quem quer trabalhar na área de proteção de dados pessoais a 
partir de agora. Conheça elas a seguir.
09
3 dicas para advogar na proteção de dados
3 dicas para advogar na proteção de dados | Profa. Gabriela Glitz
Dica 1 - Ter um parceiro na área de TI
O projeto de implementação da LGPD dentro de uma empresa envolve desde aspectos 
jurídicos, como aspectos técnicos e procedimentais. Muito mais que uma revisão de 
instrumentos jurídicos é necessário que haja um repensar sobre a proteção de dados dentro da 
empresa, uma mudança de cultura e também ajustes técnicos imprescindíveis. Para que haja 
uma implementação adequada, é necessária a interação entre a área jurídica e a área de TI e 
muitas vezes para que estes ajustes sejam feitos da forma devida é necessária uma atuação mais 
efetiva de um pro�ssional da área de TI com conhecimento sobre proteção de dados. 
Aqui ressalta-se que não basta ter um parceiro da área de TI, mas sim uma pessoa que 
conheça de fato o tema de proteção de dados e que consiga sugerir e implementar esta temática 
dentro da empresa. A ideia principal desta dica é apresentar uma proposta completa de 
implementação e com isso tornar-se mais atrativo aos olhos do cliente, resolvendo o problema 
proteção de dados de ponta a ponta. 
10
3 dicas para advogar na proteção de dados
3 dicas para advogar na proteção de dados | Profa. Gabriela Glitz
Dica 2 - Utilizar sistemas gratuitos que façam o 
diagnóstico
O diagnóstico da empresa pode ser feito de várias formas, como através de questionários, 
entrevistas e ferramentas tecnológicas.
Os questionários são limitados e acabam não sendo amplos o su�ciente para a avaliação; as 
entrevistas são demoradas e muitas vezes não nos levam a lugar nenhum, fora que atrasam o 
processo como um todo; e as ferramentas tecnológicas? As ferramentas tecnológicas podem ser 
grandes aliados neste processo! 
O grande motivo é que elas conseguem fazer, de forma ágil, um diagnóstico da empresa. 
Nada mais é do que a con�rmação de que se tem o problema, através de um resultado, de um 
material que explique isso. As empresas de forma geral sabem que não estão preparadas para 
encarar os desa�os da LGPD e ferramenta, ao fazer o diagnóstico da empresa, con�rma isso 
através da conclusão do diagnóstico. Este material via de regra explica o passo a passo do que 
deve ser feito, elegendo prioridades e pontos de atenção. Além disso, materializa esta situação 
para o cliente e �ca mais fácil a venda do serviço, já que evidenciado o problema através da 
documentação.
11
3 dicas para advogar na proteção de dados
3 dicas para advogar na proteção de dados | Profa. Gabriela Glitz
Dica 3 - Metodologia de trabalho
A metodologia de trabalho é peça chave para um processo de implementação bem 
sucedido. Hoje a implementação é feita passo a passo, através de etapas que vão desde o 
diagnóstico, passam pelo data mapping, gap analysis e acabam com a entrega do programa de 
implementação. As etapas são fundamentais para o cronograma e para o controle de entregas 
do projeto, já que marcam etapas importantes. A partir do momento que estas etapas são bem 
estabelecidas, claras e acompanhadas pelo responsável pelo projeto, cria-se uma metodologia 
de trabalho que pode, e deve, ser replicada para os demais clientes atendidos. 
Obviamente que o tamanho do projeto, assim como o tipo de cliente (B2B ou B2C) afetam 
nas horas de trabalho alocadas e também no valor a ser cobrado, mas a bem da verdade a 
metodologia é replicável e será utilizadapor todos eles. Portanto, invista em criar um formato de 
atuação capaz de abranger todos os escopos do projeto e também indicar um passo a passo a ser 
seguido, o que é essencial para a criação de uma metodologia.
https://www.ibijus.com/