Com a crescente demanda por profissionais qualificados em privacidade e proteção de dados, o curso “Certificação DPO: Da Teoria à Prática em Proteção de Dados” é a formação essencial para aqueles que desejam se tornar Data Protection Officers (DPOs) certificados. Este curso oferece uma combinação única de teoria sólida e prática aplicada, preparando você para atuar de forma estratégica na implementação e gestão da conformidade com a LGPD.

Durante o curso, você será imerso nos principais conceitos da legislação de proteção de dados, desde os princípios da LGPD até as melhores práticas de governança, gestão de incidentes e monitoramento contínuo. Ao final, você estará capacitado para implementar políticas de privacidade em empresas de diferentes setores, gerenciando riscos e desafios em conformidade com a lei.

Principais tópicos abordados:

• Fundamentos e princípios da LGPD e sua aplicação prática
• Atribuições e responsabilidades do DPO em diferentes contextos
• Como elaborar e implementar políticas de proteção de dados
• Como gerenciar incidentes de segurança e realizar auditorias
• Melhores práticas para monitoramento contínuo e governança

Este curso é indicado para profissionais que desejam se tornar DPOs qualificados, gestores de privacidade ou consultores especializados em conformidade com a LGPD, proporcionando uma formação robusta e uma certificação reconhecida no mercado.

OBJETIVO MACRO

Formar profissionais altamente capacitados para atuar como Encarregado de Proteção de Dados (DPO) ou Gestor de Programa de Privacidade, proporcionando conhecimento técnico-jurídico completo sobre a LGPD, comparativos com GDPR, competências práticas para implementação e gestão de programas de compliance em privacidade, habilidades para mapeamento de dados, gestão de riscos, resposta a incidentes e relacionamento com a ANPD, preparando-os para liderar iniciativas estratégicas de proteção de dados em organizações de todos os portes e setores.

OBJETIVOS MICRO

1. Dominar completamente a LGPD: Compreender todos os artigos, princípios, direitos e obrigações
2. Estruturar programas de privacidade: Criar e implementar programas de compliance efetivos
3. Mapear atividades de tratamento: Executar data mapping e criar inventários completos
4. Aplicar bases legais corretamente: Identificar e justificar bases legais para cada tratamento
5. Elaborar documentação técnica: Produzir RIPDs, LIAs, políticas e procedimentos
6. Implementar Privacy by Design: Incorporar privacidade desde a concepção de produtos/serviços
7. Gerenciar terceiros: Avaliar, contratar e auditar fornecedores que tratam dados
8. Responder a incidentes: Implementar planos de resposta e comunicação de vazamentos
9. Atender direitos dos titulares: Criar processos para requisições e garantir conformidade
10. Auditar e monitorar: Estabelecer KPIs e processos de verificação contínua

PÚBLICO-ALVO

Perfis Profissionais

• Advogados especializados ou que desejam se especializar em direito digital e proteção de dados
• Profissionais de Compliance que atuam ou desejam atuar com privacidade
• Profissionais de TI e Segurança da Informação que lidam com dados pessoais
• Gestores de Recursos Humanos responsáveis por dados de colaboradores
• Consultores empresariais que assessoram em conformidade regulatória
• Profissionais de Marketing que gerenciam dados de clientes
• Auditores internos e externos que avaliam programas de privacidade
• Gestores e líderes de médias e grandes empresas
• Empreendedores que precisam adequar seus negócios à LGPD
• Estudantes de Direito em fase final de graduação ou pós-graduação

Requisitos

• Conhecimentos prévios: Desejável conhecimento básico sobre LGPD, mas não obrigatório
• Comprometimento: Disponibilidade para dedicação ao curso e atividades práticas

ESTRUTURA DO CURSO

Carga Horária Total: 40 horas
Formato: (online ao vivo + materiais assíncronos + atividades práticas)
Certificação: Certificado de conclusão para participantes com 75% de presença e aprovação nas avaliações

MATERIAIS E RECURSOS INCLUSOS

Para cada aula:

• Slides da apresentação
• Leituras complementares recomendadas

Materiais gerais do curso:

• Guias de referência rápida
• Acesso à plataforma DPONET (módulo prático)
• casos práticos
• Comunidade exclusiva de alunos

CONTEÚDO PROGRAMÁTICO DETALHADO

MÓDULO 1: FUNDAMENTOS DA PROTEÇÃO DE DADOS E LGPD (5 horas)

Aula 1.1: Introdução à Proteção de Dados e Contexto Histórico (45 minutos)

• História da proteção de dados no mundo
• Surgimento da LGPD no Brasil: contexto e necessidade
• Panorama global de legislações de privacidade
• Casos emblemáticos que motivaram regulações (Cambridge Analytica, etc.)
• Impactos econômicos e sociais da proteção de dados
• O papel estratégico da privacidade nos negócios

Aula 1.2: Escopo Material e Territorial da LGPD (45 minutos)

• Arts. 1º, 3º, 4º e 13 da LGPD: análise detalhada
• Quando a LGPD se aplica: escopo material
• Aplicação extraterritorial da LGPD
• Comparação com aplicação material e extraterritorial da GDPR
• Situações de exceção (art. 4º da LGPD)
• Tratamento de dados por pessoa natural vs. jurídica
• Casos práticos de aplicabilidade

Aula 1.3: Conceitos Fundamentais da LGPD (60 minutos)

• Arts. 5º e 12 da LGPD: todos os conceitos-chave
• Dado pessoal vs. dado pessoal sensível: diferenciação e exemplos
• Dado anonimizado: conceito, técnicas e irreversibilidade
• Pseudonimização: técnica e aplicações
• Controlador e operador: papéis, responsabilidades e diferenças
• Titular de dados: direitos e proteções
• Agentes de tratamento: todos os envolvidos
• Tratamento de dados: todas as operações possíveis
• Uso compartilhado de dados
• Banco de dados: conceito amplo
• Transferência internacional de dados
• Bloqueio, eliminação e anonimização de dados

Aula 1.4: Princípios da Proteção de Dados (60 minutos)

• Arts. 2º, 6º e 9º da LGPD: fundamentos e princípios
• Fundamentos da LGPD: respeito à privacidade, autodeterminação informativa, etc.
• Princípio da Finalidade: especificação clara e legítima
• Princípio da Adequação: compatibilidade com finalidades informadas
• Princípio da Necessidade: limitação ao mínimo necessário
• Princípio do Livre Acesso: transparência ao titular
• Princípio da Qualidade dos Dados: exatidão e atualização
• Princípio da Transparência: informações claras e acessíveis
• Princípio da Segurança: medidas técnicas e administrativas
• Princípio da Prevenção: adoção de medidas preventivas
• Princípio da Não Discriminação: vedação a tratamentos abusivos
• Princípio da Responsabilização e Prestação de Contas (accountability)
• Aplicação prática de cada princípio
• Conflitos entre princípios: como resolver

Aula 1.5: Bases Legais de Tratamento de Dados – Parte 1 (75 minutos)

• Arts. 7º, 8º, 9º, 10, 11 e 14 da LGPD: análise completa
• Conceito de base legal e sua importância
• Consentimento (art. 7º, I):
  • Conceito de consentimento livre, informado e inequívoco
  • Forma de obtenção e documentação
  • Revogabilidade do consentimento
  • Vícios do consentimento
  • Casos práticos
• Cumprimento de obrigação legal ou regulatória (art. 7º, II):
  • Quando aplicar
  • Exemplos práticos (folha de pagamento, informações fiscais, etc.)
• Execução de políticas públicas (art. 7º, III):
  • Aplicabilidade ao setor público
  • Requisitos e limites
• Comparativo com bases legais da GDPR (art. 6º)
• Diferenças e semelhanças entre LGPD e GDPR

Aula 1.6: Bases Legais de Tratamento de Dados – Parte 2 (75 minutos)

Temas a abordar:

• Execução de contrato (art. 7º, V):
  • Tratamento necessário para execução contratual
  • Procedimentos preliminares
  • Exemplos práticos
• Exercício regular de direitos (art. 7º, VI):
  • Aplicação em processos judiciais e administrativos
  • Direito de defesa
  • Casos práticos
• Proteção da vida (art. 7º, VII):
  • Situações emergenciais
  • Tratamento de dados de saúde
• Tutela da saúde (art. 7º, VIII):
  • Profissionais de saúde
  • Operadoras e hospitais
  • LGPD e sigilo médico
• Legítimo interesse (art. 7º, IX e 10):
  • Conceito e requisitos (LIA – Legitimate Interest Assessment)
  • Teste de proporcionalidade e balanceamento
  • Documentação necessária
  • Orientações do ICO (Information Commissioner’s Office)
  • Quando NÃO usar legítimo interesse
  • Casos práticos brasileiros e internacionais
• Proteção do crédito (art. 7º, X):
  • Bureaus de crédito -Score de crédito
  • Limites e transparência

Avaliação do Módulo 1

• 15 questões de múltipla escolha

MÓDULO 2: O PAPEL DO DPO E GOVERNANÇA EM PRIVACIDADE (6 horas)

Aula 2.1: A Função do Encarregado (DPO) na LGPD e GDPR (90 minutos)

• Art. 41 da LGPD: obrigatoriedade e atribuições do encarregado
• Arts. 37, 38 e 39 da GDPR: função do DPO na Europa
• Comparativo detalhado: diferenças e semelhanças
• DPO obrigatório vs. facultativo
• Encarregado interno vs. externo (pessoa física ou jurídica)
• Qualificações e expertise necessária
• Independência do DPO: conceito e garantias
• Conflito de interesses: situações a evitar
• Recursos necessários para a função
• Relacionamento com alta administração
• Canal de comunicação com titulares e ANPD
• Estrutura organizacional: onde posicionar o DPO
• Casos práticos de estruturação

Aula 2.2: Atribuições e Responsabilidades do DPO (90 minutos)

• Atividades requeridas em lei:
  • Aceitar reclamações e comunicações dos titulares
  • Prestar esclarecimentos
  • Receber comunicações da ANPD
  • Adotar providências
  • Orientar funcionários e contratados
• Atividades sugeridas pelas boas práticas:
  • Realizar data mapping
  • Implementar políticas e procedimentos
  • Coordenar treinamentos
  • Realizar RIPDs e LIAs
  • Monitorar conformidade
  • Gerenciar incidentes
  • Assessorar em privacy by design
  • Relacionamento com fornecedores
  • Acompanhar legislação e jurisprudência
• Responsabilidade civil do DPO: limites e cuidados
• Responsabilidade criminal: situações de risco
• Seguros para DPOs
• Termo de responsabilidade e descrição de cargo

Aula 2.3: Construindo um Programa de Privacidade (90 minutos)

• Elementos essenciais de um programa de privacidade
• Fases de implementação: diagnóstico, planejamento, execução, monitoramento
• Estrutura de governança: comitê de privacidade
• Composição do comitê: áreas envolvidas
• Papéis e responsabilidades: RACI matrix
• Políticas e procedimentos necessários
• Documentação obrigatória e recomendada
• Orçamento e recursos necessários
• Quick wins vs. projetos estruturantes
• Gestão de mudanças organizacionais
• Comunicação interna e externa
• Maturidade em privacidade: níveis e evolução
• Frameworks internacionais (NIST Privacy Framework, ISO 27701)

Aula 2.4: Processo Administrativo e Sanções da ANPD (60 minutos)

Temas a abordar:

• Estrutura e funcionamento da ANPD
• Competências da ANPD
• Processo administrativo sancionador: fases
• Direito de defesa e contraditório
• Sanções previstas na LGPD (art. 52):
  • Advertência
  • Multa simples (até 2% do faturamento, limitada a R$ 50 milhões)
  • Multa diária
  • Publicização da infração
  • Bloqueio e eliminação dos dados
  • Suspensão parcial ou total do banco de dados
• Critérios de dosimetria (Resolução CD/ANPD nº 1/2021)
• Termo de Compromisso e Ajustamento de Conduta
• Casos concretos de fiscalização da ANPD
• Como se preparar para uma fiscalização
• Boas práticas no relacionamento com a autoridade

Aula 2.5: Treinamento e Conscientização em Privacidade (90 minutos)

Temas a abordar:

• Importância da cultura de proteção de dados
• Diferença entre treinamento e conscientização
• Estratégias para definição de escopo de treinamento
• Mapeamento de público-alvo: diferentes níveis
• Conteúdo por público:
  • Alta liderança: visão estratégica e riscos
  • Gestores: responsabilidades e processos
  • Áreas críticas (TI, RH, Marketing): específico por área
  • Colaboradores em geral: boas práticas básicas
• Metodologias de ensino: presencial, EAD, microlearning
• Gamificação e engajamento
• Exemplos práticos de dinâmicas e atividades
• Comunicação interna: campanhas e materiais
• Mensuração de eficácia:
  • Taxa de conclusão de treinamentos
  • Testes de conhecimento
  • Simulações de phishing
  • Redução de incidentes
  • Pesquisas de cultura
• Calendário de treinamentos: periodicidade
• Onboarding de novos colaboradores

Avaliação do Módulo 2

• 15 questões de múltipla escolha

MÓDULO 3: MAPEAMENTO DE DADOS E PRIVACY BY DESIGN (6 horas)

Aula 3.1: Data Mapping – Fundamentos e Importância (90 minutos)

• Arts. 37 da LGPD e 30 da GDPR: registro de atividades de tratamento
• Por que mapear dados: diagnóstico e conformidade
• Quando fazer o data mapping: momento ideal
• Diferença entre Data Mapping e Data Discovery
• Data Mapping vs. Data Inventory vs. Data Flow Mapping
• Escopo do mapeamento: onde começar
• Metodologias de mapeamento:
  • Top-down: por processos de negócio
  • Bottom-up: por sistemas
  • Híbrida
• Etapas do processo de mapeamento
• Stakeholders envolvidos
• Ferramentas e tecnologias auxiliares
• Desafios comuns e como superá-los

Aula 3.2: Inventário de Atividades de Tratamento (90 minutos)

Temas a abordar:

• Informações obrigatórias no inventário:
  • Finalidade do tratamento
  • Categorias de dados pessoais tratados
  • Categorias de titulares
  • Base legal de tratamento
  • Agentes de tratamento (controlador/operador)
  • Compartilhamento de dados (com quem e finalidade)
  • Transferências internacionais
  • Prazos de retenção
  • Medidas de segurança
• Informações recomendadas adicionais:
  • Sistema/aplicação utilizada
  • Responsável pelo tratamento
  • Volume de dados
  • Criticidade/sensibilidade
  • Riscos identificados
• Nível de detalhamento adequado
• Versionamento e atualização do inventário
• Periodicidade de revisão
• Inventário como documento vivo
• Demonstração prática de preenchimento

Aula 3.3: Atividade Prática – Mapeamento de Dados (120 minutos)

Instrutor sugerido: Mariane Miguel
Material de apoio: Caso fictício + template + software de mapeamento

Temas a abordar:

• Apresentação de caso prático: empresa fictícia
• Identificação de processos de negócio
• Identificação de dados pessoais por processo
• Classificação de dados (pessoais, sensíveis, públicos, etc.)
• Identificação de bases legais adequadas para cada tratamento
• Mapeamento de fluxo de dados (ciclo de vida)
• Identificação de compartilhamentos
• Documentação no template
• Identificação de gaps e não conformidades
• Priorização de riscos
• Plano de ação corretivo
• Atividade hands-on: alunos realizam mapeamento em grupos

Aula 3.4: Privacy by Design e Privacy by Default (60 minutos)

• Conceito de Privacy by Design (PbD)
• Os 7 princípios fundacionais de Ann Cavoukian
• Arts. 46, §2º da LGPD e 25 da GDPR: previsões legais
• Privacy by Default: configurações padrão protetivas
• Aplicação de Design Thinking em privacidade (superficial)
• Privacy by Design em diferentes fases:
  • Concepção de produtos/serviços
  • Desenvolvimento de sistemas
  • Definição de processos
  • Contratação de fornecedores
• Checklist de Privacy by Design
• Papel do DPO no processo de PbD
• Colaboração com áreas de produto, tecnologia e negócio
• Casos práticos de implementação
• Benefícios: conformidade preventiva e redução de custos

Aula 3.5: Relatórios de Impacto – RIPD e LIA (90 minutos)

• Arts. 5º, XVII, 10, §3º, 32, 38 e 55-J, XIII da LGPD
• Arts. 35 e 36 da GDPR: DPIA (Data Protection Impact Assessment)
• Conceito e importância dos relatórios de impacto
• RIPD (Relatório de Impacto à Proteção de Dados):
  • Quando é obrigatório (tratamentos de alto risco)
  • Quem deve elaborar
  • Estrutura e conteúdo mínimo
  • Descrição do tratamento
  • Avaliação de necessidade e proporcionalidade
  • Análise de riscos para titulares
  • Medidas mitigadoras
  • Conclusão sobre viabilidade
• LIA (Legitimate Interest Assessment):
  • Quando elaborar
  • Teste de proporcionalidade
  • Balanceamento de interesses
  • Documentação da decisão
• Metodologias de avaliação de riscos
• Classificação de riscos (matriz de probabilidade x impacto)
• Medidas de mitigação
• Consulta à ANPD: quando necessária
• Apresentação de templates práticos
• Workshop de preenchimento

Aula 4.1: Compartilhamento de Dados com Terceiros (90 minutos)

• Arts. 7º, §5º, 11, §4º, 33 da LGPD
• Conceito de compartilhamento de dados
• Uso compartilhado de dados vs. transferência
• Responsabilidade solidária e subsidiária
• Papéis: controlador x operador x suboperador
• Identificação de terceiros que acessam dados
• Categorização de terceiros por risco
• Due diligence de fornecedores:
  • Questionários de privacidade
  • Avaliação de maturidade
  • Visitas técnicas e auditorias
  • Certificações (ISO 27001, 27701, SOC 2, etc.)
• Cláusulas contratuais obrigatórias (art. 39 da GDPR como referência)
• Acordo de processamento de dados (DPA – Data Processing Agreement)
• Instrução documentada de tratamento
• Garantias mínimas em contratos
• Gestão de ciclo de vida de terceiros
• Monitoramento e auditoria de terceiros

Aula 4.2: Transferência Internacional de Dados – LGPD (90 minutos)

• Arts. 33, 34, 35 e 36 da LGPD
• Conceito de transferência internacional
• Quando ocorre transferência internacional
• Mecanismos permitidos pela LGPD:
  1. País com nível adequado de proteção (art. 33, I)
  2. Cláusulas contratuais específicas (art. 33, II)
  3. Cláusulas-padrão contratuais (art. 33, III)
  4. Normas corporativas globais (BCRs – art. 33, IV)
  5. Selos e certificações (art. 33, V)
  6. Compromisso de cumprimento (art. 33, VI)
  7. Cooperação jurídica internacional (art. 33, VII)
  8. Outras garantias (art. 33, VIII)
  9. Hipóteses específicas (art. 33, IX)
• Hipóteses do art. 33, IX analisadas uma a uma
• Resolução CD/ANPD nº 19/2024: Cláusulas-Contratuais Padrão
• Documentação necessária
• Avaliação de riscos em transferências
• Boas práticas de governança

Aula 4.3: Transferência Internacional – GDPR e Comparativo (90 minutos)

• Arts. 44 a 50 da GDPR
• Mecanismos de transferência da GDPR
• Comparativo LGPD x GDPR: convergências e divergências
• Decisões de adequação da Comissão Europeia
• Standard Contractual Clauses (SCCs) da Comissão Europeia
• Binding Corporate Rules (BCRs)
• Derogações para situações específicas
• Caso Schrems II (invalidação do Privacy Shield)
• EU-US Data Privacy Framework (novo acordo)
• Projeto de Adequação europeia do Brasil
• Transferências Brasil ↔ Europa: considerações práticas
• Transferências Brasil ↔ Estados Unidos
• Transferências para Ásia, América Latina e demais regiões
• Transfer Impact Assessment (TIA): avaliação complementar
• Medidas suplementares de segurança

Aula 4.4: Casos Práticos e Cláusulas Contratuais (60 minutos)

• Workshop de análise de contratos
• Identificação de cláusulas essenciais
• Negociação de termos de privacidade
• Casos práticos:
  • Contratação de cloud computing
  • Uso de ferramentas SaaS internacionais
  • Terceirização de call center
  • Parceria com bureau de crédito
  • Compartilhamento para marketing
• Red flags em contratos
• Checklist de aprovação de contratos
• Responsabilidade solidária: quando aplicável
• Gestão de DPAs e adendos de privacidade

MÓDULO 5: DIREITOS DOS TITULARES E GESTÃO DE REQUISIÇÕES (6 horas)

Aula 5.1: Direitos dos Titulares – Parte 1 (90 minutos)

• Arts. 17, 18, 19, 20, 21 e 22 da LGPD
• Visão geral dos direitos dos titulares
• Direito de confirmação e acesso (art. 18, I e II):
  • Escopo da requisição
  • Forma de fornecimento das informações
  • Prazo de resposta
  • Formato acessível
• Direito de retificação (art. 18, III):
  • Correção de dados incompletos, inexatos ou desatualizados
  • Processo de validação
  • Comunicação a terceiros
• Direito de anonimização, bloqueio ou eliminação (art. 18, IV):
  • Quando aplicável
  • Distinção entre bloqueio e eliminação
  • Dados desnecessários, excessivos ou tratados em desconformidade
  • Impossibilidades técnicas
• Direito à portabilidade (art. 18, V):
  • Conceito e formato estruturado
  • Interoperabilidade
  • Limitações e exceções
  • Diferenças com GDPR
• Fundamentação legal para cada direito
• Exceções e limitações aos direitos

Aula 5.2: Direitos dos Titulares – Parte 2 (90 minutos)

• Direito de eliminação dos dados (art. 18, VI):
  • Após término do tratamento
  • Relação com prazo de retenção
  • Exceções legais (obrigações, regulações, etc.)
• Direito à informação sobre compartilhamento (art. 18, VII):
  • Entidades com quem foram compartilhados
  • Finalidade do compartilhamento
• Direito à informação sobre não consentimento (art. 18, VIII):
  • Consequências da não provisão de dados
  • Transparência nas implicações
• Direito de revogação do consentimento (art. 18, IX):
  • Facilidade de revogação
  • Efeitos da revogação
  • Conservação de dados após revogação (quando possível)
• Direito de oposição (art. 18, §2º):
  • Quando aplicável
  • Relação com base legal utilizada
  • Análise caso a caso
• Direito de revisão de decisões automatizadas (art. 20):
  • Profiling e decisões exclusivamente automatizadas
  • Revisão humana
  • Explicação dos critérios
• Direito de petição à ANPD (art. 18, §1º)

Aula 5.3: Gestão de Requisições de Titulares (90 minutos)

• Criação de canal de atendimento ao titular
• Formas de recebimento: e-mail, formulário, telefone, presencial
• Processo de triagem e categorização
• Confirmação de identidade do titular:
  • Métodos de autenticação
  • Cuidados com fraudes
  • Proteção contra engenharia social
  • Documentação exigida
• Prazo de resposta: 15 dias (prorrogáveis)
• Comunicação de prorrogação
• Fluxo interno de requisições:
  • Recebimento → Validação → Processamento → Resposta
  • Áreas envolvidas
  • SLA interno
• Registro e documentação de requisições
• Casos de impossibilidade de atendimento:
  • Fundamentação legal
  • Comunicação ao titular
• Cobrança de custos: quando permitido
• Requisições manifestamente infundadas ou excessivas
• Indicadores de gestão (tempo médio, taxa de atendimento, etc.)

Aula 5.4: Solicitações de Autoridades Públicas (60 minutos)

• Art. 26 da LGPD: compartilhamento com órgãos públicos
• Diferença entre requisição de titular e de autoridade
• Tipos de solicitações:
  • Requisições judiciais (mandado, ofício)
  • Requisições do Ministério Público
  • Requisições administrativas (Procon, Receita Federal, etc.)
  • Solicitações policiais (delegacia, polícia federal)
• Análise de competência e legitimidade da solicitação
• Verificação de ordem judicial
• Prazo de resposta
• Formato de fornecimento de dados
• Sigilo e confidencialidade
• Registro e auditoria de fornecimentos
• Comunicação (ou não) ao titular
• Casos em que é necessária ordem judicial
• Casos em que não é necessária ordem judicial
• Como questionar solicitações inadequadas
• Responsabilidade do controlador
• Casos práticos e jurisprudência

Aula 5.5: Políticas, Procedimentos e Monitoramento (90 minutos)

• Políticas de Privacidade:
  • Estrutura e conteúdo mínimo
  • Linguagem clara e acessível
  • Publicação e acessibilidade
  • Versionamento
• Política interna de privacidade vs. Aviso de privacidade externo
• Procedimentos Operacionais Padrão (POPs):
  • Importância da documentação
  • POPs essenciais em privacidade
  • Formato e distribuição
  • Treinamento sobre POPs
• Monitoramento de programa de privacidade:
  • Conceito de monitoramento contínuo
  • Diferença entre monitoramento e auditoria
  • KPIs (Key Performance Indicators):
    • % de processos mapeados
    • Taxa de atendimento de requisições no prazo
    • Número de incidentes reportados
    • % de colaboradores treinados
    • Cobertura de contratos com cláusulas de privacidade
  • Dashboard e reporting
  • Frequência de monitoramento
• Auditoria de privacidade:
  • Auditoria interna vs. externa
  • Escopo de auditoria
  • Checklist de verificação
  • Relatório de auditoria
  • Plano de ação corretivo
• Melhoria contínua: ciclo PDCA

Avaliação do Módulo 5

• 15 questões de múltipla escolha

MÓDULO 6: VISUAL LAW, PLAIN LANGUAGE E COMUNICAÇÃO (2 horas)

Aula 6.1: Linguagem Simples em Documentos de Privacidade (60 minutos)

• O que é Linguagem Simples (Plain Language)
  • Conceito e origem do movimento
  • Vertentes: legal, administrativa, saúde, tecnologia
  • Importância para efetividade da transparência
• Por que é essencial em privacidade
  • Compreensibilidade do titular
  • Consentimento informado verdadeiro
  • Redução de riscos e litígios
  • Inclusão e acessibilidade
• Diretrizes de linguagem simples:
  • Frases curtas e objetivas
  • Voz ativa
  • Vocabulário cotidiano (evitar jargão)
  • Estrutura lógica e hierarquizada
  • Exemplos práticos
  • Tom de conversa (sem perder formalidade necessária)
• Aplicação em documentos de privacidade:
  • Avisos de privacidade
  • Políticas de cookies
  • Formulários de consentimento
  • E-mails de comunicação
• Como reescrever textos complexos
• Teste de compreensibilidade

Exercícios: 3 exercícios de reescrita de textos

Aula 6.2: Visual Law e Legal Design (60 minutos)

• Visual Law: conceito e diferenciação
  • O que é Visual Law
  • Diferença entre Visual Law e Legal Design
  • Legal Design como metodologia mais ampla
• Importância do Visual Law em privacidade
  • Facilitação da compreensão
  • Engajamento do leitor
  • Memorização de informações-chave
• Elementos visuais aplicáveis:
  • Ícones e pictogramas
  • Infográficos
  • Tabelas e quadros comparativos
  • Fluxogramas
  • Cores e hierarquia visual
  • Espaçamento e legibilidade
• Princípios de design aplicados ao direito:
  • Contraste
  • Alinhamento
  • Repetição
  • Proximidade
• Casos práticos de aplicação:
  • Avisos de privacidade em camadas (layered notices)
  • Painéis de preferências de cookies
  • Dashboards de exercício de direitos
  • Avisos Just-in-Time
• Ferramentas úteis:
  • Canva
  • Venngage
  • Piktochart
  • Adobe Express
• Workshop prático: criação de aviso visual

MÓDULO 7: SEGURANÇA DA INFORMAÇÃO E RESPOSTA A INCIDENTES (6 horas)

Aula 7.1: Segurança da Informação para DPOs (90 minutos)

• Arts. 46, 47 e 49 da LGPD: segurança e boas práticas
• Relação entre privacidade e segurança da informação
• Tríade CIA: Confidencialidade, Integridade, Disponibilidade
• Medidas de segurança técnicas:
  • Criptografia (em repouso e em trânsito)
  • Controle de acesso e autenticação
  • Autenticação multifator (MFA)
  • Mascaramento e tokenização de dados
  • Pseudonimização
  • Anonimização técnicas
  • Firewalls e segmentação de rede
  • Antivírus e antimalware
  • Backup e recuperação de desastres
  • Logs e monitoramento
• Medidas de segurança administrativas:
  • Políticas de segurança
  • Gestão de acessos e privilégios
  • Princípio do menor privilégio
  • Segregação de funções
  • Controle de dispositivos móveis
  • Gestão de patches e atualizações
  • Inventário de ativos
• Medidas de segurança físicas:
  • Controle de acesso físico
  • CFTV
  • Descarte seguro de mídias
• Frameworks e normas:
  • ISO/IEC 27001: Sistema de Gestão de Segurança da Informação
  • ISO/IEC 27701: Extensão para privacidade
  • NIST Cybersecurity Framework
  • CIS Controls
• Certificações relevantes
• Alinhamento entre DPO e CISO

Aula 7.2: Gestão de Incidentes de Segurança (90 minutos)

• Art. 48 da LGPD: comunicação de incidentes
• Conceito de incidente de segurança:
  • Vazamento de dados
  • Acesso não autorizado
  • Perda de dados
  • Indisponibilidade de sistemas
  • Outros eventos adversos
• Plano de Resposta a Incidentes (IRP – Incident Response Plan):
  • Importância de ter um plano prévio
  • Componentes essenciais
  • Equipe de resposta (CSIRT/IRT)
  • Papéis e responsabilidades
• Fases de resposta a incidentes:
  • Preparação: ferramentas, treinamento, plano
  • Identificação/Detecção: reconhecer o incidente
  • Contenção: curto prazo e longo prazo
  • Erradicação: eliminar a causa raiz
  • Recuperação: restaurar operações
  • Lições Aprendidas: análise pós-incidente
• Classificação de incidentes:
  • Severidade (baixa, média, alta, crítica)
  • Impacto (número de titulares, tipo de dados, danos)
• Comunicação de incidentes à ANPD:
  • Quando é obrigatório comunicar
  • Prazo razoável
  • Conteúdo mínimo da comunicação
  • Modelo de comunicação
• Comunicação aos titulares:
  • Quando é obrigatório
  • Forma e conteúdo
  • Cuidados na redação
• Documentação do incidente: registro detalhado

Aula 7.3: Relacionamento com Autoridades em Incidentes (60 minutos)

• Guidelines do EDPB sobre notificação de violação de dados (referência)
• Relacionamento com ANPD:
  • Canal de comunicação
  • Forma de notificação
  • Informações a prestar
  • Colaboração na investigação
• Relacionamento com outros órgãos:
  • Ministério Público (casos de consumo)
  • Procon/SENACON
  • Polícia Civil/Federal (crimes cibernéticos)
  • Poder Judiciário
• Assessoria jurídica: quando acionar
• Gestão de crise de imagem:
  • Comunicação externa
  • Assessoria de imprensa
  • Postura institucional
• Casos reais de vazamentos no Brasil:
  • Como empresas reagiram
  • Lições aprendidas
  • Boas e más práticas
• Transparência vs. proteção da imagem

Aula 7.4: Simulação de Resposta a Incidentes – Tabletop Exercise (120 minutos)

• Preparação da simulação:
  • Apresentação do cenário fictício (ex: vazamento de banco de dados)
  • Divisão em grupos/papéis
  • Regras da simulação
• Execução da simulação:
  • Detecção do incidente
  • Acionamento da equipe
  • Avaliação de severidade
  • Contenção imediata
  • Investigação interna
  • Decisão sobre comunicação à ANPD
  • Decisão sobre comunicação aos titulares
  • Preparação de comunicados
  • Gestão de stakeholders internos e externos
  • Implementação de melhorias
• Debriefing:
  • Análise do desempenho dos grupos
  • Identificação de gaps
  • Melhores práticas observadas
  • Ajustes no plano de resposta
• Importância de exercícios periódicos

Aula 7.5: Processos de Fiscalização da ANPD (60 minutos)

• Procedimento de fiscalização da ANPD
• Fases do processo administrativo
• Notificação preliminar
• Direito de defesa: como preparar
• Apresentação de documentos
• Inspeção in loco: o que esperar
• Produção de provas
• Audiências e oitivas
• Decisões: advertência, multa, outras sanções
• Recursos administrativos
• Termo de Ajustamento de Conduta (TAC)
• Como se preparar para uma fiscalização:
  • Auditoria preventiva
  • Organização de documentos
  • Treinamento de equipe
  • Mock inspection
• Casos concretos de fiscalização
• Boas práticas de cooperação

MÓDULO 8: FERRAMENTA PRÁTICA – DPONET (4 horas)

Aula 8.1: Apresentação da Plataforma DPONET (60 minutos)

• O que é a plataforma DPONET
• Funcionalidades principais
• Arquitetura e módulos
• Interface e navegação
• Criação de conta e configuração inicial
• Gestão de usuários e permissões
• Visão geral do dashboard
• Tour guiado pela plataforma

Aula 8.2: Data Mapping na Prática com DPONET (90 minutos)

Instrutor sugerido: Pedro / Equipe DPONET
Material de apoio: Guia passo a passo + exercícios práticos

Temas a abordar:

• Módulo de mapeamento de dados
• Cadastro de processos de negócio
• Cadastro de atividades de tratamento
• Preenchimento de campos obrigatórios:
  • Finalidade
  • Categorias de dados
  • Base legal
  • Compartilhamentos
  • Transferências internacionais
  • Medidas de segurança
  • Prazo de retenção
• Vinculação a sistemas/aplicações
• Categorização de riscos
• Geração de inventário automatizado
• Relatórios e exportações
• Exercício hands-on: mapeamento de caso prático na plataforma

Aula 8.3: Gestão de Requisições e Incidentes com DPONET (60 minutos)

• Módulo de gestão de requisições de titulares
• Cadastro de requisições
• Workflow de aprovação/processamento
• Comunicação com titular via plataforma
• Controle de prazos e SLA
• Módulo de gestão de incidentes
• Registro de incidentes
• Classificação de severidade
• Plano de ação
• Comunicações à ANPD e titulares
• Dashboard de acompanhamento
• Relatórios gerenciais
• Exercício prático: simulação de gestão de requisições

Aula 8.4: Outras Funcionalidades e Integração (30 minutos)

• Módulo de gestão de políticas e documentos
• Repositório de templates
• Módulo de treinamentos e conscientização
• Gestão de fornecedores e terceiros
• Módulo de RIPDs e LIAs
• Relatórios de conformidade
• Dashboards executivos
• Integrações com outras ferramentas
• API e possibilidades de customização
• Roadmap de evolução da plataforma

Aula 8.5: Caso Integrado na Plataforma (90 minutos)

• Apresentação de caso complexo
• Utilização de múltiplos módulos da plataforma
• Simulação de um projeto completo de adequação:
  • Data mapping
  • Identificação de gaps
  • Elaboração de RIPD
  • Gestão de fornecedores
  • Criação de políticas
  • Gestão de requisições
  • Simulação de incidente
• Geração de relatórios finais
• Demonstração de valor da ferramenta
• Trabalho em grupos: resolução do caso
• Apresentação dos grupos
• Feedback e melhores práticas