Módulos Específicos por Área
Código: TREIN-ESP-001 Versão: 1.0 Pré-requisito: Conclusão do Módulo Geral Responsável: [PREENCHER_NOME_DPO]
Introdução
Este documento contém os materiais de treinamento específicos para cada área funcional. Cada colaborador deve completar o módulo correspondente à sua função, além do Módulo Geral obrigatório.
Módulo 1: Desenvolvimento - Privacy by Design
Carga Horária: 4 horas Público: Desenvolvedores, Arquitetos, QA Formato: Online ao vivo + Exercícios práticos
1.1 Princípios de Privacy by Design
Os 7 princípios fundamentais de Privacy by Design (PbD):
| # | Princípio | Aplicação no Desenvolvimento |
|---|---|---|
| 1 | Proativo, não reativo | Considerar privacidade desde o início do projeto |
| 2 | Privacidade como padrão | Configurações mais restritivas por default |
| 3 | Privacidade incorporada ao design | Não é um add-on, é parte da arquitetura |
| 4 | Funcionalidade total | Privacidade sem prejudicar funcionalidade |
| 5 | Segurança ponta a ponta | Proteção durante todo o ciclo de vida |
| 6 | Visibilidade e transparência | Logs auditáveis, processos verificáveis |
| 7 | Respeito ao usuário | Usuário no centro das decisões |
1.2 Minimização de Dados no Código
Princípios de coleta:
- Coletar apenas dados necessários para a funcionalidade
- Questionar cada campo de formulário
- Usar dados anonimizados ou pseudonimizados quando possível
Checklist de campos:
[ ] Este campo é realmente necessário?
[ ] Existe alternativa menos invasiva?
[ ] O dado precisa ser armazenado ou pode ser processado em memória?
[ ] O período de retenção foi definido?
[ ] A finalidade está documentada?
Exemplos práticos:
| Cenário | ❌ Evitar | ✅ Preferir |
|---|---|---|
| Cadastro básico | CPF, RG, endereço completo | Apenas nome e e-mail |
| Analytics | IP completo, identificadores persistentes | Dados agregados, sessão anônima |
| Logs | Dados pessoais em texto plano | Logs com dados mascarados |
| Validação | Armazenar senha em plain text | Hash com salt (bcrypt, argon2) |
1.3 Segurança no Desenvolvimento
OWASP Top 10 - Foco em Privacidade:
| Vulnerabilidade | Risco para Dados | Mitigação |
|---|---|---|
| Injection | Vazamento de dados | Prepared statements, ORM |
| Broken Authentication | Acesso indevido | MFA, sessões seguras |
| Sensitive Data Exposure | Exposição de dados pessoais | Criptografia em trânsito e repouso |
| XXE | Vazamento de arquivos | Desabilitar DTDs |
| Broken Access Control | Acesso a dados de outros | RBAC, validação no backend |
| Security Misconfiguration | Exposição de dados | Hardening, config review |
| XSS | Roubo de sessão/dados | Output encoding, CSP |
| Insecure Deserialization | Execução remota | Validação de input |
| Using Vulnerable Components | Múltiplos riscos | Dependency scanning |
| Insufficient Logging | Sem auditoria | Logs de acesso a dados |
Boas práticas de código:
✅ Criptografar dados sensíveis em repouso (AES-256)
✅ Usar HTTPS/TLS para todas as comunicações
✅ Implementar rate limiting em APIs
✅ Validar e sanitizar todos os inputs
✅ Mascarar dados em logs (CPF: ***.***.***-XX)
✅ Implementar soft delete com possibilidade de hard delete
✅ Criar endpoints para portabilidade e exclusão de dados
1.4 Checklist de Privacidade para Features
Antes de desenvolver uma nova feature, responda:
Fase de Design:
| Pergunta | Resposta |
|---|---|
| Quais dados pessoais serão coletados? | [DOCUMENTAR] |
| Qual a finalidade de cada dado? | [DOCUMENTAR] |
| Qual a base legal? | [VALIDAR COM DPO] |
| Por quanto tempo os dados serão retidos? | [DEFINIR] |
| Haverá compartilhamento com terceiros? | [SIM/NÃO] |
| Como o titular poderá exercer seus direitos? | [DEFINIR ENDPOINTS] |
Fase de Implementação:
[ ] Dados criptografados em repouso
[ ] Comunicação via HTTPS
[ ] Logs não contêm dados pessoais em claro
[ ] Acesso controlado por RBAC
[ ] Endpoint de exclusão implementado
[ ] Endpoint de exportação implementado
[ ] Consentimento coletado (se aplicável)
[ ] Audit trail implementado
Fase de Review:
[ ] Code review focado em segurança realizado
[ ] Testes de segurança executados
[ ] Documentação técnica atualizada
[ ] RIPD atualizado (se necessário)
1.5 Exercício Prático
Cenário: Implementar funcionalidade de foto de perfil para alunos.
Análise requerida:
- Que dados serão coletados? (imagem facial - dado biométrico?)
- Qual a finalidade? (identificação visual)
- Base legal? (consentimento do responsável)
- Como armazenar? (criptografado, bucket separado)
- Como permitir exclusão? (endpoint DELETE + limpeza de CDN)
- Quanto tempo reter? (enquanto vínculo ativo + período legal)
Módulo 2: Suporte/Operações - Direitos dos Titulares
Carga Horária: 3 horas Público: Suporte, Atendimento, Operações Formato: Online ao vivo + Simulações
2.1 Tipos de Solicitações
| Direito | Palavras-chave do Titular | Ação |
|---|---|---|
| Acesso | "quero saber", "que dados", "cópia dos dados" | Fornecer relatório de dados |
| Correção | "está errado", "atualizar", "corrigir" | Retificar dados |
| Exclusão | "deletar", "apagar", "remover meus dados" | Avaliar e excluir se cabível |
| Portabilidade | "exportar", "transferir", "levar meus dados" | Gerar arquivo estruturado |
| Revogação | "cancelar", "não autorizo mais", "retirar consentimento" | Cessar tratamento baseado em consentimento |
| Oposição | "não concordo", "parem de usar" | Avaliar legitimidade do tratamento |
| Informação | "com quem compartilham", "para que usam" | Esclarecer tratamento |
2.2 Como Identificar uma Solicitação
Sinais de uma solicitação de direitos:
✅ Titular menciona "meus dados" ou "dados do meu filho"
✅ Pergunta sobre uso, compartilhamento ou armazenamento
✅ Solicita cópia, relatório ou extrato
✅ Pede para alterar, excluir ou parar de usar
✅ Menciona LGPD, privacidade ou proteção de dados
Não confundir com:
- Reclamações sobre funcionalidade do sistema
- Dúvidas sobre como usar a plataforma
- Solicitações de suporte técnico comum
2.3 Fluxo de Atendimento
┌─────────────────┐
│ 1. RECEBER │ Registrar solicitação no sistema
└────────┬────────┘
▼
┌─────────────────┐
│ 2. IDENTIFICAR │ Classificar tipo de direito
└────────┬────────┘
▼
┌─────────────────┐
│ 3. VALIDAR │ Confirmar identidade do titular
└────────┬────────┘
▼
┌─────────────────┐
│ 4. ENCAMINHAR │ DPO ou equipe responsável
└────────┬────────┘
▼
┌─────────────────┐
│ 5. ACOMPANHAR │ Monitorar prazo e resposta
└────────┬────────┘
▼
┌─────────────────┐
│ 6. RESPONDER │ Retornar ao titular
└─────────────────┘
2.4 Validação de Identidade
Por que validar?
- Evitar vazamento de dados para terceiros
- Garantir que o solicitante é o titular ou representante legal
- Proteger dados de menores (apenas responsáveis podem solicitar)
Como validar:
| Canal | Método de Validação |
|---|---|
| E-mail cadastrado | Confirmar que e-mail é o mesmo do cadastro |
| Telefone | Código SMS/WhatsApp para número cadastrado |
| Área do Cliente | Login autenticado |
| Presencial | Documento com foto |
| Procuração | Documento + procuração válida |
Para menores:
- Apenas pais/responsáveis cadastrados podem solicitar
- Verificar vínculo no sistema
- Em caso de dúvida, solicitar documentação adicional
2.5 Prazos e SLAs
| Tipo de Solicitação | Prazo Legal | SLA Interno |
|---|---|---|
| Confirmação de existência | Imediato | Até 2 horas |
| Acesso simplificado | Imediato | Até 24 horas |
| Declaração completa | 15 dias | 10 dias úteis |
| Correção | 15 dias | 5 dias úteis |
| Exclusão | 15 dias | 10 dias úteis |
| Portabilidade | 15 dias | 10 dias úteis |
Contagem de prazo:
- Inicia na data do recebimento da solicitação válida
- Dias corridos, salvo indicação contrária
- Pode ser prorrogado com justificativa ao titular
2.6 Scripts de Atendimento
Confirmação de recebimento:
"Olá [NOME], recebemos sua solicitação sobre [TIPO].
Ela foi registrada com o protocolo [NÚMERO].
Nosso prazo de resposta é de até [X] dias úteis.
Qualquer dúvida, estamos à disposição."
Solicitação de validação:
"Para dar andamento à sua solicitação, precisamos confirmar
sua identidade. Por favor, [MÉTODO DE VALIDAÇÃO].
Isso é necessário para proteger seus dados."
Encaminhamento para DPO:
"Sua solicitação requer análise especializada do nosso
Encarregado de Proteção de Dados. Ela foi encaminhada e
você receberá retorno em até [PRAZO]."
2.7 Simulação de Atendimentos
Caso 1: Responsável solicita relatório de dados do filho
- Validar que é responsável cadastrado
- Gerar relatório de dados do aluno
- Enviar em formato acessível
Caso 2: Ex-funcionário da escola solicita exclusão
- Verificar se dados são tratados pela nossa empresa
- Esclarecer que controlador é a escola
- Orientar a fazer solicitação à escola
Caso 3: Pessoa solicita dados por telefone
- Não fornecer dados por telefone
- Orientar canal oficial (e-mail, portal)
- Registrar tentativa
Módulo 3: Comercial - Contratos e DPAs
Carga Horária: 2 horas Público: Comercial, Vendas, Parcerias Formato: Online ao vivo
3.1 DPA e sua Importância
DPA (Data Processing Agreement): Acordo de Processamento de Dados que formaliza a relação entre Controlador e Operador.
Por que é importante:
- Exigência legal (Art. 39 LGPD)
- Define responsabilidades de cada parte
- Estabelece medidas de segurança
- Protege ambas as partes em caso de incidentes
3.2 Cláusulas Essenciais
| Cláusula | Conteúdo |
|---|---|
| Objeto | Descrição do tratamento realizado |
| Finalidade | Para que os dados serão tratados |
| Tipos de dados | Categorias de dados tratados |
| Titulares | Quem são os titulares (alunos, responsáveis) |
| Prazo | Duração do tratamento |
| Suboperadores | Se há e quem são |
| Segurança | Medidas técnicas e organizacionais |
| Incidentes | Procedimento de notificação |
| Direitos | Como auxiliar no atendimento |
| Auditoria | Direito do controlador auditar |
| Devolução/Eliminação | O que fazer ao término |
| Responsabilidade | Limites e indenizações |
3.3 Relacionamento com Controladores
Nosso papel:
- Tratar dados conforme instruções documentadas
- Garantir confidencialidade dos colaboradores
- Implementar medidas de segurança adequadas
- Notificar incidentes ao controlador
- Auxiliar no atendimento a direitos
- Excluir ou devolver dados ao término
O que NÃO podemos fazer:
- Tratar dados para finalidades próprias
- Compartilhar com terceiros sem autorização
- Ignorar instruções do controlador
- Reter dados após término do contrato
3.4 Obrigações Contratuais
Antes de fechar contrato:
[ ] Verificar se DPA está incluído ou anexado
[ ] Confirmar que termos estão alinhados com nossas políticas
[ ] Validar cláusulas de suboperadores (usamos AWS, etc.)
[ ] Verificar prazo de notificação de incidentes
[ ] Confirmar procedimentos de auditoria
Durante a vigência:
- Manter registros de tratamento atualizados
- Cumprir SLAs de segurança acordados
- Notificar incidentes no prazo contratual
- Permitir auditorias quando solicitado
3.5 Perguntas Frequentes de Clientes
| Pergunta | Resposta Modelo |
|---|---|
| "Vocês são certificados?" | "Estamos em conformidade com a LGPD e possuímos [CERTIFICAÇÕES]. Nossa documentação de segurança está disponível para análise." |
| "Onde os dados ficam armazenados?" | "Os dados são armazenados em servidores [LOCALIZAÇÃO] com [PROVEDOR], que possui certificações [ISO 27001, SOC 2, etc.]." |
| "Vocês compartilham dados com terceiros?" | "Utilizamos suboperadores apenas para [FINALIDADES], listados em nosso DPA. Não comercializamos dados." |
| "O que acontece com os dados no término?" | "Conforme DPA, os dados podem ser devolvidos ou eliminados, à escolha do cliente, no prazo de [X] dias." |
| "Como atendem direitos dos titulares?" | "Temos procedimentos e ferramentas para auxiliar no atendimento a direitos. O prazo de resposta é de [X] horas." |
Módulo 4: RH - Dados de Colaboradores
Carga Horária: 2 horas Público: Recursos Humanos, Departamento Pessoal Formato: Online ao vivo
4.1 Dados Tratados pelo RH
| Categoria | Exemplos | Sensível? |
|---|---|---|
| Identificação | Nome, CPF, RG, foto | Não |
| Contato | Endereço, telefone, e-mail | Não |
| Bancários | Conta, agência | Não |
| Profissionais | Cargo, salário, histórico | Não |
| Saúde | Atestados, exames, CID | Sim |
| Biométricos | Digital para ponto | Sim |
| Sindicais | Filiação sindical | Sim |
| Familiares | Dependentes (nome, nascimento) | Não |
4.2 Bases Legais Aplicáveis
| Tratamento | Base Legal |
|---|---|
| Folha de pagamento | Execução de contrato, Obrigação legal |
| Benefícios | Execução de contrato |
| Exames admissionais/demissionais | Obrigação legal (CLT) |
| Biometria para ponto | Execução de contrato |
| Envio de dados ao eSocial | Obrigação legal |
| Plano de saúde | Execução de contrato |
| Banco de currículos | Consentimento |
| Foto em crachá | Legítimo interesse |
4.3 Retenção de Dados de Colaboradores
| Tipo de Dado | Prazo de Retenção | Base Legal |
|---|---|---|
| Contrato de trabalho | 5 anos após desligamento | CLT Art. 7º XXIX |
| Folhas de pagamento | 10 anos | Tributário |
| FGTS | 30 anos | Lei 8.036/90 |
| Exames médicos | 20 anos | NR-7 |
| PPP | 20 anos | Previdenciário |
| Processo seletivo (não contratado) | 6 meses | Razoabilidade |
| Currículo (banco) | 1 ano ou revogação | Consentimento |
4.4 Terceirização e Compartilhamento
Compartilhamento autorizado:
- Contabilidade/Folha de pagamento
- Plano de saúde
- Vale-transporte/alimentação
- Governo (eSocial, RAIS, CAGED)
- Sindicatos (quando aplicável)
Cuidados necessários:
- Contratos com cláusulas de privacidade
- Compartilhar apenas dados necessários
- Manter registro dos compartilhamentos
- Verificar segurança dos terceiros
4.5 Admissão e Desligamento
Na admissão:
[ ] Informar sobre tratamento de dados (entregar política)
[ ] Coletar consentimentos específicos se necessário
[ ] Registrar aceite do termo de confidencialidade
[ ] Limitar acesso inicial ao necessário
No desligamento:
[ ] Revogar todos os acessos imediatamente
[ ] Recolher equipamentos e crachás
[ ] Manter apenas dados necessários por lei
[ ] Eliminar dados de sistemas não obrigatórios
[ ] Responder solicitações do ex-colaborador
Módulo 5: Marketing - Consentimento e Cookies
Carga Horária: 2 horas Público: Marketing, Growth, Comunicação Formato: Online ao vivo
5.1 Quando Obter Consentimento
Consentimento necessário para:
- E-mail marketing promocional
- Newsletter não relacionada ao serviço
- Cookies de marketing/publicidade
- Uso de dados para criação de perfis
- Compartilhamento para parceiros comerciais
- Uso de imagem em materiais de marketing
Consentimento NÃO necessário para:
- Comunicações sobre o serviço contratado (base: contrato)
- Cookies essenciais para funcionamento
- Análise agregada sem identificação
5.2 Requisitos de Validade do Consentimento
Para ser válido, o consentimento deve ser:
| Requisito | Significado | Exemplo |
|---|---|---|
| Livre | Sem pressão ou coação | Não condicionar serviço |
| Informado | Titular sabe para que consente | Explicar uso claro |
| Inequívoco | Ação afirmativa clara | Checkbox não pré-marcado |
| Específico | Para finalidade determinada | Não genérico "para tudo" |
| Destacado | Separado de outros termos | Não escondido em texto |
Exemplo correto:
☐ Desejo receber e-mails com novidades e ofertas da [EMPRESA]
(Você pode cancelar a qualquer momento)
Exemplo incorreto:
☑ Aceito os termos de uso, política de privacidade e
receber comunicações promocionais
5.3 Gestão de Preferências
Centro de preferências deve permitir:
- Ver quais comunicações está inscrito
- Cancelar inscrição de categorias específicas
- Alterar frequência de recebimento
- Atualizar dados de contato
- Solicitar exclusão total
Registro de consentimentos:
- Data/hora do consentimento
- IP ou identificador
- Versão do texto aceito
- Método (checkbox, duplo opt-in, etc.)
5.4 Cookies e Rastreamento
Categorias de cookies:
| Categoria | Descrição | Consentimento |
|---|---|---|
| Essenciais | Necessários para funcionamento | Não necessário |
| Funcionais | Preferências do usuário | Recomendado |
| Analíticos | Estatísticas de uso | Necessário |
| Marketing | Publicidade personalizada | Necessário |
Banner de cookies deve:
- Aparecer antes de carregar cookies não-essenciais
- Permitir aceitar/recusar por categoria
- Ter opção de rejeitar facilmente visível
- Linkar para política de cookies
- Registrar escolha do usuário
5.5 E-mail Marketing Conforme LGPD
Boas práticas:
✅ Lista opt-in (não comprar listas)
✅ Duplo opt-in para maior segurança
✅ Link de descadastro visível em todo e-mail
✅ Honrar descadastro imediatamente
✅ Segmentar por interesse e preferência
✅ Identificar claramente o remetente
✅ Não usar assuntos enganosos
Métricas permitidas:
- Taxa de abertura
- Taxa de cliques
- Taxa de descadastro
- Dados agregados
Módulo 6: Gestores - Gestão de Privacidade
Carga Horária: 2 horas Público: Gestores, Líderes de Equipe Formato: Online ao vivo
6.1 Papel do Gestor
O gestor tem papel fundamental na cultura de privacidade:
| Responsabilidade | Ação Esperada |
|---|---|
| Exemplo | Seguir e demonstrar práticas de privacidade |
| Supervisão | Garantir que equipe segue políticas |
| Facilitação | Liberar tempo para treinamentos |
| Identificação | Perceber riscos e oportunidades |
| Comunicação | Reforçar mensagens de privacidade |
| Escalação | Reportar problemas ao DPO |
6.2 Supervisão de Conformidade
Verificações periódicas:
| Item | Frequência | Como Verificar |
|---|---|---|
| Treinamentos em dia | Mensal | Dashboard de RH |
| Acessos adequados | Trimestral | Revisão com TI |
| Incidentes na área | Contínuo | Relatório de segurança |
| Práticas de mesa limpa | Semanal | Observação |
| Compartilhamentos | Mensal | Verificar fluxos |
6.3 Identificação de Riscos
Sinais de alerta:
- Colaborador acessando dados sem necessidade
- Dados sendo enviados por canais não seguros
- Compartilhamento de senhas ou acessos
- Dados pessoais em planilhas locais
- Uso de ferramentas não homologadas
Ao identificar risco:
- Não ignorar ou adiar
- Orientar o colaborador
- Registrar o ocorrido
- Reportar ao DPO se necessário
- Acompanhar correção
6.4 Reporte de Não-Conformidades
Quando reportar:
- Violações de política identificadas
- Incidentes de segurança
- Solicitações de acesso inadequadas
- Dúvidas sobre conformidade de processos
- Novos tratamentos de dados planejados
Como reportar:
- Canal: [PREENCHER_CANAL]
- E-mail: [PREENCHER_EMAIL_DPO]
- Informações: o que, quando, quem, que dados
6.5 Suporte aos Champions
Champions de Privacidade são:
- Pontos focais de privacidade na área
- Multiplicadores de conhecimento
- Primeiro ponto de contato para dúvidas
Como apoiar:
- Reconhecer o papel formalmente
- Liberar tempo para atividades de privacidade
- Incluir em decisões que envolvam dados
- Valorizar contribuições e alertas
- Facilitar comunicação com DPO
Módulo 7: Formação de Champions de Privacidade
Carga Horária: 8 horas Público: Champions designados por área Formato: Presencial + Atividades práticas
7.1 LGPD Aprofundada (2h)
Conteúdo avançado:
- Análise detalhada de cada base legal
- Jurisprudência e casos da ANPD
- Transferência internacional de dados
- Responsabilidade civil e administrativa
- Regulamentações setoriais (educação)
7.2 Nosso Programa de Privacidade (1h)
Conhecer em profundidade:
- Estrutura de governança
- Políticas e procedimentos
- Papéis e responsabilidades
- Ferramentas e sistemas
- Roadmap de conformidade
7.3 Mapeamento de Dados na Prática (1h)
Exercício prático:
- Identificar tratamentos da área
- Preencher registro de atividades
- Mapear fluxos de dados
- Identificar gaps
Template de mapeamento:
| Campo | Exemplo |
|---|---|
| Atividade | Matrícula de alunos |
| Dados coletados | Nome, CPF, endereço, foto |
| Titulares | Alunos e responsáveis |
| Base legal | Execução de contrato |
| Finalidade | Registro acadêmico |
| Compartilhamento | Escola (controlador) |
| Retenção | Enquanto matrícula ativa + 5 anos |
7.4 Avaliação de Riscos (1h)
Metodologia simplificada:
Risco = Probabilidade x Impacto
| Probabilidade | Pontuação |
|---|---|
| Rara | 1 |
| Improvável | 2 |
| Possível | 3 |
| Provável | 4 |
| Quase certa | 5 |
| Impacto | Pontuação |
|---|---|
| Insignificante | 1 |
| Menor | 2 |
| Moderado | 3 |
| Maior | 4 |
| Catastrófico | 5 |
Classificação:
- 1-6: Baixo (aceitar/monitorar)
- 7-12: Médio (mitigar)
- 13-19: Alto (ação prioritária)
- 20-25: Crítico (ação imediata)
7.5 Atendimento a Titulares (1h)
Papel do Champion:
- Primeiro ponto de contato na área
- Identificar solicitações de direitos
- Encaminhar corretamente ao DPO
- Acompanhar atendimento
- Garantir cumprimento de prazos
Exercício: Simulação de solicitações reais
7.6 Gestão de Incidentes (1h)
Fluxo de resposta:
Detecção → Contenção → Investigação → Notificação → Remediação → Lições
Papel do Champion:
- Identificar possíveis incidentes na área
- Reportar imediatamente
- Apoiar investigação
- Comunicar equipe sobre ações
7.7 Workshop: Casos da Área (1h)
Discussão de casos reais:
- Cenários específicos da área
- Dilemas de privacidade
- Boas práticas identificadas
- Oportunidades de melhoria
Dinâmica:
- Grupos de discussão
- Apresentação de soluções
- Validação com DPO
Avaliação dos Módulos
Critérios de Aprovação
| Módulo | Método | Nota Mínima |
|---|---|---|
| Desenvolvimento | Quiz + Exercício prático | 70% |
| Suporte | Quiz + Simulação | 70% |
| Comercial | Quiz | 70% |
| RH | Quiz | 70% |
| Marketing | Quiz | 70% |
| Gestores | Quiz | 70% |
| Champions | Avaliação completa | 80% |
Certificação
Ao concluir com aprovação:
- Certificado digital emitido
- Registro no histórico de treinamento
- Validade de 12 meses
- Reciclagem anual obrigatória
Histórico
| Versão | Data | Alteração |
|---|---|---|
| 1.0 | [PREENCHER] | Versão inicial |