DPO (Encarregado de dados pessoais): Teoria e Prática
()
About this ebook
Related to DPO (Encarregado de dados pessoais)
Related ebooks
Lei Geral de Proteção de Dados: Subsídios teóricos à aplicação prática Rating: 0 out of 5 stars0 ratingsGuia prático de implementação da LGPD Rating: 5 out of 5 stars5/5Escritórios Online e Prática Jurídica Digital Rating: 0 out of 5 stars0 ratingsE-book LGPD Ninja 2ª edição: Entendendo e implementando a LGPD na Empresa Rating: 0 out of 5 stars0 ratingsLei Geral de Proteção de Dados nas Organizações Rating: 3 out of 5 stars3/5Dados Pessoais Sensíveis: Qualificação, Tratamento e Boas Práticas Rating: 0 out of 5 stars0 ratingsGestão e Estratégia para Advogados Rating: 0 out of 5 stars0 ratingsGuia Prático De Contratos Para Eventos Rating: 0 out of 5 stars0 ratingsGuia Prático Para Elaboração De Uma Política De Privacidade Rating: 0 out of 5 stars0 ratingsSegurança Da Informação Para Iniciantes Rating: 0 out of 5 stars0 ratingsDiálogos Sobre A Privacidade E A Proteção De Dados Pessoais No Brasil Rating: 0 out of 5 stars0 ratingsLGPD para contratos: Adequando contratos e documentos à Lei Geral de proteção de dados Rating: 0 out of 5 stars0 ratingsGovernança de Segurança da Informação: como criar oportunidades para o seu negócio Rating: 0 out of 5 stars0 ratingsGestão Na Tecnologia Da Informação Rating: 0 out of 5 stars0 ratingsBlockchain e Smart Contracts: as inovações no âmbito do direito Rating: 0 out of 5 stars0 ratingsTrilhas em Segurança da Informação: caminhos e ideias para a proteção de dados Rating: 5 out of 5 stars5/5Política De Segurança Da Informação Rating: 0 out of 5 stars0 ratingsLegal Design - Criando documentos que fazem sentido para o usuário Rating: 0 out of 5 stars0 ratingsLei geral de proteção de dados: Aspectos relevantes Rating: 0 out of 5 stars0 ratingsCompliance como implementar Rating: 5 out of 5 stars5/5Praticando a Segurança da Informação Rating: 3 out of 5 stars3/510 passos para uma advocacia inovadora por meio do marketing jurídico Rating: 0 out of 5 stars0 ratingsOperador do direito Rating: 5 out of 5 stars5/5Sistemas de Informação: gestão e tecnologia na era digital Rating: 0 out of 5 stars0 ratingsProteção de Dados: Temas Controvertidos Rating: 0 out of 5 stars0 ratingsManual de direito na era digital - Civil Rating: 0 out of 5 stars0 ratingsLei geral de proteção de dados: fronteiras do legítimo interesse Rating: 0 out of 5 stars0 ratingsManual de direito na era digital - Comercial Rating: 0 out of 5 stars0 ratings
Business For You
Os 7 hábitos das pessoas altamente eficazes Rating: 4 out of 5 stars4/5Mapeamento comportamental - volume 1 Rating: 5 out of 5 stars5/5Deixe de ser pobre: Os segredos para você sair da pindaíba e conquistar sua independência financeira Rating: 4 out of 5 stars4/5Vou Te Ajudar A Fazer As Pessoas Clicar No Seu Link Rating: 5 out of 5 stars5/5O poder da ação: Faça sua vida ideal sair do papel Rating: 4 out of 5 stars4/5Desvendando O Metodo De Taufic Darhal Para Mega Sena Rating: 4 out of 5 stars4/5Do mil ao milhão: Sem cortar o cafezinho Rating: 5 out of 5 stars5/5Gestão de Empresa: Tópicos Especiais em Gestão Empresarial Rating: 5 out of 5 stars5/5A melhor estratégia é atitude: Bora vender Rating: 5 out of 5 stars5/5Coaching Communication: Aprenda a falar em público e assuma o palestrante que há em você Rating: 4 out of 5 stars4/5Estratégias Gratuitas de Marketing Digital: Alavanque seus ganhos na internet Rating: 4 out of 5 stars4/5A ciência de ficar rico Rating: 5 out of 5 stars5/5Seja foda! Rating: 5 out of 5 stars5/5Como Organizar Sua Vida Financeira Rating: 5 out of 5 stars5/510 Dicas de Ouro para ter Sucesso na Venda Direta Rating: 5 out of 5 stars5/5Falando Bonito: Uma reflexão sobre os erros de português cometidos em São Paulo e outros estados Rating: 4 out of 5 stars4/5Programação Neurolinguística em uma semana Rating: 4 out of 5 stars4/5O Estranho Segredo Rating: 5 out of 5 stars5/5O código da mente extraordinária Rating: 4 out of 5 stars4/5Dinheiro: 7 passos para a liberdade financeira Rating: 5 out of 5 stars5/5Storytelling: Histórias que deixam marcas Rating: 3 out of 5 stars3/5333 páginas para tirar seu projeto do papel Rating: 5 out of 5 stars5/5Finanças Organizadas, Mentes Tranquilas: A organização precede a prosperidade Rating: 0 out of 5 stars0 ratingsQuero Ser Empreendedor, E Agora? Rating: 5 out of 5 stars5/5
Reviews for DPO (Encarregado de dados pessoais)
0 ratings0 reviews
Book preview
DPO (Encarregado de dados pessoais) - Tarcisio Teixeira
Sinopse
DPO (Data Protection Officer, traduzido por Oficial de Proteção de Dados); no Brasil Encarregado de Proteção de Dados Pessoais
, sendo essa a expressão trazida pela Lei Geral de Proteção de Dados Pessoais (LGPD).
Trata-se de profissão (ou atividade) mais desejada no Brasil e no mundo nos últimos anos, com altas remunerações, e com enorme campo de trabalho para esse serviço, que pode ser prestado por profissionais individualmente ou por consultorias enquanto serviço terceirizado. Entretanto, os DPOs precisam de livros de cabeceiras que possam embasar e nortear suas atuações profissionais, sendo este um dos propósitos desta obra.
Contextualizando, o legislador brasileiro tem atuado de forma a aprimorar o regime jurídico da proteção de dados pessoais. Desse modo, a proteção de dados passou de matéria acessória (pelas disposições do Código Civil, Código de Defesa do Consumidor, Marco Civil da Internet etc.) para se tornar tema central com o advento da LGPD e da Emenda Constitucional n. 115/2022, pela qual a proteção de dados tornou-se direito fundamental.
Pelo advento da LGPD, a presença do DPO nas empresas (e instituições em geral) – além de uma exigência legal, em grande parte dos casos – é uma necessidade prática. Afinal, as instituições precisam manter sua conformidade e possuir condições, ininterruptamente, de atender solicitações de titulares de dados e autoridades públicas.
Daí o propósito de uma obra como esta, que condensa o conhecimento teórico e prático de diversos profissionais que atuam com a LGPD e proteção de dados, inclusive no exercício da função de DPO.
Há uma grande demanda no mercado para a comercialização e aquisição desta obra. No cenário editorial brasileiro já há um livro sobre DPO, do qual o nosso se diferenciará e se destacará. Isso pois, a nossa obra é robusta e multidisciplinar, uma vez que foi elaborada por autores cuja expertise em diferentes áreas do conhecimento – direito, tecnologia, compliance, design, governança e segurança da informação – fornecendo, portanto, uma visão multidisciplinar.
Embora de conteúdo denso, é uma obra de cunho prático, o que, por certo, guiará os DPOs a cumprirem seus deveres apoiando seus clientes (ou empregadores) na manutenção da conformidade à LGPD e, sobretudo, no respeito ao direito fundamental à proteção de dados. Para dúvidas e sugestões, favor escrever para tarcisio@privacidadegarantida.com.br.
Coordenação
Tarcisio Teixeira é Advogado especializado em Proteção de Dados. Doutor e Mestre em Direito Empresarial pela Universidade de São Paulo (USP). Pós-graduado (especialização) em Direito Empresarial pela Escola Paulista da Magistratura (EPM). Professor universitário da Escola Paulista de Direito (EPD) e Escola Superior de Advocacia (ESA/OAB-SP). É autor dentre outros livros, de: Direito Digital e Processo Eletrônico, 6. ed.; Direito Empresarial Sistematizado, 10. ed.;LGPD e E-commerce; Manual da Compra e Venda, 3. ed., todos estes publicados pela Saraiva Educação. Fundador da Privacidade Garantida, que presta serviços de consultoria e implementação em proteção de dados. tarcisio@privacidadegarantida.com.br
João Rodrigo de Morais Stinghen é Advogado com experiência em Direito Digital, Notarial e Registral e autor de diversos artigos científicos nessas áreas. Consultor jurídico em privacidade e proteção de dados, certificado pela EXIN (PDPF). Especialização em Direito Digital e proteção de dados pela Escola Brasileira de Direito (EBRADI). Membro da Associação Nacional de Profissionais de Privacidade de Dados Pessoais (ANPPD), exercendo as funções de coordenador do comitê de conteúdo e editor da revista LGPD Magazine. Membro da Comissão Nacional de Direito Notarial e Registral da Associação Brasileira de Advogados (ABA). Fundador Consultor em projetos de implementação da LGPD na empresa Privacidade Garantida. Fundador do Instituto de Compliance Notarial e Registral (ICNR), onde desenvolve eventos, treinamentos e programas de compliance para cartórios. Autor da obra LGPD e Cartórios: implementações e questões práticas, publicada pela Saraiva Educação.
Mirian Aparecida Esquárcio Jabur é Data Protection Officer (DPO), na área de Segurança da Informação, tendo liderado/aconselhado iniciativas de adequação da LGPD. Diretora do Comitê de Conteúdo da Associação Nacional dos Profissionais de Privacidade de Dados (ANPPD). Gestora de Projetos da Auditoria de Governança de Dados e Privacidade. Especialista em GRC e gestora de projetos da Auditoria de Governança de Dados e Privacidade. Larga experiência nos modelos Cobit® e ISO 27001. Vivência em ambiente ágil e Segurança da Informação. Atuação em projetos e treinamentos. Possui diversas certificações técnicas em TI e SI. Professora e palestrante no tema de Privacidade de Dados. Atuante no Comitê de TI da Subcomissão de Auditoria da Febraban no tema de LGPD.
Ruth Maria Guerreiro da Fonseca Armelin é Advogada, palestrante e professora especialista em proteção de dados pessoais. Graduada pela Universidade Estadual de Londrina/PR (UEL). Pós-graduada em Teoria e Prática em Direito Empresarial pela Pontifícia Universidade Católica do Paraná (PUCPR). Diretora de Educação do Instituto de Direito Digital do Vale do Paraíba (IDDV). Membro da Associação Nacional dos Profissionais de Privacidade de Dados (ANPPD). Certificada pela EXIN-PDPE.
Autores
Adriana Carla Silva de Oliveira é Pós-doutora em Direito, Doutora em Ciência da Informação. Analista Judiciário do Tribunal de Justiça do Estado do Rio Grande do Norte (TJRN). Professora Colaboradora da Universidade Federal do Rio Grande do Norte.
Ana Maria Alves Esquárcio é Advogada com experiência em Direito Civil, Digital, Notarial e Registral. Bacharela em Direito pela Faculdade de Sabará/MG. Consultora jurídica em projetos para adequação e gestão da LGPD.
Ana Paula Rodrigues Alves é Consultora em Gestão Jurídica especializada e certificada nas áreas de Estratégia, Planejamento, Gestão de Pessoas e Gestão dos Serviços Jurídicos. MBA em Gestão de Pessoas. Certificada como Analista de Perfil Comportamental pela IBC. Certificada como Auditora de Processos Gerenciais ISO 9001. Experiência na gestão de escritórios de advocacia de todos os portes e seguimentos, prestando serviços para escritórios de grande prestígio e reconhecidos pela Análise 500 como escritórios mais admirados do Brasil. Membro Fundadora da Comissão de Inovação e Gestão OAB/Londrina. Professora Convidada no curso de Gestão de Escritório de Advocacia na Damásio Educacional de São Paulo. Professora Convidada para o Curso de Extensão & Prática – Gestão Estratégica na Advocacia – da Escola Superior de Advocacia (ESA/SC). Professora Convidada para o curso de Pós-graduação em Direito Empresarial Aplicado à Era Digital –Gestão de Advocacias Empresariais e Departamentos Jurídicos (2020; 2021; 2022), pela Universidade Estadual de Londrina (UEL). Coautora de livros.
Andréa Cavalcante Gouveia é Advogada, sócia do escritório Cavalcante Gouveia Advocacia, com amplo conhecimento jurídico, em Direito Civil, atuação em LGPD, Empresarial, Imobiliário, Contratos, Societário, Digital. Coordenadora do Comitê de Conteúdo da Associação Nacional de Profissionais de Privacidade de Dados Pessoais (ANPPD). Membro da Comissão Especial de Privacidade e Proteção de Dados da OAB/SP.
Anielle Eisenwiener Martinelli é Data Protection Officer (DPO), tendo coordenado projetos para adequação e gestão da LGPD. Coordenadora do Comitê de Conteúdo da Associação Nacional de Profissionais de Privacidade de Dados Pessoais (ANPPD). Consultora de Projetos para Auditoria de Segurança da Informação e Governança de Dados e Privacidade. Mais de 25 anos de experiência na área de TI em implantação e gestão de serviços de TI (Service Desk, Field Support, Suporte Especializado, SNOC), Escritório de Governança de Processos; Implementação de serviços baseado em metodologia ágil e Lean Six Sigma; Análise de aderência da Organização à LGPD, implementação de Projeto de Privacidade de Dados. Implementação de Governança, Risco e Compliance (GRC); Plano de Continuidade do Negócio (PCN); Plano de Continuidade Operacional (PCO); Plano de Contingência do Serviços.
Carolina Ferreira Domingues é Advogada e Professora. Especialista em Licitações e Contratos pela Universidade do Sul de Santa Catarina (Unisul). Pós-graduanda em Direito à Proteção, Uso e Segurança de Dados. Atua junto a órgãos públicos há 15 anos. Professora do Curso Implementação LGPD organizado pelo CEAP BRASIL. Sócia Fundadora do escritório Ferreira Domingues.
Dayane Karine de Sousa Mendonça é Advogada.
Fabiana Felisbino é Advogada. Bacharel em Direito pela Universidade de Contestado (UNC), com atuação na área de Privacidade e Proteção de Dados.
Fabiolla Labelle Ornelas Canedo é Mestre em Filosofia do Direito pela Pontifícia Universidade Católica de São Paulo (PUC-SP). Analista Judiciário Federal na Justiça Federal de São Paulo. Professora e Pesquisadora. Presidente do Instituto de Direito Digital do Vale do Paraíba (IDDV).
José Luiz de Medeiros é Especialista em Direito Digital e LGPD. Consultor em Privacidade e Proteção de Dados & Segurança da Informação, certificado pela EXIN (DPO & INFORMATION SECURITY OFFICER), Auditor Líder ISO 27001 certificado pela PECB, Lead Implementer e Auditor Interno ISO 27701 certificado pela ABNT. Autor de diversos artigos científicos nessas áreas. Bacharel em Direito pela Universidade Cidade de São Paulo (UNICID). Pós-graduado em Ciências Jurídicas pela Universidade Cruzeiro do Sul (UNICSUL). MBA em Gestão de Projetos pela Universidade Candido Mendes (UCAM). Graduado em Análise em Desenvolvimento de Sistemas pela Universidade Estácio de Sá (ESTÁCIO). Graduado em Defesa Cibernética pela Universidade Estácio de Sá (ESTÁCIO). Membro dos comitês jurídico e Poder Público da Associação Nacional de Profissionais de Privacidade de Dados Pessoais (ANPPD). Membro da Associação Nacional de Advogados de Direito Digital (ANADD). Consultor em projetos de implementação e Auditoria de Segurança da Informação e Privacidade na empresa Daryus Consultoria e Treinamentos. Instrutor Oficial EXIN pela Instituto Daryus de Ensino Superior Paulista (IDESP). Servidor Público.
Juliana Coelho dos Santos é Advogada e consultora em privacidade e proteção de dados pessoais. Graduada em Direito pela Universidade Federal do Rio de Janeiro (UFRJ) e especialista em Direito Processual Civil. Certificada em Privacy and Data Protection Essentials (LGPD) pela EXIN. Diretora de Comunicação do Instituto de Direito Digital do Vale do Paraíba – São Paulo (IDDV).
Kelwin Carvalho é Especialista em Inbound Marketing com foco em B2B. Experiência de mais de sete anos em Marketing Digital, Gestão de Produto, E-books Corporativos, Desenvolvimento de Conteúdo Educacional e Branding de profissionais e marcas.
Marcelo Alves da Silva é Analista de Sistemas.
Priscila Medina é Analista de Contratos. Atua na Área de Negociação Extrajudicial de Contratos de Telecomunicações. Graduanda em Direito na Faculdade CESUSC. Graduanda em Administração Pública pela Universidade do Estado de Santa Catarina (UDESC). Assistente Jurídica Júnior no Escritório Ferreira Domingues
Rodrigo da Costa Alves é Advogado.
Samila Ariana Alves Machado é Jornalista. Coordenadora do Comitê de Conteúdo da Associação Nacional dos Profissionais de Privacidade de Dados (ANPPD) e da Editora da Revista LGPD Magazine, publicada pela mesma associação. Bacharel em Direito, Pós-graduada em Direito Notarial de Registral pela LFG, cuja Educação complementar compreende cursos de certidões no Registro de Imóveis, Compliance para Cartórios (Prov. 88/2019), LGPD, Direito Imobiliário, Fashion Law e Propriedade Intelectual. Sócia do Instituto de Compliance Notarial e Registral (ICNR), onde desenvolve eventos, cursos e treinamentos para cartórios.
Vinicius Cheliga é Advogado e professor formado pela Universidade Estadual de Londrina (UEL), Engenheiro da Computação pela Universidade Norte do Paraná (Unopar), especialista em Direito Digital e proteção de Dados. Coautor de livro.
CAPÍTULO 1
O papel do DPO na orientação do projeto de adequação à LGPD
Tarcisio Teixeira¹
João Rodrigo de Morais Stinghen²
1. Introdução
Até meados do século XX, era comum a ideia de que a privacidade fosse uma preocupação de pessoas de mais projeção social ou patrimonial, que teriam mais chances de serem expostas³. Relacionada à ideia de sigilo, a privacidade protegia bancários, fiscais de comunicações (postal, telegráfico, telefônico).
O desenvolvimento da técnica, sobretudo na segunda metade do século XX, fez crescer exponencialmente os meios de coleta e processamento de informações. Na era dos equipamentos inteligentes, do streaming e das redes sociais, o uso massivo de dados pessoais é fenômeno irreversível.
Nesse contexto, desenvolveu-se a preocupação global com uma proteção de dados pessoais por uma mudança de paradigma: não mais se concebem os dados como propriedade, mas como emanação da dignidade da pessoa humana⁴.
Para que o tratamento de dados pessoais respeite a autodeterminação informativa, deve ocorrer com finalidades específicas, legitimação em bases legais e respeito aos direitos dos titulares.
A conformidade a este novo paradigma ocorre mediante a implementação de programas de compliance com orientação à proteção de dados. Neste trabalho, são expostos aspectos práticos da implementação da Lei Geral de Proteção de Dados Pessoais (LGPD), com enfoque no papel do encarregado de dados no projeto.
2. Passos iniciais: encarregado e mapeamento de riscos
Para implementar a LGPD é preciso: (i) mapear o tratamento de dados pessoais, definindo o ciclo de vida dos dados; (ii) mapear os riscos de impacto aos direitos dos titulares pela atividade de tratamento; e (iii) implementar mecanismos orientados à mitigação desses riscos, com medidas técnicas e administrativas.
2.1. Escolha e nomeação encarregado de dados
Desde o início do projeto – se possível, antes dele começar – é recomendável que haja a indicação do encarregado de dados, ou Data Protection Officer (DPO). Mesmo que esta etapa possa ser postergada, é muito vantajoso que o projeto de implementação seja desde o início acompanhado pelo DPO, que poderá monitorar seu progresso.
Além disso, com a indicação preliminar, o encarregado indicado a empresa já estará apto a recepcionar demandas dos titulares e das autoridades públicas, bem como orientar a empresa frente a incidentes de segurança e/ou violações de dados pessoais.
Embora a LGPD preveja a possibilidade de a Autoridade Nacional de Proteção de Dados (ANPD) eximir certos agentes de tratamento desse dever por meio de regulamentação (art. 41, § 3º, LGPD)⁵, sua indicação sempre é considerada uma boa prática.
Faculta-se à organização a escolha de um encarregado em três modalidades: (i) colaborador; (ii) pessoa natural externa (consultor); (iii) pessoa jurídica. A primeira coisa que se percebe é que o encarregado de dados não é um cargo de pouca importância. Por isso, o primeiro critério para escolher é que seja alguém comprometido com a função e capaz de exercê-la.
O encarregado de dados não deve apenas encaminhar as soluções técnicas para as demandas apresentadas, mas também prestar esclarecimentos ao demandante, seja ele titular de dados pessoais ou autoridade pública. Internamente, deve atuar orientando os colaboradores.
As atribuições gerais do DPO constam no art. 41, § 2º, da LGPD⁶, as quais são detalhadas nos tópicos a seguir:
Orientar a organização sobre o tratamento e a proteção de dados pessoais de acordo com as diretrizes estabelecidas na LGPD e nas normas internas;
Informar a organização acerca de atualizações normativas que impactem em suas obrigações quanto à LGPD;
Promover o intercâmbio de informações sobre a proteção de dados pessoais em grupos de estudos e outras empresas do ramo;
Aconselhar a organização quanto à necessidade de confeccionar um Relatório de Impacto à Proteção de Dados (RIPD), inclusive sobre eventual necessidade de contratar terceiro para conduzir esta atividade, em caso de conflito de interesses;
Aconselhar a organização quanto à necessidade de confeccionar um relatório de avaliação de legítimo interesse, também conhecido como Legitimate Interests Assessment (LIA);
Aconselhar a organização quanto à necessidade auditorias internas, inclusive sobre eventual necessidade de contratar auditoria externa;
Aconselhar a organização quanto às salvaguardas (técnicas ou administrativas) aplicáveis à atividade de tratamento, a fim de mitigar satisfatoriamente os riscos relacionados aos direitos dos titulares;
Aconselhar a organização quanto às práticas de segurança da informação adotadas para proteção dos dados pessoais tratados.
Auxiliar a organização a manter um registro atualizado das atividades de tratamento de dados pessoais sob a responsabilidade da organização;
Oferecer aconselhamento em caso de incidente de segurança, bem com auxiliar no processo de resposta ao incidente e comunicações devidas;
Avaliar os mecanismos de tratamento e proteção dos dados e propor políticas estratégias e métricas para garantir a conformidade;
Executar planos de ação para garantir a implantação e a aderências a conformidade;
Documentar todas as decisões tomadas pela empresa no tocante a proteção de dados, em observância ou não a suas orientações.
Sua missão é criar uma verdadeira cultura de privacidade, para que haja respeito aos direitos dos titulares em todas as situações e, além disso, sejam evitadas sanções e condenações cíveis.
Note-se que a indicação do encarregado de dados não faz a responsabilidade do controlador desaparecer, já que ele é o controlador dos dados. O encarregado apenas responde se tiver atuado com culpa e dolo, mesmo sendo pessoa jurídica, pois o sistema de responsabilidade jurídica da LGPD é de natureza subjetiva⁷.
2.2 Etapas preliminares
Inicialmente, recomenda-se o estabelecimento de um cronograma de implementação, para que as atividades não sejam abandonadas em meio ao peso das tarefas cotidianas. É interessante também estabelecer alguma forma de métrica⁸ para medir o progresso.
A maioria das empresas pode iniciar seu projeto com uma reunião de kick-off. Trata-se de uma simples reunião para explicar o projeto, apresentar o cronograma, distribuir funções e sanar dúvidas iniciais. Quem participa desta reunião, em regra, é a equipe de implementação, o DPO e membros da alta administração (termo que em compliance significa o corpo diretivo da instituição).
Em empresas de maior porte – ou de ramos cuja regulamentação exija – pode ser necessária a criação de um Comitê Gestor de Proteção de Dados Pessoais (CGPDP).
A estrutura pode variar de acordo com a empresa, mas é recomendável sempre garantir que o CGPDP seja formado por uma equipe multidisciplinar e multisetorial, com participação do DPO e representantes de setores mais críticos (tais como RH, tecnologia da informação).
Também é importante que deste comitê da qual faça parte algum membro da alta administração da empresa, para manter a autoridade de suas deliberações, bem como o acesso direto ao board.
O CGPDP é responsável pela avaliação dos mecanismos de tratamento e proteção dos dados existentes e pela proposição de ações voltadas ao seu aperfeiçoamento.
As suas ações são sustentadas por um grupo de trabalho técnico, que possuem as seguintes atribuições específicas, tais como: (i) propor e manter processo de atendimento aos pedidos dos titulares dos dados pessoais; (ii) atender e solucionar demandas externas e internas relacionadas à LGPD; (iii) mapear atividades de tratamento que envolvam dados pessoais; (iv) desenvolver, realizar e atualizar políticas internas envolvendo proteção de dados pessoais; (v) promover as ações necessárias à execução de projetos para a adequação; (vi) conscientizar, divulgar e treinar todos os colaboradores.
2.3 Análise de riscos e plano de ação
Antes de iniciar a análise de riscos convém destacar as etapas preliminares do projeto, que variam de acordo com o porte da instituição e a regulamentação aplicável. A maioria das empresas pode iniciar seu projeto com uma reunião de kick-off, mas em outras pode ser necessária a criação de um comitê gestor de privacidade.
Após as etapas iniciais, a implementação da LGPD segue seu curso com o mapeamento de riscos, também conhecido como gap analyslis. Essa etapa não necessariamente precisa ser realizada pelo DPO, mas é recomendável que ele participe.
O objetivo é indicar o grau de conformidade atual da organização à LGPD, discriminando os principais riscos no tratamento de dados pela desconformidade (gaps) e recomendando as adequações necessárias para mitigar tais riscos.
Essas recomendações são dispostas em plano de ação que prioriza a solução das desconformidades com maior potencial de gerar prejuízos. A depender do porte e do tipo de atividade desempenhada pela organização, essa priorização