LGPD na Prática: 13 passos para se

adequar à nova regulamentação

Como já é notório, recentes escândalos de vazamentos de dados deram vazão a uma

onda global de edição de normas, dentre elas a tão famigerada General Data Protection
Regulation (GDPR), aplicável a todos os cidadãos europeus.

Referidas regulamentações, sem sombra de dúvidas, contribuem para melhorar os

mecanismos de segurança e processamento de dados com o objetivo de impedir que
terceiros não autorizados tenham acesso a informações pessoais sem o consentimento
do usuário. E isso acaba por afetar as empresas de modo positivo, haja vista que faz com
que estas, obrigatoriamente, implementem uma cultura de respeito pela privacidade dos
dados pessoais de seus usuários, clientes e colaboradores.

O fenômeno chegou ao Brasil com a promulgação da Lei nº 13.709, de 14 de agosto de

2018, norma brasileira que dispõe sobre o uso, proteção, coleta e tratamento de dados
pessoais, a qual foi alterada no final do ano passado com a edição da Medida Provisória
nº 869, de 28 de dezembro, que ampliou o prazo legal para o dia 16 de agosto de 2020
para para que as empresas se ajustem às novas obrigações.
Não pretendo neste breve artigo avaliar a norma sob o ponto de vista jurídico, mas sim
esclarecer desde logo dois pontos que saltam aos olhos já num primeiro momento:

1. Que empresas são afetadas com a edição dessa nova regulamentação?

2. Quais são os direitos dos usuários?

Para responder a primeira pergunta, é necessário compreender que a norma: (i) define
como dado pessoal qualquer informação que identifique diretamente ou torne
identificável uma pessoa natural; e (ii) designa como tratamento qualquer operação de
coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão,
distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou
controle da informação, modificação, comunicação, transferência, difusão ou extração
deste dado.

Ou seja, se sua empresa de alguma forma trata dados pessoais de titulares

localizados em território nacional, diretamente ou através de terceiros, com o
objetivo de obter vantagem econômica, a lei lhe é aplicável. Por consequência, todas
as operações de tratamento de dados deverão ser devidamente registradas em um
Relatório de Impacto à Proteção de Dados Pessoais e um monitor e disseminador das
boas práticas, pessoa física ou jurídica, denominado Encarregado de Proteção de Dados
(DPO – Data Protection Officer) deverá ser nomeado para ser a interface da sua
organização com a Agência Nacional de Proteção de Dados (ANPD), em especial
naquelas empresas que tratem dados pessoais sensíveis, assim considerados aqueles
relacionados à origem racial ou étnica, convicção religiosa, opinião política, filiação a
sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à
saúde ou à vida sexual, dado genético ou biométrico. E não pára por aí: a empresa
deverá adotar medidas de segurança efetivas para evitar que os dados pessoais sejam
acessados indevidamente, destruídos, perdidos ou alterados e todo e qualquer incidente
deverá ser reportado de forma clara à ANPD e aos próprios usuários em prazo razoável
(seja lá o que isso signifique).

Quanto ao segundo questionamento, os usuários, por sua vez, têm direito de: (a)
acesso aos dados pessoais que porventura sejam tratados e, consequentemente,
garantia da retificação e atualização destes; (b) tratamento de suas informações
pessoais somente mediante expresso consentimento, sendo realizada de maneira
fácil e gratuita a exclusão dos dados do respectivo banco; e (c) portabilidade,
permitindo que referidos dados possam ser encaminhados a outras empresas que
também performem o seu tratamento.

Com base nas duas respostas acima, tem-se plena certeza de que a nova norma
impactará as operações de inúmeras empresas, nacionais e multinacionais, o que leva ao
terceiro e mais importante questionamento, cuja resposta é o objeto da presente série de
pequenos artigos:

3. O que as empresas devem fazer para se adequar à Lei Geral de Proteção de

Dados (LGPD) dentro do prazo legal?

Para responder a este terceiro questionamento, elenco a seguir 13 situações a serem

observadas por qualquer organização que esteja submetida à Lei Geral de Proteção de
Dados, com base no Framework Nymity*, as quais serão analisadas individualmente nos
próximos capítulos desta série:

I – MANTER UMA ESTRUTURA DE GOVERNANÇA DE DADOS: Certificar de

que existem na organização pessoas responsáveis pela privacidade e gestão dos dados e
procedimentos para reporte de incidentes;

II – PRESERVAR UM INVENTÁRIO DE DADOS PESSOAIS E MECANISMOS

DE TRANSFERÊNCIA DE DADOS: Atestar a existência e manutenção de um
inventário da localização do armazenamento de dados pessoais ou fluxo de dados, com
suas classes devidamente definidas;

III – IMPLEMENTAR UMA POLÍTICA DE PRIVACIDADE DE DADOS:

Redigir e executar normas relacionadas à privacidade de dados que atenda aos requisitos
legais e mitigue riscos operacionais e de danos a indivíduos;

IV – INCORPORAR A PRIVACIDADE DE DADOS À SUAS OPERAÇÕES:

Sustentar procedimentos operacionais consistentes com as normas internas e externas
relacionadas à privacidade de dados e aos objetivos de gerenciamento de riscos;

V – CUMPRIR UM CRONOGRAMA INTERNO DE TREINAMENTO E

COMUNICAÇÃO: Fornecer treinamento e comunicação contínuos para promover a
conformidade com as normas internas e externas relacionadas à privacidade de dados e
a mitigação de riscos operacionais;
VI – GERENCIAR OS RISCOS RELACIONADOS À SEGURANÇA DA
INFORMAÇÃO: Manter um Sistema de Segurança da Informação baseado nos
requisitos legais e nos riscos a que a organização está submetida;

VII – ADMINISTRAR RISCOS DE TERCEIROS: Atestar que as contratações com

terceiros e parceiros de negócio estão de acordo com as normas internas e externas de
privacidade de dados e dentro dos limites de tolerância ao risco estabelecidos
previamente;

VIII – PROVER AVISOS LEGAIS: Preparar avisos para usuários em consonância

com a política de privacidade de dados, os requisitos legais e análise prévia de riscos;

IX – RESPONDER TEMPESTIVAMENTE ÀS SOLICITAÇÕES E

RECLAMAÇÕES DE USUÁRIOS: Estabelecer procedimentos eficazes para interagir
com os indivíduos acerca de seus dados pessoais;

X – MONITORAR NOVAS PRÁTICAS OPERACIONAIS: Observar novas

práticas organizacionais para identificar eventuais novos processos ou mudanças nos
processos existentes que estejam relacionados ao tratamento de dados, e garantir a
implementação dos princípios de Privacidade por Design (Privacy by Design);

XI – CONDUZIR DE FORMA ESTRUTURADA A APURAÇÃO E CORREÇÃO

DE VIOLAÇÕES DE PRIVACIDADE: Manter um efetivo sistema de averiguação e
reparação de transgressões às normas e controles e incidentes relacionados à
privacidade de dados;

XII – MENSURAR A EFETIVIDADE DOS PROCESSOS E CONTROLES

INTERNOS: Verificar se as práticas operacionais estão em conformidade com a
política de privacidade de dados, medir e relatar a eficiência dos processos e controles
internos;

XIII – ACOMPANHAR A EDIÇÃO DE NOVAS REGULAMENTAÇÕES E AS

MELHORES PRÁTICAS DE MERCADO: Rastrear novos requisitos de
conformidade, expectativas e as melhores práticas de mercado.

Fique atento! Acompanhe periodicamente a publicação de novos capítulos da série no

website da CódigoConduta.com.
CAPÍTULO 2 – LGPD na Prática: 13 passos para se adequar à nova
regulamentação

No primeiro Capítulo da Série “LGPD na Prática” ficou claro que a grande maioria das
empresas será afetada, direta ou indiretamente, pela nova regulamentação brasileira em
virtude dos novos direitos dos usuários titulares de dados, o que fez surgir, por
conseguinte, inúmeras obrigações legais a serem respeitadas por essas organizações
dentro do prazo estabelecido, ou seja, até 15 de agosto de 2020.

À primeira vista, o prazo legal para adequação à norma pode até parecer elastecido,
contudo uma análise mais apurada não só dos encargos legais, mas, principalmente, da
realidade das organizações, mostra a necessidade de se iniciar imediatamente um
projeto estruturado para harmonização de suas operações às novas regras.

Por tais motivos, destaquei primeiramente a necessidade das empresas de manter

uma estrutura de governança de dados, ou seja, certificar de que existem na
organização pessoas responsáveis pela privacidade e gestão dos dados e procedimentos
para reporte de incidentes.

Para tanto, sugere-se sejam seguidos os seguintes passos:

1. Nomear um Encarregado de Proteção de Dados (DPO – Data Protection Officer),

responsável por supervisionar a estratégia e a implementação da proteção de dados para
garantir a conformidade com os requisitos não só da LGPD, mas de outras normas
internacionais as quais a empresa eventualmente esteja submetida, recebendo,
processando e solucionando as reclamações e comunicações dos titulares de dados e da
autoridade nacional e orientando colaboradores e terceiros a respeito das melhores
práticas no que tange ao tratamento e processamento de dados pessoais. Ou seja, sua
função será a de educar sobre os requisitos de conformidade, treinar todos os
envolvidos, realizar auditorias regulares de segurança, manter registros abrangentes de
todas as atividades e atuar como interface entre a organização, os titulares dos dados e a
Agência Nacional de Proteção de Dados (ANPD). A norma não inclui uma lista de
credenciais para o DPO, mas recomenda-se fortemente que seja um profissional, ou uma
empresa, que tenha conhecimento especializado de leis e práticas de proteção de dados,
que esteja alinhado com as operações , a infraestrutura e os sistemas de tecnologia da
informação da organização e, principalmente, que conheça os riscos envolvidos neste
particular, considerando as especificidades do negócio e da empresa. Idealmente, o DPO
deve ter habilidades de gerenciamento e capacidade de interagir com a equipe interna,
terceiros, titulares de dados e órgãos oficiais. É necessário que as informações do DPO
sejam públicas e fornecidas a todas as agências de supervisão regulatória.

2. Envolver a Alta Administração e a Gerência Sênior da organização, pois assim

como em um Programa de Integridade, a adequação à LGPD exige buy-in do corpo
diretivo e dos principais líderes, de modo que todos devem compreender os riscos
cibernéticos a que qualquer empresa está exposta, além de estarem alinhados às
estratégias e objetivos das normas internas relacionadas ao processamento e tratamento
de dados . Nesse sentido, recursos suficientes devem ser alocados para desenvolver,
implementar, manter e melhorar os respectivos controles internos e sistemas de
segurança da informação. A apresentação de reportes periódicos às partes interessadas
sobre o status do processo de adequação a LGPD, neste particular, é fundamental. Nesse
sentido, sugere-se que o tema seja debatido de forma recorrente em fóruns da alta
direção, tais como reuniões do Conselho de Administração ou Diretoria para que se
garanta que o órgãos máximos de gestão mantenham supervisão suficiente com linhas
de subordinação e prestação de contas clara, a fim de demonstrar conformidade com as
normas.

3. Atribuir responsabilidades pela privacidade dos dados em toda a organização. A

nomeação de um Encarregado de Dados não o transforma no único responsável pelo
tema dentro de uma corporação. É importante entender que existem departamentos que
colhem e tratam dados pessoais periodicamente, tais como recursos humanos e
marketing, para citar dois dos principais. Deste modo, os gestores dessas áreas devem
estar amplamente envolvidos com o cumprimento da política de privacidade de dados e
das obrigações legais advindas da LGPD. Recomenda-se, neste particular, que no
próprio job description de profissionais dessas e de outras áreas que tenham contato
direto com dados pessoais sejam incluídas obrigações relacionadas à observância das
normas internas e externas.

4. Implementar processos de comunicação regular entre todos os envolvidos, pois

uma das mudanças mais importantes que a LGPD trouxe é a obrigação das organizações
de relatar em tempo razoável toda violação de dados. Procedimentos bem definidos de
interação entre o Encarregado de Dados e os colaboradores, terceiros que eventualmente
prestem serviços de processamento ou tratamento de dados, titulares e autoridades
regulatórias devem ser sistematizados em um plano de comunicação de crise, tendo em
vista o exíguo tempo para apuração e remediação de tais situações e, principalmente, os
riscos reputacionais de vazamento da informação dessa , o que acarreta na imperiosa
necessidade de preparar declarações reativas para tratar o assunto, em especial no caso
de marcas e empresas conhecidas.

5. Realizar periódicas avaliações de riscos, de modo a criar uma conscientização

quanto às possíveis consequências de uma violação e a importância de aprimorar os
controles e sistemas de segurança cibernética, políticas e procedimentos de governança
de dados. É importante verificar se as medidas técnicas e organizacionais adotadas pela
empresa e por terceiros que eventualmente processem ou tratem dados para esta, são
suficientes para proteger a confidencialidade, integridade e disponibilidade dos dados.
Por isso, testes de penetração regulares de sistemas de TI e de restauração do acesso a
dados pessoais no caso de violações, além da revisões das melhores práticas e de novas
tecnologias para mitigar o impacto de potenciais problemas, são interessantes
ferramentas de auxílio ao aperfeiçoamento das estruturas de salvaguarda. E, se num
primeiro momento, as organizações possam vir a assumir que os únicos riscos que
enfrentam são de invasões ou roubo de dados, é importante ressaltar a responsabilização
das empresas no caso de destruição, perda ou divulgação acidental ou ilegal dos dados o
que vai muito além de simples ataques de hackers.

CAPÍTULO 3 – LGPD na Prática: 13 passos para se adequar à nova

regulamentação

Após verificar quais são as empresas afetadas pela Lei Geral de Proteção de Dados
(LGDP) e como manter uma estrutura de governança de dados dentro da organização,
temas que foram trabalhados nos dos dois primeiros capítulos dessa série, passo a
abordar como preservar um inventário de dados pessoais e mecanismos de transferência
de dados.

Neste particular, sugere-se que as seguintes etapas sejam observadas:

1. Manter um inventário de dados pessoais e das atividades de processamento.

Primeiramente, é necessário saber onde estão os dados pessoais. Para tanto, realiza-se
uma auditoria (discovery), na qual é identificado como são coletados e onde são
armazenados os dados (se em bancos estruturados ou não-estruturados), para onde estão
sendo enviados, quanto tempo são retidos e em que formatos, quem tem acesso e está
os utilizando, quem é o responsável e qual a sua relevância. Esta, certamente, será a
etapa mais trabalhosa e demorada de todo o processo de adequação da organização à
LGPD, pois devem ser considerados não só os servidores locais e de terceiros, mas
também as nuvens públicas e privadas, mídias sociais e sites de compartilhamento, além
de soluções híbridas que agregam todas as anteriores. Após este estágio, é provável que
a organização verifique que detém dados pessoais irrelevantes, obsoletos ou
redundantes, momento em que, sugere-se, sejam estes removidos de sua base, de modo
a reduzir custos com o armazenamento, melhorar a indexação, dar mais rapidez ao
acesso e ao tempo de recuperação na eventualidade de algum infortúnio e, sobretudo,
diminuir os riscos.

2. Classificar os dados pessoais por tipo, de acordo com o seu conteúdo,

preferencialmente utilizando, num primeiro momento, a categorização proposta pela
própria LGPD (dado pessoal, dado pessoal sensível, e dado anonimizado). Isso ajudará
a empresa a criar as políticas de armazenamento, garantir que os dados só sejam
efetivamente acessados e compartilhados por pessoas com as devidas permissões e
propor soluções de proteção, como criptografia e data loss prevention (DLP), e contra
vazamento, dando mais controle sobre as informações que circulam no ambiente da
organização e fora dele. Quando possível, a classificação de dados será inserida em
metadados de arquivos, permitindo que essa informação trafegue com eles, informando
automaticamente a aplicativos de terceiros e usuários como os dados devem ser
manipulados.

3. Reter registros dos mecanismos de transferência de dados entre servidores

localizados em diferentes países, nos casos de empresas que operam globalmente,
distribuem seu armazenamento em nuvem ou utilizam-se de tecnologias como
a blockchain, por exemplo, respeitando as previsões legais do Capítulo V da LGPD, em
especial seu artigo 33. Nesse sentido, a título de salvaguarda, recomenda-se sejam
revistos : (i) os contratos firmados entre organizações controladoras e processadoras de
dados de modo que as obrigações de ambas estejam em consonância com as normas
internacionais, ou seja, que sejam dadas garantias de que o tratamento dos dados e o
nível de proteção respeitarão o disposto na LGPD e em outras leis aplicáveis; (ii) no
caso de multinacionais, as regras corporativas globais gerais, tais como código de
conduta e outras políticas, e específicas, que regulamentem a transferência e
processamento de dados pessoais entre empresas do mesmo grupo econômico; (iii) os
termos de consentimento firmados pelos titulares dos dados. Recomenda-se que
empresas que trabalhem com um volume muito grande de dados e processos complexos
de tratamento e, principalmente, transferência, busquem certificações ou selos de modo
a demonstrar seu compromisso para com as principais normas internacionais.

CAPÍTULO 4 – LGPD na Prática: 13 passos para se adequar à nova

regulamentação

Nos três primeiros capítulos da Série “LGPD na Prática”, esclareci quais são as
empresas afetadas pela Lei Geral de Proteção de Dados (LGDP), como manter uma
estrutura de governança de dados dentro da organização e como preservar um inventário
de dados pessoais e mecanismos de transferência.

No quarto capítulo, irei discorrer acerca de como implementar uma política de

privacidade de dados e, mais precisamente, como integrar este tema ao seu Programa de
Integridade, redigindo e executando normas que atendam aos requisitos legais e
mitiguem riscos operacionais e de danos aos titulares dos dados. Nesta etapa, alguns
passos devem ser seguidos:

1. Elaborar ou atualizar a Política de Privacidade de Dados, utilizando linguagem

simples e de fácil compreensão, evitando linguagem técnica ou jurídica, considerando
seus públicos-alvo, quais sejam, os titulares dos dados e os colaboradores da
organização. Em resumo, a Política deve especificar: (i) quais são os dados pessoais
coletados pela organização, e quais as suas finalidades; (ii) se são processados dados
sensíveis; (iii) como as informações são utilizadas; (iv) qual o sistema de segurança para
proteção dos dados; (v) quanto tempo os dados são mantidos em seu banco; (vi) se as
informações fornecidas à organização são compartilhadas ou não com terceiros e, em
caso positivo, quem seriam essas outras partes; (vii) quem é o Data Protection
Officer (DPO), no caso daquelas organizações obrigadas a manter esta função; quem
tem acesso e quais processos utilizam-se de tais informações; (viii) de que forma é
coletado o consentimento do titular; (ix) como o titular pode ter acesso aos seus dados
pessoais para atualiza-los ou corrigi-los; (x) qual o processo para remoção dos dados de
sua base ou para promover sua portabilidade; (xi) se os websites e aplicações da
organização utilizam cookies; e (xii) se é processada a transferência internacional de
dados. No caso de organizações que já possuem uma Política de Privacidade de Dados
esta poderá somente ser atualizada, pois muitos aspectos mencionados já são tratados no
texto atual, contudo, é uma boa oportunidade para reescrevê-la completamente de modo
a melhorar sua comunicabilidade.
2. Redigir ou revisar o Código de Conduta, a Política de Segurança da Informação
e outras normas internas, de modo a criar uma maior conscientização entre os
colaboradores acerca de questões relacionadas ao processamento e tratamento de dados
e alinhar todas as normas com o mesmo discurso e as novas obrigações legais. Avaliar,
ainda, a necessidade de criar normas mais específicas diretamente ligadas às novas
regulamentações, tais como uma Política de Retenção de Dados.

3. Manter um cronograma de revisão periódica dos principais documentos de

integridade. Como o tema da governança de dados ainda é novo, a entrada em vigor da
LGPD e a prática diária, especialmente na interação entre as partes envolvidas
fatalmente trará a tona a necessidade de atualização das principais normas internas da
organização. Nesse sentido, sugere-se que um cronograma de revisão periódica dos
principais documentos (Código de Conduta, Políticas e Procedimentos) seja adotado,
envolvendo não só o Encarregado de Proteção de Dados, mas também o responsável
pela função compliance.

No próximo capítulo, irei discorrer sobre como incorporar uma política de privacidade
de dados às suas operações.

CAPÍTULO 5 – LGPD na Prática: 13 passos para se adequar à nova

regulamentação

Nos quatro primeiros capítulos da Série “LGPD na Prática” foi possível

identificar quais são as empresas afetadas pela Lei Geral de Proteção de Dados
(LGDP), como manter uma estrutura de governança de dados dentro da
organização, como preservar um inventário de dados pessoais e mecanismos de
transferência e como implementar uma política de privacidade de dados.

Continuando com a proposta de esclarecer como a nova regulamentação influenciará

nas rotinas da organização e a melhor forma de se preparar para cumprir com as novas
obrigações legais, passo a exemplificar em que rotinas será necessário incorporar a
privacidade de dados, sustentando procedimentos operacionais consistentes com as
normas internas e externas e aos objetivos de gerenciamento de riscos:
1. Mapear os processos internos e aprimorar os controles de acesso. Conforme visto
no capítulo anterior, deve-se revisitar ou implementar políticas e normas de conduta
relacionadas à coleta, tratamento e guarda de dados pessoais, contudo a redação de
documentos de nada adiantará se os processos e controles internos não respeitarem as
regras criadas internamente e as regulamentações tais como a LGPD ou a GPDR. O
mapeamento de todos os processos internos permitirá identificar com maior precisão
quais são as áreas mais sensíveis da organização e, consequentemente, onde estão os
maiores riscos, no que concerne à proteção de dados, seja de clientes, colaboradores,
usuários de sistemas de informação ou aplicações, etc, permitindo que sejam aplicadas
restrições ou implementadas melhorias nos controles de acesso a determinadas
informações, por exemplo.

2. Integrar as normas de coleta, tratamento e guarda de dados às rotinas internas,

como por exemplo:

2.1 No uso de cookies e mecanismos de rastreamento. No caso dos websites de

organizações que processam dados pessoais ou que possam ser combinados ou
selecionados para identificar determinada pessoa, será necessário revisar os termos de
consentimento, possibilitando ao usuário de maneira ativa aceitar ou recusar os vários
tipos de cookies antes de prévia configuração, informando de maneira clara por que,
como e com que finalidade os dados serão utilizados e permitindo que, a qualquer
momento, seja possível ter uma visão completa de todos os cookies ativos e que o
consentimento possa ser revogado. Também deve restar devidamente identificado quais
dados do usuário são compartilhados com terceiros em razão de aplicações que
porventura estejam incorporadas ao seu website. Sob o ponto de vista das obrigações
legais, as organizações devem registrar todos os consentimentos dos usuários,
armazenando-os de forma segura para que possam ser utilizados como eventual prova.
Já existem no mercado soluções que integram a política de cookies ao monitoramento
da atividade de cookies em websites, gerando inclusive relatórios mensais sobre o
processamento de dados.

2.2 Na retenção de dados. Conforme mencionado anteriormente, o inventário de dados

permitirá que a organização livre-se de dados obsoletos, imprecisos e que
eventualmente tenham sido processados sem o consentimento dos titulares evitando sua
exposição às penalidades previstas pela LGPD. No entanto, com relação aos dados que
permanecerão sendo processados é interessante que sejam implementados processos de
categorização destes dividindo-os em categorias quanto ao tempo de retenção (curta,
média ou longa, por exemplo). Importante salientar que o direito à revogação do
consentimento de processamento de dados, por parte de qualquer titular, não pode se
sobrepor ou contrariar outras legislações que versem sobre a obrigatoriedade de
manutenção de determinados registros.

2.3 Nas práticas de marketing e publicidade digital. A LGPD impactará no

engajamento e na relação entre as organizações e seus atuais, potenciais e ex-clientes. A
fase de prospecção de vendas, em especial os formulários online e offline e as práticas
de e-mail marketing deverão ser revisitados para estarem em conformidade com a nova
regulamentação. No caso de aquisição das famosas “listas” com dados pessoais, a
organização deverá obter junto ao terceiro coletor, de quem eventualmente as adquiriu,
as informações de consentimento adequadas. Até mesmo no mundo B2B, ações simples
de networking como a troca de cartões de visita e inclusão das respectivas informações
em banco de dados das organizações deverá passar por um processo de revisão e
readequação às normas. A coleta de dados comportamentais para potencializar a
segmentação de anúncios também passará, fatalmente, por uma reformulação e segundo
recente reportagem da Harvard Business Review*, a resposta está na publicidade
contextual, ou seja, anúncios serão exibidos não com base no perfil de um consumidor,
mas no conteúdo que está sendo visualizado em tempo real.

2.4 Na contratação de empregados e manutenção dos seus dados pessoais. Conforme

verificado anteriormente, a LGPD não diz respeito somente à garantia de conformidade
para com os dados de clientes e usuários de sistemas de informação de determinadas
organizações. Uma área que não deve ser menosprezada na aplicação da nova
regulamentação é o Departamento de Recursos Humanos, que coleta e processa dados
pessoais de colaboradores (efetivos e potenciais) e terceiros, seja para selecionar,
contratar, demitir, pagar, fornecer benefícios, inscrever o profissional em cadastros de
órgãos públicos, etc. Neste particular, inclusive, o conceito de consentimento para
tratamento e retenção dos dados se confunde com obrigações legais da organização para
execução do contrato de trabalho e para cumprir com obrigações legais de ordem
trabalhista e previdenciária, por exemplo, motivo pelo qual deve-se encontrar o
equilíbrio entre os direitos de privacidade dos colaboradores e a promoção de interesses
legítimos da organização no papel de empregadora. Ou seja, é fundamental que os
empregados não só tenham plena consciência de suas obrigações, como colaboradores
de organizações que processam dados, mas também de seus direitos, como titulares de
dados que são processados por seus empregadores.

2.5 Na segurança patrimonial, em especial no uso de câmeras de vigilância. Dado

pessoal é uma informação relacionada a pessoa natural identificada ou identificável,
portanto vai muito além do nome, endereço, número de telefone, data de nascimento,
contas bancárias, registros médicos, etc, de modo que imagens também devem ser
tratadas com o mesmo cuidado, mormente se considerado o potencial que câmeras de
vigilância conectadas à internet têm de ameaçar as liberdades individuais. Por essa
razão, para reduzir significativamente as chances de violação, sugere-se que a empresas
invistam em softwares e hardwares seguros para sua vigilância e conectividade de vídeo
e que transfiram esse tipo de preocupação a eventuais terceiros fornecedores, operadores
de sistemas de alarme, por exemplo.

No próximo capítulo, irei discorrer sobre como cumprir um cronograma interno de

treinamento e comunicação.

CAPÍTULO 6 – LGPD na Prática: 13 passos para se adequar à nova

regulamentação

Após identificar quais são as empresas afetadas pela Lei Geral de Proteção de Dados
(LGDP), como manter uma estrutura de governança de dados dentro da
organização, como preservar um inventário de dados pessoais e mecanismos de
transferência, como implementar uma política de privacidade de dados e como a nova
regulamentação influenciará nas rotinas, a Série “LGPD na Prática” desembarca no pilar
treinamento e comunicação, capítulo no qual passarei a discorrer sobre a melhor forma
de promover a conformidade com as normas internas e externas por meio da interação
com os colaboradores e parceiros de negócios.

Promover uma cultura de privacidade e preservação de dados pessoais é um dos

principais objetivos a serem atingidos no processo de adequação às novas regras, haja
vista que sem a conscientização de todos os envolvidos é quase impossível fazer com
que a organização cumpra com todas as obrigações legais. Conforme visto no início da
série, é preciso envolver todas as áreas da organização, independente da existência de
um Encarregado de Dados, estejam elas abrangidas ou não entre aquelas que ativamente
tratam ou processam dados pessoais. Para tanto, sugere-se seja cumprido um
cronograma interno de treinamento e comunicação e a melhor forma de fazê-lo passa
por algumas etapas:

1. Preparar materiais com mensagens claras. Tanto no que concerne ao treinamento

quanto à comunicação, é fundamental ir direto ao ponto. Nenhum colaborador ou
parceiro de negócio precisa ser bombardeado com jargões jurídicos ou análises técnico-
legislativas das regulamentações de proteção de dados. Deve-se certificar que a
mensagem seja entendida por todos, ou seja, que cada um compreenda sua
responsabilidade para com a privacidade e proteção de dados e como as novas regras
impactarão suas suas atividades rotineiras. Trazer exemplos práticos, relacionados ao
dia a dia da organização e voltados para as práticas de cada área mais sensível do
negócio facilita qualquer explanação quanto à importância do engajamento de todos
para que a organização cumpra com suas obrigações. Nesse sentido, sugere-se seja
adotado um treinamento geral e breve, com um overview da nova regulamentação e/ou
da política interna. Em paralelo, que seja adotada uma campanha de comunicação
regular, promovendo os aspectos positivos da norma, utilizando editais, e-mails,
videos, wallpapers, posts na intranet, etc.

2. Conceber uma abordagem específica para as áreas mais sensíveis. Para as

funções nas quais o processamento e tratamento de dados faz parte das rotinas diárias,
tais como nas áreas de marketing, RH e vendas, por exemplo, recomenda-se uma
abordagem específica e um pouco mais técnica, baseada em riscos previamente
identificados. Aconselha-se apresentar alguns cases de violações de dados, muito
comuns nos dias atuais, e o impacto destas nas respectivas organizações.

3. Incorporar questões relacionadas ao tratamento e processamento de dados à

integração de novos colaboradores. Além do treinamento específico, sugere-se que o
tema seja tratado desde a integração dos colaboradores, logo no início da relação
laboral, e assimilado pelo Programa de Compliance da organização.

4. Criar um cronograma para monitorar a regularidade dos treinamentos e das

comunicações. Tanto no que concerne ao treinamento quanto às comunicações, criar
um plano de ação é fundamental: Para tanto, as perguntas que devem ser respondidas
são as seguintes: (i)”que objetivos deverá ser atingido antes da entrada em vigor da nova
regulamentação?”; (ii) “quais são os diferentes públicos alvos e que mensagem passar a
cada um deles?”; (iii) “que meios que serão utilizados para treinar os colaboradores e
veicular as comunicações internas?”; e (iv) “em que período serão realizados os
treinamentos e qual a programação das mensagens a serem veiculadas tanto ao público
interno quanto ao externo?”; (v) “de quanto em quanto tempo serão realizados novos
treinamentos, de modo que o discurso permaneça vivo dentro da organização?”. A partir
das respostas deve-se criar um cronograma de atividades a ser gerenciado pelo
Encarregado de Proteção de Dados.
5. Medir a participação e a efetividade dos treinamentos. Elaborar relatórios
periódicos para determinar se os colaboradores e demais envolvidos em atividades
relacionadas ao tratamento e processamento de dados participaram dos respectivos
treinamentos. Sempre que possível, gerar evidências da efetividade dos treinamentos,
por exemplo, através de questionários a serem aplicados ao término das apresentações.
Ainda, sugere-se que seja implementado um sistema para avaliação do treinamento em
si, de modo a avaliar a se a mensagem foi passada de forma clara ou se há algo a
melhorar.

6. Fornecer treinamento qualificado para o Encarregado de Proteção de

Dados. Nas situações em que o Encarregado de Proteção de Dados for colaborador da
organização, sugere-se que este participe de treinamentos específicos de educação
profissional, com viés técnico e jurídico, de modo a aperfeiçoar o Programa com base
nas melhores práticas de mercado.

No próximo capítulo, irei discorrer sobre como gerenciar os riscos relacionados à

segurança da informação.

CAPÍTULO 7 – LGPD na Prática: 13 passos para se adequar à nova

regulamentação

A Série “LGPD na Prática” continua a todo vapor.

Se em capítulos anteriores foi possível apontar quais são as empresas afetadas pela Lei
Geral de Proteção de Dados (LGDP), qual a melhor forma para implementar e manter
uma estrutura de governança de dados, como preservar um inventário de dados pessoais
e mecanismos de transferência, de que maneira deve-se executar uma política de
privacidade, como a nova regulamentação influenciará nas rotinas e como cumprir um
cronograma interno de treinamento e comunicação, neste sétimo artigo irei explanar de
que modo deve-se gerenciar os riscos relacionados à segurança da informação, ou seja,
como manter um sistema baseado nos requisitos legais e nas principais ameaças as quais
a organização está submetida.

Quando tratei da manutenção de uma estrutura de governança de dados, logo no

Capítulo Dois da Série, um dos pontos abordados foi a necessidade de realizar
periódicas avaliações de riscos, visando criar uma cultura interna e aprimorar os
controles e sistemas de segurança. Contudo, o que se percebe é que são poucas as
organizações maduras o suficiente neste particular, o que dificulta o entendimento de
como se preparar para as adversidades.

Nesse sentido, cito algumas medidas a serem adotadas para aperfeiçoar ou sofisticar o
gerenciamento dos riscos:

1. Integrar o risco de privacidade de dados em avaliações de risco de segurança.

Identificar de maneira precisa todas as ameaças e vulnerabilidades relacionadas ao
negócio é um trabalho que está intimamente ligado à criação de um inventário de
dados, tratada em capítulo próprio, ao mapeamento de acessos e de dispositivos ligados
à rede de computadores de uma organização. Com a identificação de gaps e das áreas ou
dos processos mais sensíveis dentro da infraestrutura de segurança da informação será
possível estabelecer uma matriz de riscos específica, considerando impacto e
probabilidade das principais ameaças para, posteriormente, integrá-la a uma matriz
global.

2. Manter medidas técnicas de segurança visando evitar, neutralizar ou mitigar os

riscos identificados. Conforme dito anteriormente, testes de detecção e prevenção de
penetração, a serem realizados regularmente nos sistemas de TI, e de restauração do
acesso a dados pessoais, no caso de eventuais violações, além da adoção de
salvaguardas que evitem, neutralizem ou mitiguem riscos, considerando não só a
segurança cibernética (rede, sistemas, dados), mas também a segurança física,
relacionadas aos dispositivos, tudo adequado à complexidade das operações e a
infraestrutura da organização. Neste particular, caso uma falha/vulnerabilidade seja
descoberta, ela deve ser classificada e um plano de ação deve ser imediatamente
proposto.

3. Manter medidas para criptografar dados pessoais. A criptografia é uma função

que usa uma chave para codificar os dados para que apenas usuários com acesso a essa
chave possam ler as informações, fornecendo proteção contra o processamento não
autorizado ou ilegal de dados pessoais, contudo não pode ser usada em todo tipo de
operação. Além disso, deve-se ter em mente que a própria conversão de dados pessoais
de texto simples em texto cifrado representa um processamento, de modo que, ainda que
criptografados, estes continuarão sendo regidos pela LGPD. Ademais, o bom
gerenciamento das chaves de codificação é fundamental, do contrário o sistema de
segurança não será efetivo. Recomenda-se, no caso de adoção dessa proteção, que sejam
criadas diretrizes, como uma política ou procedimentos específicos, determinando que
tipo de dados devem ser criptografados e/ou protegidos com uma senha.
4. Restringir o acesso a dados pessoais. O acesso aos dados pessoais, conforme já
tratado no Capítulo 5, deve ser restrito àqueles colaboradores ou terceiros com
necessidade legítima. Para tanto, controles devem ser implementado, adicionando,
modificando ou até mesmo excluindo perfis de usuários, garantindo ainda que o acesso
seja autorizado por alguém com nível apropriado de autoridade para autentica-los,
segregando funções de modo a evitar que possam existir conflitos ou que se aumente o
risco de segurança ou de privacidade.

5. Manter medidas de segurança de recursos humanos. Às organizações que

processam dados pessoais sugere-se a adoção de salvaguardas que garantam que as
pessoas que acessam essas informações mantenham cargos de confiança ou, ao menos,
assinem termos de responsabilidade e confidencialidade específicos. Deve-se adotar,
também, procedimentos que assegurem que quando empregados deixam a organização
ou são transferidos, sejam tomadas medidas imediatas a fim de restringir o acesso a
sistemas de informação e/ou instalações que abriguem dados pessoais, de modo que
nenhum dado permaneça sob custódia de tais profissionais após sua transferência ou
rescisão de contrato.

6. Integrar a privacidade de dados nos planos de continuidade de negócios. A

adoção de um plano de continuidade de negócios e de recuperação de desastres (Data
Loss Prevention) é crucial para que a organização defina estratégias no caso de
ocorrência de quaisquer incidentes que afetem seus sistemas de informação e,
consequentemente, que possam acarretar na perda ou vazamento de dados ou
informações confidenciais. A virtualização de servidores físicos reduz
consideravelmente a dependência de hardware e acelera substancialmente a velocidade
de recuperação, quando necessária.

7. Manter uma certificação de segurança (por exemplo, ISO 27001). Recomenda-se

que as organizações submetam-se a auditorias específicas e avaliem postular por
certificações, tais como, por exemplo, a ISO 27001, de modo que se evidencie a
existência e efetividade dos controles correspondentes aos sistemas de segurança da
informação, proteção de dados, privacidade e governança.

No próximo capítulo, irei discorrer sobre como administrar riscos de terceiros.

CAPÍTULO 8 – LGPD na Prática: 13 passos para se adequar à nova
regulamentação

Quando me propus a falar sobre “LGPD na Prática”, não podia imaginar quão complexo
seria o tema.

Muito se fala sobre a nova regulamentação, principalmente sob o aspecto legal, mas a
dificuldade para transportar os direitos dos usuários e as obrigações das empresas para o
dia a dia das organizações é grande. É necessário sair do campo do dever ser, da norma
em si, para entender quais são os impactos da lei nos negócios.

Já identifiquei, em capítulos anteriores, quais são as empresas afetadas pela Lei Geral de
Proteção de Dados (LGDP), como implementar e preservar uma estrutura de
governança de dados, como fazer um inventário de dados pessoais e mecanismos de
transferência, o que é e como adotar uma política de privacidade, a relação entre a nova
regulamentação e as rotinas de várias áreas de uma organização, como treinar e
comunicar e de que maneira deve-se gerenciar os riscos relacionados à segurança da
informação.

Neste capítulo, o objetivo é apresentar a melhor maneira de administrar riscos de

terceiro, ou seja, como atestar que os parceiros de negócio de determinada
organização estejam alinhados com a nova regulamentação e com as normas internas de
privacidade de dados, dentro dos limites de tolerância ao risco. Para tanto, são sugeridas
algumas ações:

1. Fazer uma lista de todas as soluções de terceiro atualmente usadas pela empresa
relacionadas ao tratamento e processamento de dados, fase que deve ser completada
quando do inventário de dados, quando do mapeamento do ciclo de vida destes e dos
caminhos a serem percorridos entre servidores

2. Manter requisitos de privacidade e segurança de dados em contratos firmados

com terceiros (clientes, fornecedores, processadores de dados, empresas afiliadas).
Recomenda-se que sejam adotadas cláusulas-padrão que discorram sobre as
responsabilidades na coleta, tratamento, trânsito e eliminação de dados, além de dispor
sobre requisitos mínimos de segurança e confidencialidade e prever obrigações de
resposta, possivelmente em um SLA (Service Level Agreement), no caso de eventuais
violações ou vazamentos, além de especificar internamente procedimentos para executar
os contratos com as partes que processam informações pessoais. Neste caso,
recomenda-se, inclusive que sejam revisados contratos já firmados e em vigência. Além
disso, é fundamental que existam procedimentos bem definidos para notificação de
fornecedores e um prazo razoável para remediar falhas e responder a eventuais
demandas.

3. Realizar due diligence e análise de riscos em torno da privacidade de dados e

postura de segurança de fornecedores. Ao selecionar fornecedores, deve-se realizar
uma avaliação aprofundada da capacidade destes terceiros em cumprir com todas as
obrigações legais, em especial nos casos em que há transferência de dados para
servidores localizados em outras jurisdições. Sugere-se ainda, verificar se os processos
destes terceiros estão em consonância com as melhores práticas de proteção de dados.
As normas internas relacionadas à privacidade de dados e segurança da informação
devem ser apresentadas a estes fornecedores e os controles internos também devem
compreender os riscos de privacidade de dados advindos destas relações entre as partes.

4. Manter uma política para reger o uso de provedores em nuvem, de modo a

garantir a regularidade e legitimidade das transferências transfronteiriças de dados e
para evitar que sejam contratados ou utilizados tais serviços para armazenamento,
manipulação ou troca de comunicações relacionadas à empresa sem o conhecimento e
formal aprovação do Encarregado de Proteção de Dados (DPO), que deverá certificar a
segurança a privacidade e outros requisitos de tratamento. Para qualquer serviço em
nuvem que exija que os usuários concordem com os termos de serviço, orienta-se que as
cláusulas sejam revisadas pelo Departamento Jurídico e pelo DPO. Também deve restar
esclarecido na política que contas de serviços pessoais na nuvem não podem ser
utilizadas para armazenamento ou transferência de dados de propriedade da empresa.

No próximo capítulo, irei discorrer sobre como prover avisos legais.

CAPÍTULO 9 – LGPD na Prática: 13 passos para se adequar à nova

regulamentação

Em Capítulos anteriores da série “LGPD na Prática” foi possível identificar as empresas

afetadas pela Lei Geral de Proteção de Dados (LGDP), entender como implementar e
preservar uma estrutura de governança de dados, assimilar o processo de inventário de
dados pessoais e mecanismos de transferência, acompanhar os passos para adoção de
uma política de privacidade, compreender a relação entre a nova regulamentação e as
rotinas de várias áreas de uma organização, conceber um cronograma de treinamento e
comunicação, verificar como gerenciar os riscos relacionados à segurança da
informação e conhecer alguns passos para administrar riscos de terceiros.

No nono capítulo desta sequência, meu objetivo principal é discorrer brevemente sobre
algumas medidas para preparar avisos legais e certificar ao usuário o compromisso da
organização para com a privacidade de dados, em consonância com as políticas
corporativas, os requisitos normativos nacionais e internacionais e com uma análise
prévia de riscos.

Nesse sentido, alguns pontos de atenção devem ser observados:

1. Redigir avisos legais (disclaimers), relacionados à privacidade de dados, que

detalhem as práticas de tratamento de dados da organização, em linguagem clara e
acessível, adaptada ao público alvo, sem tecnicidades ou “juridiquês”, identificando
como e quais são as informações coletadas, como elas são processadas, retidas e a quem
serão divulgadas ou compartilhadas, além de especificar como o titular pode acessar
esses dados pessoais e solicitar a exclusão ou a portabilidade destes. Sugere-se que nos
avisos legais também seja identificado quem é o Encarregado de Proteção de Dados da
organização, quando esta possuir um, qual a finalidade e a base legal para
processamento dos dados, se estes serão transferidos para outros países e que
salvaguardas existem, e por que período os dados serão mantidos pela organização.

2. Disponibilizar os avisos legais em todas as ocasiões em que dados são coletados,

seja online, em páginas da web ou e-mails, via mensagens de texto, telefone, ou mesmo
através de formulários físicos. Nas comunicações de marketing e em cada local físico no
qual a organização possa vir a coletar dados pessoais, é importante que sejam fornecidas
informações simplificadas relacionadas às suas políticas e práticas de privacidade para o
público alvo.

3. Manter scripts para uso pelos colaboradores, em especial nas organizações que
coletam dados pessoais pelo telefone ou pessoalmente, de modo que os titulares dos
dados possam ser devidamente informados sobre a motivação e destinação das
informações pessoais coletadas.

4. Obter, quando possível, um selo de privacidade para aumentar o nível de

confiança dos usuários, emitido por organização especializada, e exibir em seus
websites e peças de comunicação, de modo a passar maior legitimidade ao público em
geral e certificar o compromisso com os princípios definidos nas normas nacionais e
internacionais na interação entre os servidores da web e o navegador de um visitante da
página. Para poder postular este tipo de certificação, a organização deve identificar
todas as tecnologias e funcionalidades embarcadas em seu website e que estão
relacionadas, por exemplo, ao registro de endereços IP, uso de cookies, web
anlytics, social plugins, formulários de contato ou newsletter, etc.

No próximo capítulo, irei discorrer sobre a importância de responder tempestivamente

às solicitações e reclamações de usuários.

CAPÍTULO 10 – LGPD na Prática: 13 passos para se adequar à nova

regulamentação

Nos capítulos anteriores da série “LGPD na Prática” foi possível fazer um overview de
quais empresas são impactadas pela nova regulamentação, como implementar e manter
uma estrutura de governança de dados, qual a melhor maneira de implementar um
processo de inventário de dados pessoais e mecanismos de transferência, como adotar
uma política de privacidade, entender como a nova lei afeta as rotinas da organização,
qual a forma mais eficaz de implantar um cronograma de treinamento e
comunicação, como mapear e gerenciar riscos de segurança da informação e de
terceiros e a aplicação prática dos avisos legais (“disclaimers“).

Nesta etapa, pretendo esclarecer como estabelecer procedimentos internos para

responder tempestivamente às solicitações e reclamações de usuários, considerando
alguns pontos fundamentais, quais sejam:

1. Desenhar um workflow para resolver eventuais reclamações de usuários ou

pedidos de informação. Toda organização deve manter procedimentos-padrão para: (i)
reconhecer reclamações relacionadas a questões de proteção de dados; (ii) lidar com
demandas simples e relatar a resolução ao DPO (Data Protection Officer); e (iii)
encaminhar imediatamente as demandas mais sensíveis para o responsável pela proteção
de dados. Recomenda-se que seja mantido um canal direto entre titular dos dados e o
DPO por meio do website da organização, seja através de formulário ou informando um
e-mail de contato. No caso de demandas complexas, que eventualmente requeiram
atualizações ou revisões dos sistemas de informação ou mesmo repactuação de
contratos firmados com terceiros sugere-se seja envolvida a alta direção ou um comitê
multidisciplinar. É necessário, ainda, estabelecer e cumprir prazos para responder aos
titulares de dados e mantê-los inteirados dos procedimentos para apuração ou solução
das suas reclamações ou pedidos de informação, de modo a resolver as demandas a fim
de se evitar que o usuário procure as autoridades competentes.

2. Manter procedimentos específicos para responder a pedidos de acesso,

atualização ou correção de dados pessoais, respeitando os requisitos legais e
observando os conteúdos e prazos de resposta. A resposta à solicitação de acesso,
atualização ou correção de dados pressupõe dois estágios: (i) primeiro verifica-se se os
dados que o titular busca estão realmente sendo processados; (ii) em seguida, conforme
disposto em lei, deve-se facilitar a consulta, informando de maneira clara a origem
destes dados, a finalidade específica do seu tratamento , as categorias, os destinatários, a
duração prevista do armazenamento e a identificação do controlador, com as devidas
informações de contato, fornecendo os dados por meio eletrônico ou sob forma
impressa no prazo máximo de 15 (quinze) dias. Em casos fundamentados, este prazo
poderá excepcionalmente ser excedido, desde que com aprovação da autoridade
nacional. O grande desafio, neste particular, é entender que qualquer colaborador da
organização pode receber uma solicitação válida de um titular de dados, seja aquele que
tem contato direto com um cliente ou prospect ou aquele que monitora as redes sociais.
Por essa razão, e considerando o prazo exíguo para resposta ao titular, todos da
organização devem ter bem entendido o processo para notificar o DPO ou área
responsável por responder às solicitações de acesso. Recomenda-se, neste particular, a
adoção de um procedimento específico e o treinamento desses colaboradores que podem
vir a receber a pedidos de acesso, atualização ou correção de dados pessoais. A
aplicação de um formulário padrão para que o usuário titular solicite o acesso,
atualização ou correção de dados pessoais facilitará substancialmente o processo interno
e agilizará a resposta. As melhores práticas recomendam que, sempre que possível, as
organizações forneçam acesso remoto a um sistema de auto-atendimento seguro que
proporcione ao indivíduo acesso direto às suas informações. No caso de pedidos de
acesso feitos por terceiros, a organização deve estar segura de que este tem o direito de
agir em nome do titular dos dados, portanto deve solicitar a apresentação de uma
autorização por escrito ou procuração e em não sendo atendido este pedido sugere-se
sejam divulgadas as informações diretamente ao titular. Quando os dados solicitados
estiverem sendo processados por um terceiro (operador) é importante garantir que o
acordo de nível de serviços preveja o cumprimento dos prazos no caso de solicitações
de acesso.
3. Zelar para que processos de exclusão de dados ou portabilidade sejam
respondidos correta e tempestivamente. Nos termos do Art. 18, VI, da LGPD, os
titulares de dados têm direito à eliminação destes, também conhecido como “direito de
ser esquecido”, quando estes não são mais necessários para o propósito para o qual foi
coletado ou processado originalmente, quando o indivíduo retira seu consentimento ou
quando não há interesse legítimo para continuar com o processamento. Quando a
organização compartilhou os dados com terceiros, processadores, por exemplo, é
necessário implementar um processo no qual qualquer demanda de exclusão seja
notificada a estes parceiros. Importante salientar que a exclusão dos dados também deve
ser realizada dos sistemas de backup, além dos sistemas ativos. No caso da
portabilidade, as organizações devem manter mecanismos para exportar e importar
dados, bem como processos (automatizados ou não) para responder a solicitações de
indivíduos neste particular, transmitindo diretamente os dados para o titular, fornecendo
acesso a uma ferramenta que permita a ele extrair estes dados ou transferindo
diretamente para outro controlador, quando tecnicamente viável. A transferência de
dados deve ser feita de maneira estruturada, ou seja, utilizando-se planilhas, por
exemplo, nas quais os dados são organizados em linhas e colunas, em um formato
comumente utilizado, de modo que possa ser lido e processado por outros controladores
por meio de aplicativos de softwares comuns. Ainda, deve-se pensar na
responsabilidade da organização caso seja aquela que receberá dados pessoais devido a
uma solicitação de dados. Nesse caso, ao decidir aceitar ou reter dados pessoais
provenientes de outro controlador a organização deve considerar se estes são relevantes
ou eventualmente se excedem os propósitos para os quais esta os processará.

4. Conservar um “FAQ” (respostas à perguntas frequentes) de fácil acesso pelos

usuários é altamente recomendável, seja para suportar a política de privacidade e os
avisos legais ou mesmo o treinamento dos colaboradores.

5. Avaliar as principais causas de reclamações relacionadas à privacidade de

dados, monitorar e relatar métricas. Recomenda-se fortemente que o DPO mantenha
um processo para investigar as principais causas que geram reclamações de usuários e
emitir recomendações para melhoria das práticas a fim de evitar queixas adicionais,
gerando relatórios gerenciais para as áreas respectivas, de modo a permitir que seja
medida a eficiência na resolução dos problemas e os respectivos custos e identificando
processos sensíveis, os quais acabam por expor a organização a riscos relacionados com
a proteção de dados.
No próximo capítulo, irei discorrer sobre como monitorar novas práticas operacionais
implementando princípios de Privacidade por Design (Privacy by Design).

CAPÍTULO 11 – LGPD na Prática: 13 passos para se adequar à nova

regulamentação

Os primeiros 10 capítulos da série “LGPD na Prática” permitiram ao leitor

entender quais empresas são impactadas pela nova regulamentação, qual a melhor
maneira para estruturar um sistema de governança de dados, como gerar um inventário
de dados pessoais e mecanismos de transferência, de que maneira implementar uma
política de privacidade, como as rotinas da organização são afetadas pela nova lei, de
que forma treinar e como se comunicar com colaboradores e demais stakeholders com
relação à temas de segurança e privacidade de dados, de que forma mapear e gerenciar
riscos próprios e de terceiros, como aplicar avisos legais (“disclaimers“) e de que modo
estabelecer procedimentos internos para responder tempestivamente às solicitações e
reclamações de usuários.

O presente capítulo será destinado a tratar do chamado “Privacy by Design“, ou seja,

como identificar nas práticas operacionais novos processos, ou processos já existentes,
que já estejam ou possam vir a estar relacionados à coleta, processamento e tratamento
de dados, de modo a adapta-los, à nova legislação, às regulamentações internacionais e
às normas de conduta e políticas internas, visando preservar o direito à privacidade do
usuário final. Em outras palavras, deve-se propugnar pela proteção de dados em todos
os estágios do negócio, ou seja, desde o design de um sistema, produto ou serviço até
todo o seu ciclo de vida, instaurando medidas técnicas e organizacionais que objetivem
prever riscos e eventos invasivos de privacidade antes que eles ocorram e tomando
medidas para evitar danos ao titular dos dados. Para tanto, passo a elencar alguns passos
a serem seguidos:

1. Manter diretrizes e modelos detalhando como conduzir avaliações de impacto de

privacidade ou avaliações de impacto de proteção de dados para garantir que os
riscos de proteção de dados são medidos e analisados periodicamente quando há um
novo projeto envolvendo o uso de dados pessoais, novos sistemas de segurança da
informação ou o compartilhamento de dados com terceiros, e também no caso de
projetos já em andamento e sistemas existentes. As avaliações de impacto de
privacidade devem ser conduzidas o mais cedo possível no ciclo de vida do projeto (daí
a expressão Privacy by Design), para que recomendações possam ser incorporadas
durante o seu andamento, identificando os riscos que a iniciativa planejada possa fazer
emergir e formas alternativas de processamento dos dados pessoais para mitigar essas
ameaças potenciais. Nas avaliações de impacto de privacidade devem estar envolvidos
o Data Protection Officer (DPO), um profissional de segurança da informação, o
processador dos dados e um consultor jurídico especialista em privacidade de dados.
A ICO (Information Commissioner’s Office), autoridade britânica criada para defender
os direitos de informação, disponibiliza um template bastante intuitivo que pode ser
usado como apoio para realização de uma avaliação de impacto de privacidade.

2. Estruturar a avaliação de impacto de privacidade de maneira lógica e

procedimentalizada. A avaliação de impacto de privacidade deve ser concebida de
forma coerente, de modo a permitir que todos da organização sigam o mesmo norte
quando da necessidade de realiza-la. Isso significa que deve ser procedimentalizada.
Nesse sentido, sugere-se sejam adotados ao menos os seguintes passos: (i) estudo do
contexto, com um overview do processo e do produto ou serviço, fase na qual são
identificados o controlador e o processador, quais serão os dados a serem processados e
armazenados e o ciclo de vida desses dados (preferencialmente com um diagrama de
fluxos e uma descrição detalhada do passo a passo); (ii) estudo dos princípios
fundamentais, com a identificação da justificativa para recolhimento dos dados, a
legalidade do tratamento, minimização de dados, qualidade, duração dos registros,
informações para os titulares, obtenção do consentimento do titular e possibilidade de
acessar seus dados diretamente, portabilidade, possibilidade de retificar e apagar os
dados, contestar ou restringir o processamento e transferência para outras jurisdições,
explicando e justificando as escolhas feitas e descrevendo os controles selecionados
para cumprir os requisitos legais; (iii) estudo dos riscos de segurança de dados, a ser
executado pelo responsável pelo projeto, avaliação de controles existentes ou planejados
sobre os dados processados, sobre a segurança do sistema no qual o processamento é
realizado e no gerenciamento do projeto, no caso de incidentes e violações e na relação
com terceiros; (iv) validação da avaliação de impacto, fase na qual os resultados das
fases anteriores são consolidados e apresentados, com o mapeamento dos riscos e os
respectivos planos de ação para mitiga-los. O framework proposto pela CNIL,
autoridade administrativa independente da França, disponível no link a seguir
(https://www.cnil.fr/en/privacy-impact-assessment-pia), também pode ser bastante útil
aos profissionais que terão a função de preparar o plano de avaliação de impacto dentro
das organizações.
3. Envolver terceiros como parte destes processos de avaliações de impacto de
privacidade ou de proteção de dados. Na avaliação de impacto de privacidade a
participação de partes interessadas como usuários de sistemas, clientes, colaboradores e
até mesmo os órgãos reguladores pode oferecer novas perspectivas sobre os riscos. Por
essa razão, buscar a opinião desses stakeholders pode ser útil durante o
desenvolvimento de um novo projeto, seja por meio de surveys ou mesmo da imersão
total para melhor entendimento de quais são e como se dará o processamento e
armazenamento dos dados.

4. Acompanhar e abordar os problemas de proteção de dados identificados

durante as avaliações. Uma avaliação de impacto de privacidade ou de proteção de
dados geralmente é iniciada com um processo de assessment, na qual perguntas são
feitas para identificar se a iniciativa proposta terá ou não impacto sobre os direitos e
liberdades dos indivíduos quanto à proteção de dados. As perguntas devem ser
projetadas de modo que sejam fornecidos indicadores sobre o grau, o escopo e a escala
dos problemas de privacidade. Auxilia nesta etapa a elaboração de uma planilha
compartilhada de Project Management, na qual são identificados os riscos, as
respectivas soluções, proteções e/ou processos alternativos para mitiga-los, os
responsáveis pela sua implementação e a pessoa responsável para endereçamento de
preocupações futuras relacionadas à essas ameaças na eventualidade de surgir quaisquer
problemas.

5. Elaborar relatórios para os reguladores e partes interessadas, quando

necessário. O relatório de avaliação de impacto de proteção de dados detalhará os riscos
identificados durante o processo e os priorizará de acordo com a gravidade, devendo
ainda esclarecer quais são os impactos sobre os direitos dos titulares dos dados caso os
riscos venham a ocorrer, além de recomendar a adoção de controles apropriados para
mitiga-los e reduzi-los a um nível aceitável. Estes relatórios poderão ser submetidos aos
reguladores ou a terceiros que tenham ou não participado do processo, para que todos
sejam informados acerca dos riscos de privacidade antes do lançamento de um novo
produto, sistema ou processo.

No próximo capítulo, irei discorrer sobre como conduzir de forma estruturada a

apuração e correção de violações de privacidade.