LGPD - Abordagem para adequação

O que é a LGPD?

A Lei Geral de Proteção de Dados Pessoais – lei 13.709/18 - disciplina a forma como informações
são coletadas e tratadas, em meios digitais e físicos, tais como dados pessoais de cadastro ou
textos e fotos publicados em redes sociais.

Caso sejam detectadas irregularidades, as empresas podem sofrer sanções bem como multa
diária de 2% do faturamento até R$ 50 milhões por infração.

A quem se aplica?

A LGPD aplica-se a qualquer empresa, pública ou privada, independentemente do meio, do país

de sua sede ou do país onde estejam localizados os dados, desde que: (I) o tratamento seja
realizado em território nacional; (II) tenha por objetivo a oferta ou o fornecimento de bens ou
serviços no território nacional; (III) os dados pessoais, objeto do tratamento, tenham sido
coletados no território nacional.

PRAZO PARA ADEQUAÇÃO - 16/FEV/2020.

Qualquer empresa ou órgão público deve ser Conceitua dado pessoal, dado sensível,
responsabilizado em caso de violação à lei. dado pseudonimizado e dado anonimizado.

Órgãos públicos devem organizar dados de Tratamento de dados pessoais no

forma interoperáveis e estruturados. Brasil em meios digitais ou não.

PRINCIPAIS
Multa diária de até 2% do faturamento, OBRIGAÇÕES Empresa ou órgão público só poderá
com limite de R$ 50 milhões. fazê-lo se tiver consentimento do titular.

[VETADO] Cria-se a Autoridade Nacional de O titular pode retirar seu consentimento, pedir a
Proteção de Dados, vinculada ao Ministério da Justiça. exclusão ou a portabilidade de seus dados.

Nossa abordagem

Identificação e Inventário Avaliação de Maturidade Correção dos Gaps Validação de Conformidade Governança

1 2 3 4 5
Estabelecer inventário Identificar lacunas e Suportar a remediação das Monitorar a conformidade Monitorar KPIs, gerenciar
formal das operações de desenvolver um roteiro para lacunas e alcançar o com a LGPD processos e interfaces com
processamento de dados alcançar a conformidade à cumprimento da LGPD órgãos reguladores
e sistemas LGPD
Princípios de proteção que devem ser seguidos pelas empresas, com a sanção e promulgação da lei:

Gestão de consentimento (art. 7): Mais do que definir cláusulas, contratos e acordos que devem reger a
autorização, deve-se desenhar e implantar soluções tecnológicas e processos para organizar, armazenar
e rastrear a concessão exclusão daquele que deu o consentimento.

Direito ao acesso (art. 17 a 22): Os titulares dos dados terão uma série de direitos, entre eles o acesso a
todo processamento dos seus dados. Para tanto, deve-se implantar soluções para organizar a solicitação
e garantir a rastreabilidade em todas as etapas do processamento.

Capacidade de apagar dados pessoais (art. 17 a 22): As organizações devem ter a capacidade de apagar
ou segregar os dados quando não forem mais necessários. Devem ser implementadas soluções que
garantam esta eliminação em todas as bases de dados e sistemas, inclusive em backups.

Portabilidade dos dados (art. 18): A portabilidade dos dados está intimamente relacionada ao direito ao
acesso, mas é mais sensível ao negócio. Deve-se garantir desde a segurança da extração de dados dos
titulares até formas seguras de transmissão para a outra organização.

Proteção por design e por padrão (art. 46): Deve-se implementar as melhores práticas de proteção de
dados por omissão. Novos processos de desenvolvimento de projetos, aplicativos e sistemas devem
contemplar este novo paradigma na segurança das informações.

(Pseudo) Anonimação (vários artigos): O processo de anonimização exige processos e tecnologias de

mascaramento de dados, assim como uma nova postura na estruturação e segregação das bases de dados
dos vários sistemas das organizações.

Registros de atividades de processamento (art. 37): Todos os processamentos de dados pessoais devem
ser registrados, demandando a implantação de soluções de rastreabilidade de dados, ao mesmo tempo
que devem garantir a privacidade.

Conformidade continua e encarregado (art. 41 e 50): Deve-se adotar medidas de governança do

programa, com papéis, responsabilidades, políticas e gestão contínua clara, definidos e baseados em
risco (risk-based), e que sejam auditados por agente interno e externo.

Notificação de violação (art. 48): As organizações são obrigadas a identificar a extensão de uma violação
e a informar ao titular. É importante a criação de um processo de análise do incidente, da sua extensão e
a criação de um plano de gestão de crises.

Avaliação de impacto de privacidade de dados (art. 38): Deve-se realizar avaliações contínuas de todos
projetos e serviços que processam dados pessoais. Assim, deve-se adotar técnicas, metodologias e
soluções de avaliação e gestão de riscos estabelecida no mercado.

Transferências internacionais de dados (art. 33): Toda transferência internacional de dados deve
garantir um nível de proteção adequada. Desta forma, deve-se avaliar não só os aspectos jurídicos mas
também o nível de proteção do ambiente para o qual serão transferidos.

Mauricio Fiss Jefferson Kiyohara André Cilurzo

+55 11 9 9432 1459 +55 11 9 9175 5683 +55 11 9 7415 9354
mauricio.fiss@protiviti.com.br jefferson.kiyohara@protiviti.com.br andre.cilurzo@protiviti.com.br

www.protiviti.com.br | contato@protiviti.com.br
São Paulo +55 11 2198 4200 | Rio de Janeiro +55 21 2511 2651
ICTS Global Serviços de Consultoria em Gestão de Riscos Ltda. é uma sociedade de responsabilidade limitada brasileira e é firma membro brasileira da rede Protiviti, composta por empresas de
consultoria independentes e de propriedade local. Firmas membro são empresas autônomas, não são agentes de outras empresas da rede Protiviti e não têm autoridade para obrigar ou vincular
outras empresas da rede Protiviti.

©2018 ICTS. Todos os direitos reservados. O conteúdo deste documento é de propriedade intelectual exclusiva da ICTS Global e sua reprodução está condicionada à expressa citação da fonte.