GUIA COMPLETO

LEI GERAL DE
PROTECÃO DE
DADOS
LGPD

MARIANA

DE

TOLEDO
 SOBRE A AUTORA
MARIANA DE TOLEDO
Empresária, advogada e palestrante. Sócia do Sousa
Cruz Advogados, escritório especializado em
consultoria empresarial e programas de governança
em privacidade e proteção de dados; Diretora de
Conteúdo e co-founder do Empreendedorismo
legal. Idealizadora e professora do curso LGPD 4.0.
Especialista em direito empresarial, governança em
privacidade e proteção de dados. Graduada em
Direito pela Faculdade IBMEC/MG; Pós Graduada
em Direito e Gestão Jurídica pela Faculdade
IBMEC/MG; Pós Graduanda em LegalTech,
Direito, Inovação e Startup pela Pontifícia
Universidade Católica de Minas Gerais. Possui
Curso de Extensão em Proteção de Dados Pessoais
e Privacidade pela Data Privacy BR,
em Arbitragem pela Faculdade
IBMEC/MG e atualização em
Direito, Tecnologia e Inovação
pelo Centro de Pesquisa em
Direito, Tecnologia e Inovação
(DTIBR).
 Eu acredito que este e-book será útil para muuuita gente!
Proteção de dados pessoais e a Lei Geral de Proteção de
Dados (“LGPD”) são assuntos que afetam todos nós e você,
aqui, vai descobrir como. Por um lado, este documento
pode servir para quem é empreendedor e está preocupado
com a aplicabilidade da LGPD em seu negócio.
Porém, ele definitivamente serve, principalmente, para
advogados e outros profissionais que vêem na área uma
grande oportunidade de atuação e que gostariam de
trabalhar com proteção de dados como consultores ou Data
Protection Officer (“DPO"), ou ainda que almejam crescer
dentro da empresa em que já trabalham.
Além disso, as estratégias que vou apresentar aqui servem
para uma infinidade de tipos de empreendimentos, tais
como saúde, marketing, customer success, educação,
advocacia, finanças, recursos humanos, contabilidade, e-
commerce, varejo, e muitos outros.
Vou ficar muito feliz se você terminar este e-book
conseguindo enxergar as múltiplas oportunidades que a
LGPD apresenta para o mercado e sabendo por onde
começar a criar um programa de conformidade.
 Você deve estar se perguntando: por que uma Lei Geral
sobre Proteção de Dados? E por que eu, como profissional,
deveria me preocupar com ela?
Para que você realmente absorva a importância desse tema,
eu preciso que esqueça de tudo o que já ouviu falar sobre
essa lei e que foque seu olhar, agora, no que eu vou te dizer
aqui.
Você consegue se lembrar de todos os locais em que
distribuiu dados no mês passado? Consegue pensar em um
só momento em que eles não estão sendo coletados?

Já te pediram CPF em farmácias, lojas ou restaurantes?

Você se preocupou em perguntar o porquê da
exigência daquele dado e qual era a finalidade da coleta?

E se eu te contar que algumas farmácias utilizam

esses dados para desenvolver um mapeamento das
suas doenças e vender para planos de saúde para que estes
possam aumentar o valor do seu plano?

E se eu te contar que algumas empresas verificam

qual é o modelo do seu computador para, a partir de
tal informação, exercer precificação dinâmica, colocando
preços maiores para pessoas que têm computadores de
marcas mais caras.
 E se eu te contar que foi criada uma indústria de
venda de mailing de clientes, e que seus dados
podem estar nessas listas?

E, por fim, se eu te contar que o wi-fi público grátis não

tem nada de grátis, que você troca internet por dados
pessoais utilizados para finalidades bem diversas à de te
entregar acesso à internet?
Com certeza você já foi perseguido por uma publicidade.
Onde você entra, está lá, aquela propaganda te seduzindo e
te perseguindo até que você de fato resolve ceder e comprar
determinado produto. Você gosta disso?
Dados pessoais são rastros da nossa personalidade e, além
de nos identificarem, podem manipular nossas escolhas e
afetar, inclusive, a democracia.
Não sei se você conhece, mas não posso deixar de falar do
caso do Facebook e Cambridge Analytica. Esse é um dos
principais casos, se não o principal, que demonstra como a
coleta de nossos dados pode levar à manipulação de nossas
escolhas, inclusive relacionadas ao nosso voto.
Ao mesmo tempo, dados pessoais são ativos de extrema
importância para as empresas. Eles são necessários porque
correspondem ao quanto a empresa sabe sobre aquele
consumidor, e quanto mais ela sabe, maior ela fica, mais ela
vende e mais lucrativa ela se torna.
É através da coleta de dados que a empresa proporciona ao
seu cliente uma melhor experiência e, hoje, as empresas não
vendem mais produtos ou serviços, e sim experiência.
E o cliente quer isso, ele gosta disso, porque ter serviços
personalizados nos poupam o nosso principal ativo:
TEMPO.
Só que ao mesmo tempo em que existem empresas sérias
que valorizam os dados, existem aquelas que querem fazer
com eles o que bem entenderem. E é aí que mora o perigo!
Além disso, estamos vivendo a “era dos vazamentos de
dados”. Toda semana nos deparamos com alguma notícia
que diz “empresa tem incidente de vazamento de dados”.
Se o cenário legislativo permanecesse da forma como
estava, sem uma legislação específica visando realmente à
proteção, e se de fato não parássemos para discutir o tema,
as pessoas iriam buscar meios de não mais distribuir seus
dados e, assim, o mercado perderia sua principal matéria
prima.
Nesse sentido, falar de proteção de dados pessoais é falar de
inovação, de empreendedorismo e de desenvolvimento
econômico.
E é nessa perspectiva que entra a LGPD, estabelecendo as
regras do jogo para que os controladores possam continuar
usando os dados como sua principal matéria, mas
priorizando a proteção dos direitos dos titulares, gerando
confiança, mais eficiência e transparência no tratamento de
dados.
 A Lei Geral de Proteção de Dados (Lei n.º 13.709/2018),
legislação brasileira que regula as atividades de tratamento
de dados pessoais, foi sancionada em agosto de 2018 e
entrou em vigor em 18 de setembro de 2020, sendo
oportuno destacar que, em princípio, a aplicação de suas
sanções somente poderá ocorrer a partir de 1º de agosto de
2021.

A LGPD possui uma função dupla:

1 - Fomentar o desenvolvimento econômico e

tecnológico;

2 - Proteger direitos e liberdades fundamentais.

A Lei se aplica a qualquer operação de tratamento de dados

pessoais realizada tanto por pessoa natural quanto por
pessoa jurídica (independente do porte da empresa); seja
realizada em território brasileiro, ou com dados coletados
no território nacional, ou ainda que tenha como titular
pessoa localizada em território nacional, tanto no ambiente
online quanto no offline¹.
Cumpre dizer que, por tratamento, entende-se todas as
ações que são feitas com os dados pessoais desde a sua
coleta até a sua exclusão, tais como: coleta, processamento,
arquivamento, eliminação, avaliação, acesso, transferência,
etc.
No entanto, a lei não se aplica ao tratamento dos seguintes
dados²:

1 - Realizado por pessoa natural para fins

exclusivamente particulares e não econômicos;

2 - Realizado para fins exclusivamente jornalístico e

artísticos ou acadêmicos;

3 - Realizado para fins exclusivos de segurança

pública; defesa nacional; segurança do Estado;
atividades de investigação e repressão de infrações
penais;

4 - Provenientes de fora do território nacional e que

não sejam objeto de comunicação, uso compartilhado
de dados com agentes de tratamento brasileiros ou
objeto de transferência internacional de dados com
outro país que não o de proveniência, desde que o
país de proveniência proporcione grau de proteção
de dados pessoais adequado ao previsto na Lei.
 Dados pessoais são todas as informações que identificam
ou possam identificar uma pessoa natural³.
Entenda por dados que identificam uma pessoa aqueles
convencionais, tais como: nome, CPF, identidade, título de
eleitor, e-mail, etc.
Quando falamos de dados que possam identificar, você
deve pensar em um quebra-cabeças, em que um dado
sozinho não é capaz de identificar uma pessoa, mas que, se
for agrupado com algum outro dado, pode sim identificá-la.

Por exemplo:

Provavelmente você logo pensou: Ivete Sangalo. Percebe

que mesmo eu não te dando o nome dela, nem identidade,
nem CPF, mas com apenas três dados você conseguiu
identificar sobre quem eu estou falando? Então esses dados
são considerados identificáveis e, logo, são considerados
dados pessoais.
 O conceito de dados pessoais também compreende dados
que possam sujeitar uma pessoa individualizada a
determinada atitude, ação, comportamento, sem que seja
necessário saber quem é aquela pessoa, mas de algum modo
interferir nas suas escolhas.
Dentro do gênero “dados pessoais”, temos a classe “dados
pessoais sensíveis”, que são dados que, devido a sua
sensibilidade natural, podem levar a atitudes
discriminatórias contra seus titulares e, por tal motivo,
precisam de uma atenção especial. São considerados dados
sensíveis: raça, etnia, opinião política, filiação a sindicatos,
orientação sexual, e os dados referentes à saúde ou à vida
sexual, dados biométricos ou genéticos.
Lado outro, tem-se os dados de criança e adolescente: os
quais também requerem uma atenção especial, sendo
necessário a coleta de consentimento específico do
responsável.
E, por fim, os dados anonimizados: que não permitem a
identificação do titular através da utilização de meio
técnicos razoáveis. Tais dados não são considerados dados
pessoais.
• Titular: Pessoa natural a quem se referem os dados objeto
de tratamento.
• Controlador: Pessoa física ou jurídica a quem competem as
decisões referentes ao tratamento de dados pessoais.
• Operador: pessoa física ou jurídica que realiza o
tratamento de dados pessoais em nome do controlador.
• Autoridade Nacional de Proteção de Dados (“ANPD”):
órgão da administração pública responsável por zelar,
implementar e fiscalizar o cumprimento da LGPD.
• Data Protection Officer ("DPO"), ou Encarregado de Dados:
pessoa indicada pelo controlador e operador para atuar
como canal de comunicação entre o controlador, os titulares
dos dados e a Autoridade Nacional de Proteção de Dados, ou
seja, ele será a interface da organização no tocante ao tema
de privacidade e proteção de dados. A Lei não faz qualquer
exigência sobre formação acadêmica, nem certificação para
ocupação desse cargo, sendo uma grande oportunidade de
carreira para aqueles que desejam atuar na área. Destaco que
é muito importante que aquele que deseje exercer esse
cargo conheça muito sobre a empresa, sobre a LGPD e a
legislação sobre o tema ao redor do mundo.
 Um dos pontos mais relevantes da lei são seus princípios.
Eles funcionam como base para todo o desenvolvimento
normativo e devem ser utilizados como parâmetro em
qualquer interpretação da norma. No direito, os princípios
dão a cara da legislação: eles que vão mostrar qual é a
intenção da norma. Logo, são a base fundante do
ordenamento jurídico e qualquer leitura da lei deve se dar
tendo por base os princípios por ela estabelecidos.
O acolhimento desses princípios como valores da empresa
fazem com que de fato surja a cultura de proteção de dados
e com isso o olhar saia da lei e passe para o usuário, criando
assim um novo estágio de sucesso e experiência do cliente.

Conforme o art. 6º da Lei, são eles:

• Finalidade: É essencial que o tratamento de dados pessoais
tenha uma finalidade específica que deve ser informada
para o titular e o tratamento daquele dado deve se restringir
a tal finalidade.
• Necessidade: A coleta daquele dado deve ser necessária
para a finalidade ao qual ele se destina. É uma questão de
minimização, sempre coletar o mínimo de dados
necessários, ou seja, coletar apenas aqueles efetivamente
imprescindíveis.
• Transparência: Assegurar aos titulares informações claras,
precisas e de fácil acesso a seus dados. Trata-se de criar uma
relação de confiança entre empresa e titular, em que este
sabe exatamente o que a organização fará com seus dados.
• Segurança: É a utilização de medidas técnicas para
garantir a segurança dos dados pessoais evitando situações
de incidentes de segurança.
• Prevenção: A necessidade de adoção de medidas para
prevenir a ocorrência de danos aos titulares dos dados
pessoais.
• Adequação: O tratamento dos dados pessoais tem que ser
compatível com a finalidade para a qual eles foram
coletados.
• Livre Acesso: Permitir de forma simples e gratuita o
acesso dos titulares aos dados coletados, bem como a todas
as informações sobre o tratamento de tais dados.
• Qualidade dos dados: Garantir aos titulares a exatidão dos
dados, mantendo esses sempre atualizados e verídicos.
• Não discriminação: Garantir que o tratamento dos dados
pessoais não terá finalidade discriminatória, abusiva ou
ilícita.
• Prestação de contas: Buscar todos os meios disponíveis
para demonstrar a adoção de medidas para mitigação dos
riscos e cumprimento das normas de privacidade e proteção
de dados.
 A LGPD não tem como objetivo acabar com nenhum
modelo de negócio. Muito pelo contrário: ela visa a
desenvolver o empreendedorismo e a inovação através de
uma autodeterminação informada do titular em relação ao
que de fato é feito com seus dados.
Nesse sentido, a lei estabelece 10 (dez) hipóteses que
autorizam o tratamento dos dados pessoais. Ou seja, toda
vez que houver o tratamento, este deve estar legitimado e
pautado em uma dessas dez hipóteses denominadas BASES
LEGAIS.
Para cada finalidade de tratamento dos dados o
controlador deverá indicar uma base legal como
fundamento que legitima tal tratamento.
Cumpre destacar que, em regra, uma base legal não se
sobrepõe à outra.

Conforme o art. 7º da Lei, são elas:

• Consentimento: É a coleta de permissão do titular de
forma informada, livre, inequívoca e específica, para a
coleta de determinados dados pessoais. O conceito de
consentimento trazido pela lei ultrapassa aquele modelo
atualmente utilizado de “li e concordo”, de cashbox já
marcados e “coletamos dados para melhorar sua
experiência”. As empresas terão que fazer mais, ser mais
eficientes e transparentes ao buscar o consentimento,
utilizar da criatividade para gerar eficiência e estar em
conformidade com a legislação.
• Obrigação legal : É quando o tratamento de dados pessoais
é necessário para o cumprimento de uma obrigação legal ou
regulatória pelo controlador, ou seja, existe uma lei ou
regulação que obriga o controlador a tratar aquele dado
pessoal.
• Processo Judicial ou exercício regular do direito: A lei
autoriza o tratamento de dados pessoais para atuação em
processos judiciais, administrativos ou arbitrais.
• Execução de contrato: É permitido o tratamento de dados
pessoais para garantir a eficácia de um contrato, ou seja,
para cumprir uma obrigação oriunda de um contrato, do
qual seja parte o titular, a pedido do titular dos dados. Ex.:
aplicativo de entrega de alimentos - para ele entregar o seu
pedido, precisa compartilhar alguns dados seus com o
restaurante, para que esse possa preparar o que foi
solicitado, bem como tem que compartilhar com o
entregador, para que este de fato possa te entregar aquilo
que você contratou.
• Pesquisa: Dados pessoais poderão ser tratados para
realização de pesquisas, mas somente por órgãos de
pesquisa. A lei determina ainda que, nesses casos, a
anonimização deverá ser utilizada sempre que possível.
• Políticas Públicas: Base legal destinada à administração
pública que legitima o tratamento de dados pessoais para
execução de políticas públicas previstas em leis e
regulamentos ou respaldadas em contratos, convênios ou
instrumentos congêneres.
• Proteção da vida: É legítimo o tratamento de dados
pessoais quando identificado estado de perigo ou risco de
vida do titular ou de terceiro para que seja prestado socorro.
• Tutela da saúde: Legitima o tratamento de dados pessoais
essenciais para prestação de serviços ligados à saúde em
procedimentos realizados por profissionais de saúde,
serviços de saúde ou autoridade sanitária.
• Proteção ao crédito: Permite o tratamento de dados
visando à proteção do crédito, ou seja, com o objetivo de
diminuir o risco de inadimplência em casos de concessão de
crédito por instituições financeiras. Vale destacar que essa
base legal é exclusiva da legislação brasileira, devendo ser
aplicada com cautela devido à falta de parâmetro jurídico
internacional equivalente.
• Legítimo interesse: Poderá ocorrer o tratamento dos
dados pessoais para atender interesses legítimos do
controlador ou de terceiros. Por interesse legítimo entende-
se apoio à promoção das atividades do controlador.
Vale destacar que o legítimo interesse não pode ser
considerado uma carta coringa para coleta de dados, ele
deve ser usado somente para tratar os dados pessoais
estritamente necessários para a finalidade pretendida, bem
como tem que ser realizada a validação de sua utilização
através do LegitimateInterests Assessment (LIA).

O LIA possui 4 fases, sendo elas:

1 - Teste de legitimidade do interesse: constatar a existência

de uma situação concreta, especificar o seu propósito com
aquela coleta e certificar se o interesse é de fato legítimo.

2 - Teste de necessidade: verificar se não há outra base legal

que você possa se valer, bem como se aquele tipo de
tratamento desejado é necessário para atingir a finalidade
almejada.

3 - Teste de balanceamento: verificar se existe uma legítima

expectativa do titular do dado acerca da finalidade do seu
tratamento; verificar se não há a possibilidade de um
impacto negativo, bem como se aquele tratamento não viola
de alguma forma direitos e liberdades fundamentais do
titular que se sobreponham ao interesse legítimo ali tratado.

4 - Salvaguardas: Devem ser estabelecidos mecanismos de

oposição ao titular para que ele possa se opor àquele
tratamento. Devem ser estabelecidos, também, mecanismos
para mitigação dos riscos, bem como deve haver o máximo
de transparência possível para o titular.
• Quando se trata de dados sensíveis as bases legais se
restringem, podendo, conforme o art. 11, ser apenas:
consentimento - obrigação legal - pesquisa - políticas
púbicas - exercício regular do direito em processo -
proteção da vida - tutela da saúde - garantia de prevenção
àfraude e segurança do titular.

Além disso, para a categoria geral de dados pessoais, a

LGPD estabeleceu o mesmo peso, logo, nenhuma base legal
tem sobreposição à outra, sendo necessário verificar qual a
base legal mais adequada para aquela finalidade de
tratamento.
Já para os dados sensíveis, a Lei deu mais importância ao
consentimento, sendo esta a base legal “mãe”, estabelecendo
que a aplicação das demais deve se dar de forma subsidiária,
fundamentando um tratamento em caráter excepcional,
somente para os casos em que a coleta dos dados for
indispensável à utilização daquela base legal.
Como definir qual a base legal adequada? Você precisa
verificar 3 (três) coisas:

1 - Origem do dado;

2 - Categoria do dado (geral, sensível, de criança ou

adolescente);

3 - Finalidade para a qual o dado pessoal será usado.

 Os titulares de dados pessoais poderão, a qualquer tempo,
solicitar do controlador, mediante requisição:

1. Explicação: confirmação da existência de tratamento dos

seus dados pessoais;

2. Acesso: acesso aos dados pessoais, resguardados os

segredos comerciais do controlador;

3. Retificação: correção de dados incompletos, inexatos ou

desatualizados;

4. Cancelamento: engloba a situação em que a base legal

utilizada para o tratamento foi o consentimento e que o
titular deseja revogar tal consentimento, e a hipótese em
que o titular solicita anonimização, bloqueio ou eliminação
de dados;

5. Portabilidade: solicitação para que o controlador transfira

os dados para um novo controlador;

6. Revisão de decisões automatizadas: revisão de processos

totalmente automatizados;

7. Oposição: mecanismo utilizado quando a base legal

utilizada não foi o consentimento. Consiste no titular se
opor ao tratamento daqueles dados.
 A resposta para essa pergunta com certeza não é mudar
política de privacidade e termos de uso do site.
Colocar uma organização em conformidade com a LGPD é
criar uma cultura de proteção de dados através de um
programa efetivo de Governança em Proteção de Dados.
Este programa terá como objetivo estabelecer a confiança
entre organização e titular de dados, demonstrar
comprometimento, transparência e elevar o nível de
satisfação do cliente proporcionando a esse, de fato, uma
melhor experiência. Mas por onde começar?
O ideal é estabelecer um projeto de conformidade em
proteção de dados. Esse projeto deverá ter, no mínimo, seis
fases, podendo haver adaptações pelo porte da organização
e suas especificidades.
Vale destacar que esse projeto não é uma receita de bolo, e
que cada empresa terá um programa diferente, pois ele deve
ser pensado nas necessidades da empresa, seus desafios e
propósitos.

Fase 1 Fase 2 Fase 3 Fase 4 Fase 5 Fase 6

Consientização Mapeamento Gap Planejamento Implementação Monitoramento

Analysys
As fases do projeto consistem em:

Mas antes de adentrar de fato nas fases do projeto, é

necessário verificar o porte da sua empresa para detectar se
será necessário criar um comitê interno de privacidade.
Quando se trata de empresa pequena, com poucos
funcionários, o meu entendimento é o de que a criação
desse comitê é desnecessária, sendo importante apenas
indicar quem será o DPO.
Caso o porte da organização justifique a criação do comitê,
indico que esse seja multidisciplinar, com representação de
todas as áreas da empresa para que o comitê possa ter uma
visão global da organização e de seus processos ligados a
dados pessoais. Aí sim, após definir o seu time, você
adentrará nas etapas do projeto de conformidade.

Fase 1 | Conscientização:
O objetivo dessa fase é mostrar a importância da lei e sua
aplicabilidade prática, tanto na vida dos colaboradores,
como consumidores e titulares de dados, quanto na vida da
empresa, sua rotina e seus processos. Realizar treinamentos
e workshops, para todas as áreas da empresa e todos os
funcionários, desde a diretoria até o chão de fábrica. Para
disseminar uma cultura, TODOS - sem exceção - devem
entender a sua importância. E a minha dica é: conquiste
pelo amor, mostre que a LGPD pode ser bem mais que uma
obrigação legal, mas sim uma oportunidade para toda a
empresa.
Crie muito bem sua estratégia de comunicação, encontre a
melhor forma de persuasão e de conexão com os
colaboradores.
Veja o que de fato desperta a atenção deles e em quais temas
a curiosidade e as dúvidas mais apareceram, e lembre-se de
sempre estimular a participação.
Caso você esteja atuando em consultoria externa, nessa fase
você também deverá gastar todo tempo que for necessário
para conhecer a organização. Então, não se restrinja ao
mínimo de ler um e-mail com apresentação institucional.
Converse com os funcionários, acompanhe o dia-a-dia da
empresa, entenda seu modelo de negócio, seus desafios,
propósito, missão, visão e valores.

Fase 2 | Mapeamento:
O objetivo dessa fase é mapear os dados para que seja
possível identificar as principais exposições e contingências
da empresa.
Nessa fase a empresa deverá descrever todo o seu fluxo de
dados, respondendo perguntas como:

- De onde vem o dado, ou seja, qual é a sua fonte?

- Qual a categoria daquele dado?
- Qual a finalidade de tratamento daquele dado?
- Ele é compartilhado com alguém? Se sim, quem? Por quê?
- Qual o tempo de vida daquele dado, ou seja, qual o
período de retenção?
- Qual a base legal para tratamento daquele dado?
- Qual a categoria do dado (comum, sensível, de criança ou
adolescente)?
- Onde o dado fica armazenado?
- Quais colaboradores têm acesso àquele dado? Por que eles
possuem acesso?

Dentre outras perguntas que a empresa pode estabelecer.

Nessa fase é extremamente importante o contato e a
entrevista com todos os funcionários, para que o mapa fique
o mais real e fidedigno possível.

Fase 3 | Gap Analysis:

O objetivo dessa fase é identificar os principais pontos de
desconformidade com a legislação, através do mapeamento
de dados feito na fase anterior, e apontar as soluções para
mitigar ou minimizar os riscos. Uma grande dica nessa fase
é: seja criativo no momento de indicar as soluções, pense
em soluções que não inviabilizem o modelo de negócio, mas
que possibilitem à empresa sair de uma situação de
desconformidade para uma de legalidade.
Nessa fase você pode identificar a necessidade de fazer um
relatório de impacto à proteção de dados pessoais, que tem a
finalidade de mensurar os riscos existentes no tratamento de
dados, e indicar as providências tomadas pelo controlador,
as salvaguardas e mecanismos para mitigação dos riscos.
Esse relatório está previsto no art. 384 da lei e pode ser
solicitado pela ANPD. A princípio, pela leitura literal do
artigo, entende-se que este não é obrigatório. Contudo, a
Autoridade Nacional de Proteção de Dados deverá editar
regulamentos e procedimentos sobre a produção desse
relatório.

De acordo com a LGPD, deve constar no relatório, no

mínimo:

1- descrição dos tipos de dados coletados;

2 - a metodologia utilizada para a coleta de dados;

3 - as medidas de segurança da informação adotada (ou das
informações adotadas);

4- análise do controlador com relação às medidas,

salvaguardas e mecanismos de mitigação de risco adotados.

Fase 4 | Planejamento:
O objetivo dessa fase é planejar a forma de execução das
soluções propostas na fase anterior, criando um plano de
ação e um cronograma de execução, priorizando as áreas
que contêm um maior risco. Nessa fase é importante fazer o
relatório do projeto de conformidade, detalhando as fases
anteriores e os próximos passos para implementação do
programa de governança em proteção de dados.

Fase 5 | Implementação:
O objetivo dessa fase é colocar em prática o plano de ação
estabelecido na fase anterior, incluindo a elaboração de
todos os documentos que se fizerem necessários. Trata-se
de fase de extrema relevância pois é neste momento em que
formatado o código de conduta em proteção de dados, os
aditivos contratuais, os novos modelos de cláusulas
contratuais, nova política de privacidade, restrição de acesso
de funcionários a determinados dados, cartilhas de boas
práticas, revisão de processos automatizados, revisão na
coleta de lead no setor de marketing, dentre outras várias
medidas que deverão ser colocadas em prática.
 Fase 6 | Monitoramento:
Essa fase tem o objetivo de manter um monitoramento
constante do cumprimento das diretrizes estabelecidas no
programa de governança em proteção de dados, fazer as
atualizações que se fizerem necessárias e garantir que a
organização se mantenha em conformidade.
Aqueles que não quiserem fazer só o mínimo podem se
utilizar do projeto de conformidade como um meio de
rever seu modelo de negócio, vislumbrar novas
oportunidades de mercado, inovar, gerar valor para o seu
cliente, além de poder criar uma campanha de marketing
voltada para os diferenciais que a organização oferece por
estar em conformidade.
Um programa efetivo de governança em proteção de
dados não garante que sua empresa não terá um incidente
de segurança, pois é impossível garantir 100% que nada irá
ocorrer. Contudo, se o programa for efetivo e a organização
tiver tomado todas as providências, o gerenciamento de
crise será muito mais eficaz, pois já estará estabelecido
dentro do programa.
Além disso, a existência do programa e a presença de uma
cultura de proteção de dados é levada em consideração pela
ANPD no momento da aplicação de uma eventual sanção.
Desta forma, não é que o programa irá evitar a ocorrência
de um incidente, mas o risco da organização passa a ser
controlado, gerando maior eficiência para a empresa.
 Caso ocorra um incidente ligado a dados pessoais é
necessário que o controlador tome medidas para minimizar
os danos. Além disso, é importante que seja feito o Data
Breach Notification, que consiste em informar tanto à
Autoridade Nacional de Proteção de Dados, quanto aos
titulares, o ocorrido, os possíveis danos e as providências
que estão sendo tomadas para mitigar tais danos.

Neste documento deverão ser informados:

1 - a descrição da natureza dos dados pessoais afetados;

2 - as informações sobre os titulares envolvidos
3 - a indicação das medidas técnicas e de segurança
utilizadas para a proteção dos dados, observados os segredos
comercial e industrial;
4 - os riscos relacionados ao incidente;
5 - os motivos da demora, no caso de a comunicação não ter
sido imediata;
6 - as medidas que foram ou que serão adotadas para
reverter ou mitigar os efeitos do prejuízo.

Você pode notificar o titular através do meio mais fácil de

contato e deve ser o mais transparente possível, além de
demonstrar a ele que todas as providências estão sendo
tomadas. Isso gera confiança, mostra que você está de fato
preocupado em solucionar o problema e não escondê-lo.
Isso é cultura de proteção de dados!
 Entender e introduzir na organização o conceito de privacy
by design é de extrema importância como mecanismo de
minimização de riscos e prevenção da ocorrência de danos.
Privacy By Design nada mais é que uma metodologia na
qual a proteção de dados pessoais é pensada desde a
concepção do desenvolvimento dos produtos, serviços,
sistemas, projetos, ou qualquer outra solução que envolva
tratamento de dados pessoais.
O objetivo é prever situações que possam comprometer a
privacidade e proteção de dados, com o objetivo de
minimizar os riscos, e adotar uma abordagem focada na
experiência do usuário e em sua segurança.
É uma ação totalmente preventiva e que gera muita
eficiência para a empresa pois evita a ocorrência de
incidentes desde a concepção, gerando vantagem
competitiva para a empresa perante o mercado e
aumentando a relação de confiança com o titular.
Nesse contexto, devem ser levadas em consideração a
segurança da informação, com utilização de mecanismos de
segurança tais como a criptografia, a minimização na coleta
de dados, a utilização de anonimização sempre que possível,
as políticas de descarte do dado (tempo de vida útil), os
direitos e liberdades dos titulares, o momento da coleta, a
transparência para com o usuário, e o foco no titular, na sua
privacidade e proteção de seus dados.
• O descumprimento das estipulações legais levará à
aplicação das seguintes sanções:

1 - advertência, com indicação de prazo para adoção de

medidas corretivas;
2 - multa simples, de até 2% (dois por cento) do faturamento
da pessoa jurídica de direito privado, grupo ou
conglomerado no Brasil no seu último exercício, excluídos
os tributos, limitada, no total, a R$ 50.000.000,00
(cinquenta milhões de reais) por infração;
3 - multa diária, observado o limite total de R$
50.000.000,00 (cinquenta milhões de reais);
4 - publicização da infração após devidamente apurada e
confirmada a sua ocorrência;
5 - bloqueio dos dados pessoais a que se refere a infração até
a sua regularização;
6 - eliminação dos dados pessoais a que se refere a infração;

• E, para aplicação das sanções mencionadas acima, será

levado em conta:

1 - a gravidade e a natureza das infrações e dos direitos

pessoais afetados;
2 - a boa-fé do infrator;
3 - a vantagem auferida ou pretendida pelo infrator;
4 - a condição econômica do infrator;
5 - a reincidência;
6 - o grau do dano;
7 - a cooperação do infrator;
8 - a adoção reiterada e demonstrada de mecanismos e
procedimentos internos capazes de minimizar o dano,
voltados ao tratamento seguro e adequado de dados;
9 - a adoção de política de boas práticas e governança;
10- a pronta adoção de medidas corretivas;
11- a proporcionalidade entre a gravidade da falta e a
intensidade da sanção.
 É como diz aquele ditado: enquanto alguns choram, outros
vendem lenços!
Ainda há muita gente reclamando da LGPD e a vendo
como um problema. Contudo, conforme demonstrei aqui
para vocês, ela pode ser muito mais que uma obrigação
legal: pode se tornar uma vantagem competitiva que você
pode ofercer a uma empresa.
Se você conseguiu adquirir esse mindset, parabéns, você
faz parte de um seleto time de pessoas que sabem aproveitar
as oportunidades e vender lenços enquanto alguns resolvem
só se lamentar.
O mantra agora é: Menos dados, mais transparência; não
faça só o mínimo, faça a diferença.
E vamos juntos propagar uma cultura de proteção de dados
pessoais!
 TODOS OS DIREITOS

RESERVADOS À

EMPREENDEDORISMO LEGAL

CNPJ: 33.869.342/0001-00

BELO HORIZONTE - MG

COMERCIAL@OEMPREENDEDORIS

MOLEGAL.COM