SUMÁRIO

Introdução............................................................................................................. 03

Conhecendo a LGPD........................................................................................... 04
Você sabe o que é a LGPD e como ela afeta o seu dia a dia
pessoal e profissional?...........................................................................................05
Importância dos dados.......................................................................................... 06
Mas, afinal, o que é a LGPD e para que serve a proteção de dados?.........07
Objetivo da LGPD...................................................................................................09
Casos que não se aplicam à LGPD..................................................................... 10
Dados pessoais e dados pessoais sensíveis......................................................11
Dados pessoais de crianças e adolescentes.................................................... 12
Quais são os casos em que o tratamento de dados é permitido?...............13
Em quais casos não é necessário consentimento do titular?........................15

A LGPD nas empresas ........................................................................................ 16

Como você preserva a integridade das informações da sua empresa.........17
e os dados dos seus clientes?...............................................................................17
Principais danos provocados por vazamento de dados..................................18
Integridade e confidencialidade ......................................................................... 18
Mas o que os especialistas recomendam para a conformidade
com a LGPD?...........................................................................................................19
O que tenho que fazer para me adequar à LGPD?.........................................19
Quem vai fiscalizar a LGPD? ............................................................................... 20

Boas práticas........................................................................................................ 21
O que a minha empresa pode fazer para começar a...................................... 21
cumprir a LGPD?.................................................................................................... 22
Compliance como responsável pela adequação das...................................... 23
organizações à LGPD.............................................................................................24
Se você é uma pessoa conectada, certamente já leu algo sobre a Lei Geral
de Proteção de Dados, a LGPD. Mas, você sabe exatamente como ela fun-
ciona, quais são suas diretrizes e os impactos da sua implementação? Neste
e-book, você descobrirá como a LGPD mudará a maneira de as empresas
lidarem com dados pessoais.

Boa leitura!

01
 Conhecendo a LGPD

Você sabe o que é a LGPD e como ela afeta o seu dia a

dia pessoal e profissional?

“Dados são o novo petróleo, exceto por um pequeno detalhe.”

AJAY BANGA, CEO GLOBAL DA MASTERCARD.

Atualmente, uma das maiores riquezas das organizações são os seus dados,
que muitas vezes são utilizados com papel estratégico nos negócios.

As novas tecnologias como Internet das Coisas, Aprendizado das Máqui-

nas e Inteligência Artificial já são sistemas que aprendem sozinhos com
a coleta, a análise e a comparação dos dados, transformando-os em in-
formações e conhecimento valioso na competitividade do mercado.

Importância dos dados

Números de Ataques Cibernéticos

Um dos principais motivos para o surgimento de leis de proteção de dados

é o crescente volume de ataques cibernéticos às organizações. Veja a se-
guir alguns números.

02
02
Conforme dados reportados ao CERT.br, foram 875.327 incidentes de
Tecnologia da Informação (TI) em 2019.

De acordo com o Internet Security Thread Report de fevereiro de 2019,

houve um aumento de 56% de ataques web.

COMO USAR O PODER DE COMPRA DO

De acordo com o website Information is Beautiful, abaixo estão (em in-
ESTADO PARA FOMENTO ÀS MPES
glês) as maiores violações e hackeamento de dados do mundo.

Mas, afinal, o que é a LGPD e para que serve a proteção

de dados?

A Lei Geral de Proteção de Dados é a Lei nº 13.709, aprovada em agosto

de 2018 no Brasil. Ela cria normas para a coleta e o tratamento de dados
pelas empresas. Seu objetivo é assegurar a privacidade e a proteção de
dados pessoais e promover a transparência na relação entre pessoas físicas
e jurídicas.

03
03
A LGPD aplica-se a qualquer pessoa natural ou jurídica de direito público
ou privada, que realize tratamento de dados pessoais, ou seja, que exerça
atividade em que se utilizem dados pessoais (coleta, armazenamento, com-
partilhamento, exclusão) em meio digital e físico.

Essa lei é extremante abrangente incluindo a maior parte das atividades e

dos projetos do cotidiano das organizações, envolvendo diversos processos
como:

• Compliance
• Desenvolvimento de Softwares
• Direito
• Financeiro
• Gestão de Produtos
• Inteligência de Mercado
• Recursos Humanos
• Serviço de Atendimento ao Cliente (SAC)

Objetivo da LGPD

A LGPD tem como intuito proteger os direitos fundamentais de liberdade

e de privacidade e a livre formação de cada indivíduo. Traz alinhamento
ao tratamento de dados feito por pessoa física ou jurídica de direito públi-
co ou privado e engloba um amplo conjunto de operações efetuadas em
meios físicos e digitais.

Por meio dela, as empresas passam a seguir os fundamentos listados abai-

xo para realizarem o tratamento dos dados pessoais.

• Respeito à privacidade
• Direitos humanos, o livre desenvolvimento da personalidade
• Autonomia, livre concorrência e a defesa do consumidor
• Desenvolvimento econômico, tecnológico e inovador
• Inviolabilidade da intimidade, da honra e da imagem
• Liberdade de expressão, de informação, de comunicação e de opinião
• Autodeterminação informativa
• Dignidade e o exercício da cidadania pelas pessoas naturais

04
Saiba que, apesar de ampla, a LGPD também tem exceções. Acompanhe a
seguir.

Casos que não se aplicam à LGPD

A LGPD não se aplica ao tratamento de dados pessoais, quando:

• Realizado por pessoa natural para fins exclusivamente particulares e não

econômicos.

• Realizado para fins exclusivamente:

a) jornalístico e artísticos;
b) acadêmicos.

• Realizado para fins exclusivos de:

a) segurança pública;
b) defesa nacional;
c) segurança do Estado;
d) atividades de investigação e repressão de infrações penais.

• Provenientes de fora do território nacional.

Mas o que são os dados pessoais, objeto da proteção da LGPD? Saiba mais
adiante.

Dados pessoais e dados pessoais sensíveis

Dados Pessoais

De acordo com a LGPD, dados pessoais são qualquer informação que di-
recione à identificação de uma pessoa, direta ou indiretamente. O mesmo
pode ser diferenciado como Identificada e Identificável, como demonstra o
exemplo abaixo.

02
05
Dados pessoais sensíveis

São informações relacionadas à pessoa natural identificada ou identificá-

vel, que pode gerar qualquer tipo de discriminação. Sendo elas:

• origem racial ou étnica;

• convicção religiosa ou filosófica;
• opinião política;
• filiação sindical ou à organização de caráter religioso;
• orientação sexual;
• histórico criminal;
• dado referente à saúde;
• dado genético ou biométrico, quando vinculado a uma pessoa natural.

Dados pessoais de crianças e adolescentes

Caso a sua empresa, por meio de produtos ou serviços, faça o tratamen-

to de dados pessoais de crianças e de adolescentes, siga atentamente a
LGPD.

• Crianças - até 12 anos de idade

• Adolescentes - 13 a 17 anos de idade

06
§ 1o - O tratamento de dados pessoais de crianças deverá ser realizado
com o consentimento específico e em destaque dado por pelo menos um
dos pais ou pelo responsável legal. (LGPD, Art. 14).

Para ajudá-lo a compreender melhor o que é o tratamento de dados, ação

que será muito discutida neste curso, preparamos um exemplo. Acompa-
nhe!

Como você pôde ver através da animação, o tratamento de dados consiste

em toda ação realizada pelos agentes de tratamento com dados pessoais.

Na maioria dos casos, é preciso de permissão (consentimento do titular)

para esse tratamento. Mas nem sempre isso é necessário. Veja as explica-
ções adiante.

Quais são os casos em que o tratamento de dados é permitido?

O tratamento de dados pessoais somente poderá ser realizado:

• mediante o fornecimento de consentimento pelo titular;

• para o cumprimento de obrigação legal ou regulatória pelo Controlador;
• pela administração pública, para o tratamento e uso compartilhado de
dados necessários à execução de políticas públicas;
• para a realização de estudos por órgão de pesquisa;
• quando necessário para a execução de contratos;
• para o exercício regular de direitos em processo judicial, administrativo
ou arbitral;
• para a proteção da vida ou da incolumidade física do titular ou de ter-
ceiro;
• para a tutela da saúde, exclusivamente, em procedimento realizado por
profissionais de saúde, serviços de saúde ou autoridade sanitária;
• quando necessário para atender aos interesses legítimos do Controlador
ou de terceiro;
• para a proteção do crédito.

Em quais casos não é necessário consentimento do titular?

02
07
Em situações excepcionais, quando houver interesse público ou riscos à
vida e à saúde de terceiros, o tratamento de dados poderá ocorrer sem o
consentimento do titular, como por exemplo, em alguns dos casos men-
cionados acima: cumprimento à obrigação legal ou determinação judicial;
exercício regular de direitos em processos judiciais ou administrativos; en-
tre outros.

Recomendamos que você consulte a íntegra da Lei e leia-a atentamente.

http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm

Por isso, a LGPD traz 10 princípios que devem ser observados no tratamen-
to de dados pessoais pelas organizações. Acompanhe a seguir.

Finalidade

Realização do tratamento para propósitos legítimos, específicos, explíci-

tos e informados ao titular, sem possibilidade de tratamento posterior de
forma incompatível comessas finalidades;

Adequação

Compatibilidade do tratamento com as finalidades informadas ao titular,

de acordo com o contexto do tratamento;

Necessidade

Limitação do tratamento ao mínimo necessário para a realização de suas

finalidades, com abrangência dos dados pertinentes, proporcionais e não
excessivos em relação às finalidades do tratamento de dados;

Livre acesso

Garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a

duração do tratamento, bem como sobre a integralidade de seus dados
pessoais;

08
Qualidade dos dados

Garantia, aos titulares, de exatidão, clareza, relevância e atualização dos

dados, de acordo com a necessidade e para o cumprimento da finalidade
de seu tratamento;

Transparência

Garantia, aos titulares, de informações claras, precisas e facilmente aces-

síveis sobre a realização do tratamento e os respectivos agentes de trata-
mento, observados os segredos comercial e industrial;

Segurança

Utilização de medidas técnicas e administrativas aptas a proteger os dados

pessoais de acessos não autorizados e de situações acidentais ou ilícitas de
destruição, perda, alteração, comunicação ou difusão;

Prevenção

Adoção de medidas para prevenir a ocorrência de danos em virtude do tra-

tamento de dados pessoais;

Não discriminação

Impossibilidade de realização do tratamento para fins discriminatórios ilíci-

tos ou abusivos;

Responsabilização e prestação de contas

Demonstração, pelo agente, da adoção de medidas eficazes e capazes de

comprovar a observância e o cumprimento das normas de proteção de da-
dos pessoais e, inclusive, da eficácia dessas medidas.

02
09
 A LGPD nas empresas

Em situações excepcionais, quando houver interesse público ou riscos à

vida e à saúde de terceiros, o tratamento de dados poderá ocorrer sem o
consentimento do titular, como por exemplo, em alguns dos casos menCo-
mo você preserva a integridade das informações da sua empresa e os dados
dos seus clientes?

Vazamento de dados: um problema que pode se tornar irreparável!

Nos últimos 10 anos, foram confirmados vários casos de vazamento de da-

dos no mundo, coincidindo com o aumento vertiginoso da disponibilização
de dados pessoais na web e nos servidores. Com as pessoas conectadas
24 horas por dia, cresceu o desejo dos criminosos virtuais de ter acesso a
essas informações valiosíssimas. Abaixo, listamos alguns casos famosos de
violação de dados. Confira!

UBER

Uma das empresas de aluguel de carros mais populares no mundo, a Uber,

não escapou de ver os dados de seus usuários e motoristas sendo rou-
bados por criminosos virtuais. O caso aconteceu em 2016 e foi revelado
em 2017. No total, estima-se que dados de 57 milhões de pessoas, entre
usuários e motoristas, foram vazados — nome, e-mail, telefone, números de
cartão e diversas outras informações pessoais.

FACEBOOK

Com bilhões de usuários no mundo e uma produção de dados quase que

imensurável, o Facebook se envolveu em um escândalo que ultrapassa a
esfera digital. Ele envolveu a consultoria de marketing digital britânica Cam-
bridge Analytica e afetou mais de 50 milhões de contas mundo afora.

10
Logins e senhas foram roubados. Isso pode parecer simples, mas tinha um
objetivo muito bem definido: utilizar essas informações na campanha elei-
toral de 2016, em prol do candidato Donald Trump.

BANCO INTER

O Banco Inter é um dos pioneiros em oferecer contas digitais no país. Um

vazamento, em 2018, deixou cerca de 19 mil correntistas vulneráveis. O
objetivo dos hackers era extorquir o banco, três dias depois de a empresa
negociar suas ações na bolsa de valores.

Em dezembro do mesmo ano, a empresa fechou um acordo com o Minis-

tério Publico do Distrito Federal e Territórios, com o pagamento de R$1
milhão para instituições públicas que trabalham em combate ao crime ci-
bernético e uma quantia relevante destinada a instituições de caridade.

Os riscos extensos e as variáveis que as empresas enfrentam ao serem

vítimas de uma violação de dados podem ser prejudiciais à sua receita e à
sua reputação. Além disso, gerenciar as consequências desses vazamentos
pode ser muito caro.

Confira os principais prejuízos que podem ser provocados por um vaza-

mento de dados.

Principais danos provocados por vazamento de dados

Perda financeira

Dependendo da natureza da violação, podem ocorrer vários problemas fi-

nanceiros nas empresas. As empresas que sofrem esses tipos de ataque
podem ter que arcar com os custos incorridos com a contenção da viola-
ção, compensando os clientes afetados, percebendo uma redução no valor
das ações e elevados custos de segurança.

02
11
Danos à reputação

O dano que um vazamento de dados pode causar em uma empresa pode

ser devastador, especialmente se a violação for evitável ou colocar os da-
dos do cliente em risco. A perda de confiança, a imprensa negativa, o roubo
de identidade associado e as opiniões dos clientes em potencial em relação
à sua empresa podem ser afetados, deixando nuvens sombrias sobre a re-
putação da marca e criando complicações de longo prazo.

Interrupções operacionais

Desde o momento em que seus dados são comprometidos, até todo o

processo de investigação e recuperação, os efeitos de uma violação de
dados afetam significativamente as operações de negócios. Dependendo
da gravidade, a violação pode resultar em uma perda completa de dados
importantes, o que requer que as vítimas passem longos períodos se recu-
perando.

Implicações legais

Violações cibernéticas envolvendo informações pessoais de indivíduos ge-

ralmente resultam em ações judiciais coletivas. Junte todas as taxas legais
que acompanham esses pagamentos, e as empresas enfrentarão custos
muito mais altos do que a maioria pode arcar.

12
Esses exemplos servem de alerta para possíveis ameaças de violações de
dados. Saiba que tomar as medidas preventivas adequadas é a melhor ma-
neira de garantir que sua empresa não seja vítima de um ataque ciberné-
tico. Se sua organização não leva a sério a segurança da informação, pode
haver sérias consequências.

Diante disso, é de extrema importância assegurar os requisitos de integri-

dade e confidencialidade de sua empresa.

Integridade e confidencialidade

Você sabe o que os governos, as entidades estatais e as empresas devem

fazer para garantir a privacidade?

Este assunto será bastante discutido nos próximos anos em debates jurídi-
cos, econômicos e sociais, pois o tráfego crescente e os riscos de ataques
e vazamentos de dados afetam praticamente toda a iniciativa pública e
privada do país.

Você já parou para pensar na quantidade de informações pessoais que cir-

culam por redes virtuais diariamente? São milhares!

Toda essa exposição de dados em larga escala mostra as fragilidades de

sistemas e protocolos, inclusive por parte de quem deveria fiscalizar a se-
gurança das operações: o Estado.

02
13
Os especialistas recomendam redesenhar a gestão organizacional, com ên-
fase em alguns pontos:

1. nomear um encarregado de proteção de dados;

2. revisar as políticas de segurança e a realizar a auditoria completa dos
dados;
3. elaborar mapas de temporalidade ou ciclo de vida dos dados;
4. reelaborar os contratos com fornecedores e parceiros e elaborar o rela-
tório de impacto de privacidade.

O que tenho que fazer para me adequar à LGPD?

O ideal é que você mapeie todas as informações sensíveis que você já tem.
Faça um raio-X de todas as informações e dados que você tem na sua base
de clientes, banco de dados etc. Depois de nomear a equipe responsável
pelo tratamento de dados, desenhe cada processo da sua empresa e peça
para que todas as equipes ou colaboradores listem os dados que costumam
manusear durante estas atividades.

Abaixo, separamos algumas sugestões de como começar a mapear os da-

dos. Acompanhe!

1
Liste todos os dados que você armazena de
seus colaboradores, clientes e fornecedores
(fale com a equipe de RH, marketing, controla-
doria, financeiro, entre outros).

14
2
Observe como estas informações são coletadas
e armazenadas e se o armazenamento é feito de
forma segura.

3
Verifique se estas informações têm autorização
(opt-in) de seus donos e observe a data em que
foram coletadas.

4
Verifique para qual finalidade as informações são
coletadas, quem tem acesso a elas e o porquê.

Lembre-se sempre de que o mapeamento deve acompa-

nhar as mudanças da sua empresa!

02
15
Algo necessário, é a criação de uma equipe técnica que tome decisões so-
bre os dados. O primeiro passo para isso, é nomear, qualificar ou contratar
três profissionais que possam cumprir com o papel de Controlador, Ope-
rador e Encarregado e assim formar sua equipe de tratamento de dados.

As informações roubadas foram logins e senha, o que pode parecer simples,

mais tinha um objetivo muito bem definido: utilizar tais informações pes-
soais na campanha eleitoral de 2016, em prol do candidato Donald Trump.

Alguns especialistas sugerem que um desses profissionais seja o responsá-

vel legal para gerenciar todos os dados, principalmente caso haja vazamen-
tos. Assim, o ideal é que esse profissional tenha conhecimento sobre legis-
lação e boas práticas de proteção de dados, além de acompanhar desde o
início a separação dos documentos e o mapeamento dos dados dentro da
empresa.

Quem vai fiscalizar a LGPD?

O órgão responsável por fiscalizar a LGPD é a ANPD, juntamente com o

Poder Executivo Federal.

A maneira como será feita essa fiscalização ainda não foi definida, porém
especialistas afirmam que a ANPD pode atuar em conjunto com outros ór-
gãos do governo.

16
O tipo de pena que a ANPD poderá aplicar vai variar de acordo com:

• a reincidência;
• a vantagem econômica auferida pelo infrator e sua condição econômica
• o grau do dano;
• a adoção de políticas de boas práticas e governança;
• a boa-fé do infrator;
• a gravidade e a natureza das infrações e dos direitos pessoais afetados;
• a cooperação do infrator;
• a adoção demonstrada de mecanismos e procedimentos para minimizar
os danos;
• a proporcionalidade entre a gravidade da falta e a intensidade da sanção.

Tudo certo até aqui?

: Estamos chegando ao final deste tópico, mas, antes de concluir, queremos

esclarecer quais sanções podem ser aplicadas às empresas que descumpri-
rem a LGPD.

De nada adianta haver regras e procedimentos definidos, bem como uma

autoridade nacional para supervisionar o cumprimento da legislação, se
não houver sanções aos infratores, não é mesmo?

Agora, vejamos as nove sanções previstas na LGPD:

1. Advertência, com indicação de prazo para adoção de medidas corretivas;

2. Proibição parcial ou total do exercício de atividades relacionadas a trata-
mento de dados;
3. Suspensão do exercício da atividade de tratamento dos dados pessoais a
que se refere a infração pelo período máximo de seis meses, prorrogável
por igual período;

02
17
 mento de dados;
3. Suspensão do exercício da atividade de tratamento dos dados pessoais a
que se refere a infração pelo período máximo de seis meses, prorrogável
por igual período;
4. Suspensão parcial do funcionamento do banco de dados a que se refere
a infração pelo período máximo de seis meses, prorrogável por igual pe-
ríodo, até a regularização da atividade de tratamento pelo controlador;
5. Eliminação dos dados pessoais a que se refere a infração;
6. Publicização da infração após devidamente apurada e confirmada a sua
ocorrência;
7. Multa diária, observado o limite total de R$ 50.000.000,00 por infração,
devendo o valor da sanção de multa diária aplicável às infrações obser-
var a gravidade da falta e a extensão do dano ou prejuízo causado e ser
fundamentado pela ANPD;
8. Multa simples, de até 2% do faturamento da pessoa jurídica de direito
privado, grupo ou conglomerado no Brasil no seu último exercício, ex-
cluídos os tributos, limitada, no total, a R$ 50.000.000,00 por infração;
9. Bloqueio dos dados pessoais a que se refere a infração até a sua regu-
larização.

Boas práticas

O que a minha empresa pode fazer para começar a cumprir a LGPD?

Há alguns passos que você deverá seguir para ficar compatível com a LGPD
e, assim, zelar pelos direitos dos seus funcionários e dos seus clientes. Afi-
nal, eles são os donos dos dados pessoais utilizados pela sua empresa. Veja
a seguir!

Nomear os “técnicos” do time

A LGPD prevê os agentes de tratamento de dados pessoais: tem o contro-

lador, que é a quem compete as decisões relativas ao tratamento; tem o
operador, que é quem realiza o tratamento, em nome do controlador. Há
ainda o encarregado, que, com autonomia e estabilidade, é o responsável
por atender às demandas dos titulares, interagir com a autoridade nacional
(ANPD) e orientar funcionários e contratados quanto às práticas de prote-
ção de dados pessoais – e ele poderá ou não ser exigido, a depender da
natureza ou porte da empresa e do volume de dados tratados por ela.

18
Gerir os dados e respeitar a privacidade

Identifique, entre as informações que gerencia, quais são dados pessoais

(cheque também se há aqueles que exigem um tratamento ainda mais es-
pecífico, como os sensíveis, e sobre crianças e adolescentes). Verifique os
meios em que se encontram (físico ou digital).

Atenção ao consentimento e à guarda de provas

O titular deve concordar, de forma explícita e inequívoca, que seus dados

sejam tratados. E o empresário deve fazer esse tratamento levando em
conta princípios da LGPD (finalidade, adequação, livre acesso, qualidade
dos dados, transparência, prevenção, não discriminação, responsabilização).

A exceção à regra diante de bases legais

O consentimento é a palavra-chave da LGPD. De modo geral, você não

poderá enviar ofertas se o consumidor não permitir isso explicitamente. As
exceções em que não é preciso o consentimento é quando tratar dados for
indispensável em situações relacionadas: a uma obrigação legal; a políticas
públicas; a estudos via órgão de pesquisa; a um direito, em contrato ou pro-
cesso; à preservação da vida e da integridade física de uma pessoa; à tutela
de procedimentos feitos por profissionais das áreas da saúde ou sanitária;
à prevenção de fraudes contra o titular; à proteção do crédito; a interesses
legítimos da empresa, desde que esses interesses não firam direitos funda-
mentais do titular.

Apoio da alta liderança e dos funcionários

A LGPD envolve mudanças profundas na forma de lidar com dados pes-

soais e, para “pegar” na empresa, é preciso engajamento da diretoria e dos
colaboradores. Para isso, é importante que gestores de dados e corpo fun-
cional como um todo busquem conhecer boas práticas, participem de cur-
sos de formação, entre outras ações.

Menos “acaso” e mais prevenção para sua infraestrutura

Elabore e adotes normas de governança para tratamento de dados pesso-

ais, medidas preventivas de segurança. Replique boas práticas e certifica-
ções aplicadas no mercado.

02
19
Errou? Assuma e corrija com rapidez

Construa planos de contingência para tratar incidentes de segurança e tra-

te os problemas com agilidade. Faça auditorias de tempos em tempos.

Transparência e proatividade

Seja ágil no atendimento aos pedidos do titular dos dados, segundo os cri-
térios definidos pela LGPD e pela autoridade nacional. Se causou, compro-
vadamente, algum dano patrimonial, moral, individual ou coletivo, responda
por eles. Tenha atenção, ainda, às questões sobre quando deve encerrar um
tratamento e informe sobre o término ao titular.

Extraterritorial

A LGPD se aplica a empresas que ou têm estabelecimento no Brasil, e/ou

oferecem produtos e serviços ao mercado brasileiro, e/ou coletam e tratam
dados de pessoas que estejam no país. Vale lembrar que não interessa: se o
titular dos dados é brasileiro ou não; qual o meio de operação de tratamen-
to dos dados (físico ou digital); qual o país sede da empresa; se os dados
estão hospedados em datacenters no país ou não.

Vale reforçar que a LGPD permite a transferência de dados além-fronteira,

desde que seja: com o consentimento específico do titular; a pedido do
titular para que esse possa executar pré-contrato ou contrato; para pro-
teção da vida e da integridade física do titular ou de terceiro; para ajudar
na execução de política pública; para país ou organismo internacional que
projeta dados pessoais de forma compatível com o Brasil; para cooperar ju-
ridicamente com órgãos públicos de inteligência, investigação, ou por conta
de compromisso assumido via acordo internacional; para cumprir obrigação
legal; com a autorização da ANPD; comprovado que o controlador segue a
LGPD na forma de normas globais, selos, certificados e códigos de conduta.

Saiba que a LGPD é a melhor saída!

No cenário atual, em que as pessoas cada vez mais exigem saber o que é
feito com seus dados, e em que para competir de igual pra igual é preciso
investir em mudanças, sua empresa não pode “fazer de conta” que a Lei
Geral de Proteção de Dados Pessoais não existe.

20
Compliance como responsável pela adequação das organizações à LGPD

A jornada para adequar o seu processamento de dados às novas regras da

LGPD pode ser longa. Pensando nisso, listamos abaixo 12 ações que você
deve fazer para estar em compliance com a LGPD. Acompanhe!

1. Mapear suas ações

Para se adequar à LGPD, é imprescindível mapear todas as operações inter-

nas que estão relacionadas com a captação e o tratamento de dados. Essas
atividades geralmente estão ligadas aos setores de marketing, comercial e
TI, mas é importante avaliar todas as áreas para que nenhuma ação passe
despercebida.

2. Levantar dados

Geralmente, as ações de captação e tratamento manipulam os dados pes-

soais. Por isso, elas também precisam ser analisadas. Para facilitar a organi-
zação, você pode ordenar os dados em classes de acordo com sua impor-
tância e departamento.

3. Adequar ferramentas

O próximo passo é avaliar se as ferramentas de tratamento de dados que

você dispõe atendem às orientações da LGPD. Diversas plataformas já se
adequaram ao GDPR, mas é fundamental verificar se elas também estão de
acordo com a lei brasileira e fazer ajustes caso necessário.

4. Revisar materiais

Reveja os principais materiais ligados à proteção de dados e à segurança

digital, como os Termos de Uso e as Políticas de Privacidade. Até mesmo
os contratos devem ser revisados para garantir que os conteúdos estejam
de acordo com a LGPD. Lembre-se de que o ideal é contar com apoio jurí-
dico sempre que precisar criar ou alterar materiais de efeito legal, como os
contratos.

02
21
5. Corrigir contratos

Tire um tempo para verificar se contratos de prestação de serviços – inter-

nos e externos – de empresas e profissionais que tenham acesso ou tratem
dados pessoais em seu nome necessitam de ajustes.

6. Analisar a segurança

É fundamental que sua empresa analise os mecanismos de segurança e

atualize-os. Todas as técnicas e os procedimentos de segurança devem ser
documentados e informados ao consumidor, se necessário.

7. Planejar providências

Liste tudo que precisará ser mudado, detalhe como será a transição para
os novos processos e qual será o tempo e investimento necessário para
chegar lá.

8. Criar guias e relatório

Preocupe-se também em criar manuais, guias e outros materiais para des-

crever a importância de seguir a legislação e as boas práticas. É bom que
esses materiais estejam disponíveis para eventuais consultas. Como deve
haver uma forte fiscalização do cumprimento da lei, vale a pena, ainda, criar
um relatório de impacto à proteção de dados para relatar detalhadamente
as ações tomadas pela sua empresa para estar em conformidade com a
LGPD.

9. Reestruturar equipes

Planeje uma reestruturação da equipe e faça eventuais contratações para

garantir que todos estejam 100% acostumados com a nova rotina de traba-
lho e as boas práticas do tratamento de dados.

10. Realizar treinamentos

Saiba que não é do dia para a noite que seus colaboradores irão se ajustar
aos novos procedimentos, nomenclaturas e atividades. Por isso, promova
treinamentos periódicos e reciclagens para garantir que as informações fo-
ram bem fixadas e estão sendo empregadas no dia a dia.

22
11. Eliminar dados desnecessários

A análise e a categorização dos dados podem revelar que sua empresa tem
informações que não são mais necessárias. Cópias duplicadas, dados invá-
lidos ou muito antigos, por exemplo, podem e devem ser eliminados. Além
de abrir espaço para novas informações, essa prática permite que você
foque seus esforços em dados que realmente valem a pena.

12. Nomear um DPO

Por fim, não se esqueça de nomear um DPO (ou encarregado) para fazer a
gestão. As atribuições do DPO incluem monitorar e orientar as atividades e
os profissionais ligados à proteção de dados e mediar a comunicação com
a ANPD e os titulares.

Acreditamos que, por se tratar da área da organização responsável por ga-

rantir que a empresa atue de acordo com a lei e com as melhores práticas,
o compliance será também o “guardião” da LGPD.

Diante disso ressaltamos a exigência da LGPD em um nível de maturidade

dos Programas de Compliance no que diz respeito à privacidade e seguran-
ça de dados. Assim, o setor de conformidade passará a contar com profis-
sionais encarregados de desempenhar a função de “Agente de Proteção de
Dados”, conforme estabelece a nova lei.

02
23