📚

LGPD

Lei Geral de Proteção de Dados está em vigor desde Agosto de 2020

As multas e sanções só serão aplicadas após Agosto de 2021, pelo órgão

regulador ANPD Autoridade Nacional de Proteção de Dados), pois o mesmo
ainda não está em vigor.

Precisamos criar dispositivos que atendam às necessidades dos clientes, por

exemplo, disponibilizar todas as informações dos mesmos registradas em
sistema. As leis se aplicam às informações de Pessoas Físicas. Não é
necessário, mas é bom que as mesmas leis sejam aplicadas às Pessoas
Jurídicas.

Vazamento de dados - se for constatado que houve vazamento partindo da

Contmatic ou por alguém alheio à Contmatic (que invadiu nosso sistema),
podemos ser penalizados

O titular (dono do dado) precisa ter acesso à seus dados. Ele deve ter livre
acesso aos dados que inputou no sistema, como no momento do cadastro.
Deve ser possível ratificar, excluir ou adicionar dados. É necessário ter uma
finalidade legal para solicitar os dados do cliente, então, se não houver essa
finalidade, o dado não pode ser considerado obrigatório e devemos repensar
se realmente precisamos desta informação.

Caso exista algum cenário onde seja necessário destruir algum dado do
cliente, temos que informá-lo da destruição deste dado ou permitir que ele
mesmo realize a exclusão.

Sempre que formos realizar pesquisas, por exemplo, é necessário informar

finalidade da coleta desses dados. Exemplo: se enviarmos um formulário com
perguntas ao usuário, precisamos falar que os dados coletados servirão para
um estudo sobre assunto X ou para gerar um código de desconto e etc

LGPD 1
 Outras legislações regem a questão da quantidade de tempo que devemos
armazenar os dados do cliente. Se houver casos de clientes que não estão
mais ativos no sistema e ele não solicitar o direito de esquecimento, podemos
disparar um e-mail informando-o que removeremos os dados dele em X tempo
de nossas bases (para o caso de dados que não tem utilidade/relevância).

Tipos de Dados
Dado Pessoal – RG, CPF, CNH
Dado Pessoal Sensível – Origem racial ou Étnica, Religião, Opinião Política,
Orientação Sexual, Time de Futebol, Filiação a sindicato ou a organização de
caráter religioso, filosófico ou político, Dado referente a saúde, Dado genético ou
biométrico e etc
Dado Anonimizado – Um dado que eu não consigo vincular a uma pessoa
Dado Público – Um dado pessoal, pode se tornar um dado público (ex:
disponibilizo meu número de telefone num local público para vender um item)
Dado Privado – São dados que preciso fornecer para receber algo em troca,
exemplo geração de NF

Tipos de Coleta de Dados

Third-party - adquirido por mim, quando eu uso os dados do cliente para que
possa oferecer algo em troca
Por aquisição - se consensual, quando eu peço e informo ao cliente que preciso
dos dados e especifico para o que

Por Pertencimento - a pessoal disponibilizou os seus dados para um terceiro

Dado Contextual - dado amarrado à uma situação e não à uma pessoa

Consentimento
Agora precisamos explicar detalhadamente quais são os dados que coletaremos e
para que os coletaremos

LGPD 2
 10 Princípios da LGPD
 FINALIDADE - Coletar e armazenar somente os dados que tem uma fim

 ADEQUAÇÃO - Ao receber o dado, devo adequá-lo às minhas necessidade e,

se não tiver mais finalidade, devo descartá-lo (ex: preciso do seu e-mail para
te enviar e-mail mkt, se não utilizá-lo para o envio dos email mkt, ele não foi
adequado)

 NECESSIDADE - Coletar somente os dados que são realmente necessários, o

que não utilizarei, não devo pedir/armazenar. Se um dado não for necessário
para concluir determinada transação, não devo pedí-lo ou armazená-lo

 LIVRE ACESSO - Se o usuário forneceu os dados, ele tem direito a saber

como os dados estão sendo tratados/por quanto tempo serão manipulados,
como seria descartado e/ou pedir um extrato dessas informações

 QUALIDADE DOS DADOS - O coletor dos dados deve garantir a veracidade

dos dados e sempre mantê-las atualizadas (ex: devo pedir ao meu usuário que
ele atualize os dados dele dentro da plataforma, por exemplo) e, caso receba
uma atualização do dado, devo descartar a anterior

 TRANSPARÊNCIA - Garantir ao dono do dado que ele tenha acesso as

explicações sobre os tratamentos que foram aplicados em quais informações
e por quem (ou quem é o atual responsável)

 SEGURANÇA - a empresa deve coibir o vazamento dos dados pessoais

coletados

 PREVENÇÃO - Implantar política interna de governança de dados (quem tem

acesso a quais dados)

 NÃO DISCRIMINAÇÃO - Muito ligado aos dados sensíveis, preciso garantir

que ninguém foi discriminado por causa dos dados que tenho armazenados

 RESPONSABILIDADE - Alguém da empresa precisa ser necessariamente

responsável pelos dados coletados e que poderá ser acessado se necessário

LGPD 3
 Agentes de Tratamento de Dados
 Controlador - A empresa que precisa dos dados para 'trabalhar'

 Operador - Colaborador que coleta e opera os dados dos clientes

 DPO Data Protection Officer) - Encarregado por implementar as mudanças

necessárias

Sugestão de Fluxo
i) estipular um prazo de armazenamento para os dados coletados, levando
sempre em consideração a finalidade e o motivo desse armazenamento;

ii) informar o titular do dado e requerer seu consentimento acerca desse

prazo de armazenamento;

iii) revisar esses dados e o cumprimento do prazo em relação ao momento

da coleta;

iv) revisar se a finalidade do armazenamento foi cumprida;

v) após o prazo de armazenamento, descartar os dados

Paronização LGPD - Produtos Contmatic

Política de Privacidade

Termos de Uso - Considerar a possibilidade de termos um de uso único

através do ConnectCont

Pseudoanonimização dos Dados

CPF - 4 últimos dígitos dos documentos confidenciais serão anonimizados

(ex: 123.456.78901 → 123.456.7**-**)

CNPJ - Não é obrigatório pela LGPD, mas podemos definir o mesmo

padrão do CPF. Lembrando que o CNPJ pode ser consultado
publicamente, então não é um dado pessoal. Se for o caso de um CAEPF,

LGPD 4
 o CPF vira um dado público também (ex: 12.345.678/000190 →
12.345.678/00**-**)

E-mail - Apenas os 3 dígitos que antecedem o @ são exibidos (ex:

vanessa@contmatic.com.br → ****ssa@contmatic.com.br) - Em caso do
e-mail ter 3 ou menos caracteres antes do @, deve ser exibido apenas o
último caractere antes do @

Nome - Exibir o primeiro nome ou os caracteres até o primeiro espaço

dentro do campo (ex: Maria Joana da Silva Souza → Maria ***** ** *****
*****)

Telefone - 11 912345678 → 11 91234****

Endereço - Av. Paulista, 500 - Bela Vista, São Paulo - State of São Paulo,
01323030 → Av. Paulista, *** - Bela Vista, São Paulo - State of São Paulo,
01323030 Raphael Carrilho verificará o que o mercado tem feito e nos
confirmará o que fazer)

Ao entrar na aba cadastral, o sistema deve exibir apenas o nome do

usuário e exibir o ícone do "olho" para manter os dados em
"blur"/ocultados, até que o usuário clique neste botão para exibir os dados
sem pseudoanonimização. É necessário registrar esse log para confirmar
que o usuário clicou para que os dados fossem exibidos e, com isso,
transferir a responsabilidade dos dados para ele.

Permitir cadastro de perfis de usuário, criando os níveis de acesso aos

dados (exemplo: exibir os dados pseudoanonimizados para um nível e na
íntegra para outro). É necessário disponibilizar termo de responsabilidade
por colaborador.

Emissão de relatórios - Ao exibir em tela, anonimizar os dados. Caso o

usuário queira ver os dados não anonimizados em tela, ele deverá clicar no
ícone (botão) para exibir os dados. Não precisaremos pseudoanonimizar
no caso de impressão/download e etc, pois registraremos os logs e o
usuário torna-se responsável pela gestão desses dados.

Prazo de armazenamento para os dados coletados - seguir de acordo

com as leis já existentes e dar um prazo além do oficial (ex: prazo 5 anos e

LGPD 5
 a Cont liberará por mais 30 a 90 dias). O ideal é que cada produto alinhe
com o Raphael Carrilho.

Identificamos que o cliente deixou de ser cliente e ele não solicitou o

esquecimento - Notamos que você deixou de utilizar nosso sistema,
vamos apagar os dados em XX dias (esquecimento) mas você tem direito
à portabilidade dos seus dados antes da total exclusão dos dados.

Livre acesso aos dados do cliente - cliente deve conseguir acessar todos os
dados que inseriu no sistema e deve ser possível editá-los ou excluí-los

Portabilidade do cliente - devemos estar preparados para o caso do cliente

pedir todos os dados que ele como pessoa tem cadastradas em sistema,
liberando o download dos dados (ex: facebook)

Direito de Esquecimento do cliente - devemos estar preparados para o caso

do cliente pedir para excluir todos os seus dados do sistema. Realizada e
exclusão, precisamos informar quais dados excluímos, quais não foram
excluídos e por qual motivo não foram excluídos (ex: lei 123 pede que
fiquemos com os dados XYZ por Z anos) e fornecer um nº de "protocolo"

LGPD 6