CARTILHA

RECOMENDAÇÕES DE
CONFORMIDADE À LGPD

Acompanhe as principais perguntas e

respostas relacionadas às adequações à
Lei Geral de Proteção de Dados.

1. A minha empresa ainda não implementou um sistema de obtenção do consentimento. O

que faço?

Recomenda-se, o quanto antes, a implantação de um processo de obtenção do consentimento

do titular a ser utilizado pela empresa. O consentimento deve ser claro, distinto (não deve
estar agrupado com outros acordos ou declarações) e ativo (fornecido pelo titular, sem o uso
de caixas pré-marcadas). Além disso, deverá ser documentado, por escrito ou por outro meio
que demonstre a manifestação de vontade do titular. Se o consentimento existente não tiver
sido obtido de acordo com a LGPD, recomenda-se que seja refeito para atender à legislação.
Caso não seja possível, utilize outra base legal (fresh consent).

O processo de obtenção de consentimento precisa ser gerenciado de forma automatizada,

para os casos nos quais o consentimento seja coletado de forma digital. Isso é necessário pelo
fato de os titulares terem o direito de revogá-lo, sendo que seus dados só poderão ser
processados para as finalidades em que houver consentimento e é dever do controlador de
dados provar, se necessário, que esse consentimento foi formalizado.

2. O que faço para gerenciar os direitos dos titulares de dados?

Você pode implementar um portal de privacidade com uma solução de gerenciamento dos
direitos dos titulares de dados, com foco nos clientes da empresa, de forma oportuna. Esse
portal gerenciará todo o workflow e deve conter as seguintes funcionalidades:

. formulário de preenchimento da solicitação, que pode ser apresentado em diversos produtos

digitais da empresa;
. validação da identidade dos titulares de dados;
. controle de prazos, atividades e custos da solicitação;
. identificação dos dados pessoais dentro da empresa para proceder com a divulgação ao
titular de dados, a correção, a exclusão ou a portabilidade dos dados pessoais.

O portal também deve possuir materiais direcionados ao público externo, informando como a
empresa trata do tema de privacidade e proteção de dados, apresentando a política de
privacidade com informações sobre direitos dos titulares, demonstrando as boas práticas
adotadas para manter a proteção desses dados e os esforços da empresa para manter a
conformidade com a LGPD.
3. Como minha empresa deve desenvolver os modelos de respostas para solicitações de
titulares de dados?

Recomenda-se desenvolver modelos de respostas observando que o tratamento de dados

pessoais sensíveis somente poderá ocorrer nas seguintes hipóteses:

(1) consentimento;
(2) cumprimento de obrigação legal ou regulatória;
(3) execução de políticas públicas;
(4) realização de estudos por órgãos de pesquisa;
(5) exercício regular de direitos;
(6) proteção da vida;
(7) tutela da saúde;
(8) prevenção a fraudes.

4.Como deve ocorrer o tratamento de dados de crianças e adolescentes para

conformidade à LGPD?

O tratamento de dados pessoais de crianças deverá ser realizado com o consentimento

específico e em destaque dado por pelo menos por um dos pais ou pelo responsável legal.
Lembramos que a participação de crianças em jogos, aplicativos ou outras atividades afins não
pode ser condicionada pelo controlador ao fornecimento de informações pessoais, além das
estritamente necessárias à atividade.

5. A minha empresa ainda não possui uma Política de Retenção e Descarte de Dados. O que
devo fazer?

Você deve elaborar a Política de Retenção e Descarte de Dados da empresa. Essa política deve
incluir os princípios de retenção e descarte apropriados de dados pessoais, observando os
requisitos legais da LGPD. Além disso, ela deve conter:

. uma tabela de temporalidade atualizada para armazenamento das informações, levando em

consideração os dados pessoais coletados;
. procedimentos de descarte apropriado para ativos (papéis, computadores, mídias removíveis)
que contenham dados pessoais;
. processo de anonimização ou exclusão de dados quando esses não forem mais necessários
para a empresa, observando a necessidade de armazenamento de dados para atender às
obrigações legais;
. processo de backup de dados pessoais armazenados em sistemas;
. processo de pseudonimização para os dados sensíveis em repouso.

Incorpore na cultura da empresa os princípios de minimização de dados. Assim, a empresa

realizará a coleta apenas das informações estritamente necessárias, pelo período que for
necessário.
6. Como devo implementar um processo de transferência internacional de dados?

Defina um processo para avaliar se os dados transferidos internacionalmente pela empresa

estão em conformidade com as leis de privacidade e proteção de dados, visando comprovar as
medidas adotadas para cumprimento dos princípios, dos direitos do titular e do regime de
proteção de dados previstos na lei aos dados pessoais transferidos. Esse processo deve
verificar se essa transferência atende aos requisitos definidos pela LGPD, tais como:

. existência de cláusulas-padrão contratuais com os terceiros;

. existência de normas corporativas globais definidas pela empresa;
. existência de certificados, selos ou códigos de conduta regularmente emitidos e aprovados
pela ANPD;
. se o titular dos dados forneceu o devido consentimento;
. se os países ou organismos internacionais proporcionam grau de proteção de dados pessoais
adequado.

Atenção: a LGPD ainda não elaborou a lista de países seguros. Entretanto, o Regulamento
Geral da União Europeia sobre a Proteção de Dados (GDPR) já disponibilizou essa lista:
https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-
protectio n/adequacy-decisions_en.

Além disso, sugerimos a revisão de contratos firmados com terceiros nos quais existe
transferência internacional de dados pessoais para que sejam incluídas cláusulas padrão e
termos voltados à privacidade e proteção de dados.

7. O que deve conter no Registro das Operações de Tratamento de Dados Pessoais?

A LGPD exige a elaboração e manutenção de um Registro das Operações de Tratamento de

Dados pessoais, que deverá incluir:

. os nomes e os contatos do controlador/operador e, quando aplicável, de qualquer

responsável pelo tratamento em conjunto, dos representantes das entidades e do DPO;
. a finalidade do processamento dos dados;
. a descrição das categorias dos titulares de dados e das categorias dos dados pessoais;
. as categorias de destinatários a quem os dados pessoais foram ou serão divulgados, incluindo
os destinatários estabelecidos em países terceiros ou organizações internacionais;
. os prazos previstos para a exclusão das diferentes categorias de dados;
. as bases legais estipuladas para tratamento de dados.

8. Como minha empresa pode implantar uma Análise de Impacto à Proteção de Dados
(DPIA)?

Primeiro, defina um processo para a Análise de Impacto à Proteção de Dados (DPIA). Em

seguida, implemente/adquira uma solução para realização da DPIA de forma sistêmica e
centralizada. Essa solução deve ter as seguintes funcionalidades:

. projetos de privacidade da empresa consolidados em um dashboard central para

gerenciamento
das atividades de proteção de dados;
. classificação dos projetos quanto ao envolvimento de dados pessoais e critérios de risco (se
existe profiling, dados sensíveis, grande volume de dados processados etc.);
. gerenciamento do workflow da DPIA, desde a seleção do fluxo de dados utilizando os
critérios estabelecidos até a aprovação final do encarregado;
. orientação e template para preenchimento da DPIA disponibilizado de forma centralizada
para
toda a empresa;
. análise de riscos e GAPs dos fluxos de dados pessoais;
. registro das atividades de proteção de dados realizadas ao longo do projeto para fins de
conformidade.

9. O que faço para implantar um Modelo de Governança de DPO?

Primeiro, defina os papéis e as responsabilidades para atender às expectativas regulatórias

conforme as mudanças trazidas pela LGPD. Dentro da rotina do DPO, entendemos que
haverá tarefas como:
(1) realizaçãodeduediligencedeterceirosperiódica;
(2) manutenção eatualizaçãodo ROPA;
(3) elaboraçãoemanutenção daDPIA,quandonecessário;
(4) realizaçãodeauditorias periódicas internasparaanálisedo níveldeconformidade;
(5) rotinadetreinamentossobreaLGPD parafuncionáriosecolaboradores periódica;
(6)rotina de acompanhamento de jurisprudências, consultas à ANPD, novas certificações, boas
práticasdemercado,entreoutras.

Recomenda-se a contratação de um assessor externo para assessorá-lo na análise do atual

compliance da empresa com a LGPD, indicação dos pontos de melhoria e exigências legais,
bem como definição de um plano de ação para implementação das ações necessárias com o
intuito de que a empresa esteja em conformidade com a LGPD.

10. Minha empresa deve promover um Programa de Treinamento de Funcionários para a

LGPD?

É fundamental que os funcionários conheçam a LGPD. Por isso, elabore um programa de

treinamento sobre privacidade e proteção de dados para educar os funcionários sobre a
importância da privacidade e da proteção de dados pessoais, capacitando-os para realizar os
processamentos de dados adequadamente e mitigar os riscos de alguma violação de dados
acontecer.

Esse programa pode ter duas fases. A primeira é comum para todos os funcionários e
abordará: o que são as leis de privacidade e proteção de dados; os seus princípios; os riscos de
não estar em conformidade com elas; o que são dados pessoais e sensíveis; bases legais; o que
é considerado processamento de dados; como classificar o dado antes de armazená-lo; como
descartá-lo corretamente; o que é ROPA; DPIA; o papel e a importância do encarregado de
dados (DPO) e como reportar uma violação de dados na empresa. Essa fase um pode ser um
treinamento online, disponibilizado para os funcionários na intranet.
Na segunda fase do programa, o treinamento deverá ser direcionado para cada área de
negócio, de acordo com a natureza de relacionamento que o setor possui com os titulares de
dados (relacionamento com cliente, financeiro, RH etc.). Essa fase abordará com mais
profundidade a aplicação das bases legais de acordo com os tipos de processamento que a
área realiza e terá apresentação de cases específicos conforme a atuação da área (exemplo de
cases de profiling para área de marketing). A fase dois pode ser presencial para os funcionários
da área.

Um treinamento de reciclagem em relação à LGPD deve ocorrer periodicamente, de acordo

com a política interna da empresa ou quando houver mudanças significativas nas leis de
privacidade.

É primordial implementar métricas de aprovação/reprovação para medir a aplicação do

treinamento e nível de aprendizado tanto individualmente por funcionário quanto por área
de negócio.