Escolar Documentos
Profissional Documentos
Cultura Documentos
RECOMENDAÇÕES DE
CONFORMIDADE À LGPD
Você pode implementar um portal de privacidade com uma solução de gerenciamento dos
direitos dos titulares de dados, com foco nos clientes da empresa, de forma oportuna. Esse
portal gerenciará todo o workflow e deve conter as seguintes funcionalidades:
O portal também deve possuir materiais direcionados ao público externo, informando como a
empresa trata do tema de privacidade e proteção de dados, apresentando a política de
privacidade com informações sobre direitos dos titulares, demonstrando as boas práticas
adotadas para manter a proteção desses dados e os esforços da empresa para manter a
conformidade com a LGPD.
3. Como minha empresa deve desenvolver os modelos de respostas para solicitações de
titulares de dados?
(1) consentimento;
(2) cumprimento de obrigação legal ou regulatória;
(3) execução de políticas públicas;
(4) realização de estudos por órgãos de pesquisa;
(5) exercício regular de direitos;
(6) proteção da vida;
(7) tutela da saúde;
(8) prevenção a fraudes.
5. A minha empresa ainda não possui uma Política de Retenção e Descarte de Dados. O que
devo fazer?
Você deve elaborar a Política de Retenção e Descarte de Dados da empresa. Essa política deve
incluir os princípios de retenção e descarte apropriados de dados pessoais, observando os
requisitos legais da LGPD. Além disso, ela deve conter:
Atenção: a LGPD ainda não elaborou a lista de países seguros. Entretanto, o Regulamento
Geral da União Europeia sobre a Proteção de Dados (GDPR) já disponibilizou essa lista:
https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-
protectio n/adequacy-decisions_en.
Além disso, sugerimos a revisão de contratos firmados com terceiros nos quais existe
transferência internacional de dados pessoais para que sejam incluídas cláusulas padrão e
termos voltados à privacidade e proteção de dados.
8. Como minha empresa pode implantar uma Análise de Impacto à Proteção de Dados
(DPIA)?
Esse programa pode ter duas fases. A primeira é comum para todos os funcionários e
abordará: o que são as leis de privacidade e proteção de dados; os seus princípios; os riscos de
não estar em conformidade com elas; o que são dados pessoais e sensíveis; bases legais; o que
é considerado processamento de dados; como classificar o dado antes de armazená-lo; como
descartá-lo corretamente; o que é ROPA; DPIA; o papel e a importância do encarregado de
dados (DPO) e como reportar uma violação de dados na empresa. Essa fase um pode ser um
treinamento online, disponibilizado para os funcionários na intranet.
Na segunda fase do programa, o treinamento deverá ser direcionado para cada área de
negócio, de acordo com a natureza de relacionamento que o setor possui com os titulares de
dados (relacionamento com cliente, financeiro, RH etc.). Essa fase abordará com mais
profundidade a aplicação das bases legais de acordo com os tipos de processamento que a
área realiza e terá apresentação de cases específicos conforme a atuação da área (exemplo de
cases de profiling para área de marketing). A fase dois pode ser presencial para os funcionários
da área.