LGPD: 15 passos para sua implementação

(Parte 1 – Engajamento da alta administração e DPO)

Percebe-se que com o advento da LGPD (lei 13.709 – Lei Geral de Proteção de Dados
Pessoais), houve um aumento da preocupação das empresas com o Consentimento, que
atualmente deve ser concedido pelo titular de dados de forma clara, inequívoca, consciente,
e contemplando uma finalidade pré determinada e limitada.

Contudo, considero que ainda vai levar um tempo para algumas empresas perceberem que a
lei contempla muitos outros pontos que, ouso dizer, são mais relevantes do que a
preocupação com a formalização do consentimento.

O risco de vazamento de dados deve ser visto com seriedade pelas Companhias, pois
mesmo que haja consentimento do titular, o vazamento pode gerar grandes prejuízos para a
Organização. Como já ouvi por diversas vezes em eventos de proteção de dados, tratando-se
de vazamento de dados, a questão não é “se”, mas “quando”. Dai a importância das
empresas se prepararem adequadamente, preocupando-se igualmente em estar em
conformidade com todos os demais princípios e pontos previstos na lei.

Embora ainda existam muitos pontos emblemáticos e que levantam dúvidas quanto a sua
aplicação, a lei é bastante didática na maioria dos pontos expostos. Mesmo tendo a sua
previsão de vigência para daqui um ano (fevereiro de 2020), é importante que as empresas
entendam os ganhos de estar na vanguarda e que todo o tempo pode ser pouco para garantir
a adequação da empresa e evitar riscos e exposições negativas.

Tem havido muitas discussões sobre a LGPD, principalmente no que se refere a sua
implementação no ambiente corporativo, e muitos têm se questionado: Por onde começar?

1) Considero que, assim como todas as temáticas relacionadas a GRC, um dos principais
pontos é o patrocínio da Alta administração. Nenhuma iniciativa ou ação realizada dentro
de uma empresa pode ser completamente efetiva e atingir sua finalidade sem o
envolvimento da Alta administração. Contudo, sabe-se que nem sempre é fácil convencer e
engajar os dirigentes de uma Companhia, principalmente tratando-se de iniciativas que irão
envolver esforços e investimento financeiro. Então, como fazer?

O primeiro passo é preparar um material sucinto e objetivo, que contenha informações e

argumentos relevantes que possam evidenciar a importância das iniciativas e do programa a
ser implementado, conscientizando e convencendo a Alta Administração. Aqui o segredo é
a qualidade das informações e seu poder argumentativo e persuasivo.

Para elaborar o relatório, é possível seguir a metodologia 5W2H (What, Why, When, Who,
Where, How, How much):

- What: O que é a lei, a quem e como se aplica?

- When: Qual o prazo de implementação das medidas?

- Who: Quem será responsável pelo projeto?

- Why: Por quê ela é relevante para a Companhia?

Vale mencionar que a conformidade com a lei não é uma opção, mas uma obrigação, e que
a empresa possui pouco tempo para se adaptar, uma vez que a vigência da lei inicia-se em
fevereiro de 2020.

Também podemos nos valer de argumentos relacionados aos riscos que serão minimizados
e, consequentemente, os gastos que serão evitados. Em casos de vazamento a empresa pode
perder valor de mercado, ter sua reputação impactada negativamente e perder sua
confiabilidade. Além disso, explicitar as multas as quais a empresa estará sujeita com a não
adequação pode ser um ótimo argumento, como o ressarcimento das vítimas ou multas
administrativas previstas na lei que podem chegar a 2% do faturamento ou
R$50.000.000,00.

Algumas pesquisas e relatórios anuais feitos por algumas organizações podem auxiliar na
escolha de argumentos, como é o caso do Ponemon Institute que informa os custos das
empresas com o Data Breach.

- How: Quais são os requisitos que deverão ser cumpridos? Qual o plano, ou seja como a
empresa poderá concretizá-los?

- How much: Quanto irá custar? Qual a previsão de investimento?

2) O próximo passo é estabelecer um encarregado/responsável pelo controle e proteção dos

dados (DPO) – principalmente em empresas que tratem dados em grande escala.
Esteprofissional deve não apenas definir medidas e educar os colaboradores, mas também
acompanhar e monitorar a efetividade de suas iniciativas.

Levando em consideração a crescente multiciplinaridade, não existe um perfil específico

para o profissional que irá ocupar o cargo. Ele poderá ter diferentes formações, o que
importa é que ele possua bons conhecimentos jurídicos sobre as leis que incidem nas
atividades de tratamento e proteção de dados, e aqui não podemos nos restringir a LGPD.
Além disso, é importante que o profissional tenha conhecimento técnico sobre o
funcionamento dos sistemas, incluindo melhores práticas de segurança, bem como
facilidade para transitar e interagir com as áreas envolvidas no tratamento de informações,
visando conscientizar e disseminar as iniciativas implementadas.

Nos próximos artigos serão abordados os demais passos para a implementação da LGPD.
Até lá!

LGPD: 15 passos para a implementação

(Parte 2 - Mapeamento)
No primeiro texto desta série, discutimos um pouco sobre o convencimento da Alta
administração quanto a importância e implementação do Programa de Compliance Digital e
do papel do DPO neste processo. Neste texto, iremos tratar um pouco de uma importante
etapa: o mapeamento.
Assim como qualquer atividade relacionada a gestão de riscos, o mapeamento é uma das
principais, senão a principal, ação que deve ser adotada no início de um projeto. Na
implementação de um programa de Compliance Digital (LGPD) não seria diferente e,
portanto, o mapeamento aparece como terceiro passo a ser realizado em um projeto de
proteção de dados:
3) Mapeamento:

É importante que a empresa possua conhecimento de sua estrutura atual e de seu nível de
maturidade no que se refere a proteção de dados. Para isso deve-se iniciar o projeto
realizando um mapeamento dos dados, atores envolvidos em seu tratamento, estrutura de
segurança e controles:

3.1) Mapear e inventariar quais dados são tratados pelo Controlador (empresa):

- Categorizando-os (pessoais, sensíveis, anonimizados, direto e indireto, de criança ou

adolecente). Esta etapa pode ser realizada com a ajuda de soluções relacionadas a Discovery
de dados, por exemplo;

- Compreendendo o fluxo dos dados (cliclo de vida): Quais os canais de entrada dos dados?
Para qual finalidade eles são coletados? Em que local são armazenados?

Este ponto é bastante relevante, levando-se em consideração que a maioria das Companhias
ainda possuem seus dados em planilhas distribuídas pelas áreas, em nuvens e outras
ferramentas. Apenas cerca de 10% das empresas possuem bancos de dados consolidados,
centralizados e estruturados.

3.2) Mapear os atores que estão envolvidos no tratamento de dados:

- Quem é a empresa como ator? (Controller/Controlador, Processor/Operador);

- Existem outros atores envolvidos? (Operador/processor, terceiros);

- Existe a possibilidade/previsão de compartilhamento com terceiros? Com quem e por que?

Vale destacar que, em caso positivo, essa situação que deve estar prevista/contida na
política da privacidade assinada pelo titular.

- Existe a previsão de transferência internacional de dados?

- Qual é o perfil dos usuários que tem acesso ao banco de dados? Como é feita a gestão de
acessos? Quais usuários possuem perfil Admin? Qual o controle para estes usuários?

3.3) Mapear quais ferramentas e processos estão envolvidos no tratamento de dados;

               - Dispositivos/ferramentas utilizados pela empresa/colaboradores. Inclusive os

informais (ex.: Whatsapp, Dropbox – “Shadow IT”);

3.4) Mapear e compreender o contexto do negócio, e identificar até que ponto a lei se
aplica. Pode ser realizado mediante reunião de brainstorm, com equipes que tenham acesso
e/ou necessitem de dados pessoais em suas operações (Marketing, vendas, comercial, RH).

- É importante a realização de um trabalho conjunto com as áreas de gerenciamento de

riscos, como Compliance e Controles internos, visando por exemplo, identificar se algum
controle interno dificulta o cumprimento de algum dos princípios estabelecidos na LGPD,
como por exemplo, a conciliação, que pode duplicar dados ou mesmo mantê-los
armazenados por tempo superior ao necessário. Dependendo da situação, neste caso pode
ser trabalhada a base legal de legítimo interesse.
               - Compreender qual o objetivo e estratégia da Companhia, e analisar quais os
dados que são realmente necessários para o atingimento desses objetivos (seguindo os
princípios 1- Finalidade e 3- Necessidade). O dado é essencial? Ele precisa ser guardado?
Por que ele precisa ser guardado (justificativa plausível)? Por quanto tempo ele
precisa/pode ser armazenado? É possível pseudoanonimizá-lo? O dado está sendo duplicado
(verificar com o rogramador)?

               - Definir junto às áreas envolvidas na coleta e tratamento dos dados os

procedimentos de descarte destes. E neste caso, é preciso que a empresa e principalmente as
equipes envolvidas tenham ciência dos seguintes pontos:

               - Em que situações os dados serão descartados?

É importante identificar qual critério da lei se aplica a sua empresa e/ou áreas envolvidas no
tratamento: quando a finalidade for atingida/alcançada; quando os dados deixarem de ser
pertinentes ou necessários; mediante solicitação do titular; quando uma autoridade nacional
assim o determinar etc.;

               - Como os dados serão descartados? Quem será responsável pelo descarte?

Vale destacar que será necessário formalizar o descarte, mediante documentação que
contemplará a descrição dos dados descartados, quando e o motivo do descate.

No próximo texto desta série, iremos abordar o processo de identificação e avaliação dos
riscos, a definição de mecanismos de segurança (e algumas melhores práticas), mecanismos
administrativos e treinamentos.

Até lá!

LGPD: 15 passos para a implementação

(Parte 3 – Mecanismos e ferramentas)

Neste série de artigos sobre a LGPD, discutimos alguns passos que integram um plano de
implementação da Lei e de um Programa de Compliance Digital. Nos textos anteriores
apresentamos a importância do comprometimento da Alta administração, assim como do
processo de mapeamento do cenário e estrutura da Companhia (você pode dar uma olhada
nos conteúdos aqui e aqui).

Concluídas as etapas anteriores, apresentamos no presente artigo os passos relacionados a

definição dos mecanismos que possibilitarão a proteção dos dados que estão sob a
responsabilidade da empresa, e algumas das melhores práticas discutidas no mercado:

4) Finalizado o mapeamento, deve-se identificar, analisar e avaliar os riscos – realizar um

gap assessment (legal e técnico) para definir as bases legais para tratamento dos dados
pessoais em posse da Organização;

5) Definir e implementar mecanismos de segurança nas bases de dados e/ou avaliar os já

existentes. De acordo com a LGPD a ausência de medidas de segurança pode acarretar no
entendimento de que está havendo tratamento irregular dos dados. Por isso, é importante
que a organização possua e colete evidências, visando desmentir uma acusação de
vazamento ou mesmo comprovar os cuidados que adotou, caso o vazamento se confirme. É
o Controlador que deve comprovar que não houve vazamento, ou que a culpa do vazamento
partiu de terceiros, como o Operador/Processor (que não cumpriu com as políticas
acordadas) ou do descuido do próprio titular.

Exemplos de medidas:

               - Realizar risk assessment e utilizar metodologias de riscos de TI, como o NIST,
ISO 27001 e COBIT;

               - Implementar mecanismos de controle de acessos e de controle de integridade das

informações, visando identificar e registrar as ações e alterações realizadas no banco de
dados. É possível inclusive, implementar segregação de funções na utilização e acesso aos
sistemas, estabelecendo, por exemplo, que quem grava os dados, não pode apagá-los;

- Contratar seguros contra vazamentos (Seguros E&O, D&O);

               - Monitorar periodicamente a segurança dos sistemas existentes, realizando, por

exemplo testes de resiliência para invasões e de phishing, ou utilizando-se de threat
intelligence;
               - Realizar backup de dados (sendo importante prever a criptografação destes), que
pode acontecer tanto via provedor de serviço de armazenamento ou de forma física (mais
recomendada). Vale ressaltar que não é obrigação do provedor fazer um backup do seu
servidor/banco de dados. Caso a empresa tenha interesse no serviço, é necessário solicitá-lo
ao provedor, evitando surpresas no futuro.

               - Estabelecer monitoramento periódico de e-mails, rede interna e estações de

trabalho;

               - Analisar medidas de segurança para o armazenamento dos dados;

               - Estudar e selecionar a melhor medida de segurança em Cloud, caso a empresa

utilize deste recurso. Utilizar o mapeamento de riscos para definir o desenho e critérios
utilizados na estrutura do provedor (quem irá acessar cada servidor, qual o perfil de acesso,
qual será o nível de segurança);

6) Adequar ferramentas e sistemas visando possibilitar o cumprimento das exigentes da lei,

como:

- Formato em que a política de privacidade será exposta ao titular;

- Formas de conceção e registro de consentimento;

- Facilidade no acesso, consulta e atualização dos dados pelo titular;

- Portabilidade dos dados, etc.

7) Implementar mecanismos administrativos:

7.1) Elaborar e/ou revisar políticas de privacidade (internas e externas), incluindo a cláusula
quanto a possibilidade de transferência de dados e compartilhamento, assim como
regulamento interno e termo individual de aderência à política, contemplando por exemplo
a proibição de envio de dados pessoais para o e-mail pessoal;

7.2) Adicionar um capítulo de privacidade/proteção de dados ao manual de governança da

Companhia;

7.3) Elaborar e/ou revisar contratos com colaboradores e terceiros que impliquem no
processamento de dados (operadores). Analisando pontos necessários (duração do
armazenamento, natureza e tipo dos dados que serão processados, finalidade da coleta dos
dados);

7.4) Adequar o processo de Due Diligence de terceiros, visando incorporar o entendimento

da estrutura e adequação do terceiro à LGPD, principalmente no que se refere a terceiros
que prestem serviços relacionados ao tratamento de dados;

7.5) Estabelecer um plano de gestão de documentos, visando garantir a segurança adequada

no armazenamento dos dados recolhidos (prioriando áreas e processos mais críticos – ex.:
marketing, RH). Seguindo as orientações de guardar apenas os documentos necessários,
como por exemplo aqueles que expressem responsabilidades ou direitos. Guardar apenas
pelo tempo necessário, seguindo o cumprimento da finalidade e necessidade ou mesmo
outras bases legais previstas, como o cumprimento de contrato ou leis tributárias para a
manutenção de notas fiscais. Formalizar nos documentos o tempo de vigencia do dado,
implementar ferramentas que sinalizem quando do expiração do prazo estabelecido.

               Vale lembrar que a LGPD não se refere apenas a dados no formato digital, mas em
qualquer formato, sendo necessária a adoção de medidas preventivas também no que se
refere ao tratamento e armazenamento de documentos físicos e/ou offline.

8) Ações de treinamento, capacitação e conscientização:

Muitos dos ataques não são simples invasões, mas são ataques direcionados, os quais
contam também com estratégias de engenharia social. Por isso, é importante implementar
um calendário de treinamentos relacionados a temática: Educar e
conscientizar, incentivando a adoção de boas práticas e a mudança na cultura interna
(através de treinamentos periódicos, por exemplo) e externa.

8.1) Cumprimento/execução da lei: ex.: orientar equipe de telemarketing sobre a finalidade

e motivo dos dados estarem sendo solicitados, ou mesmo para informar a origem dos dados
utilizados (“onde você conseguiu o meu número?”);

8.2) Conscientização: educação digital sobre o uso consciente do ambiente digital. Assim
como situações, formas de uso de dados, dispositivos e pessoas autorizadas para o
compartilhamento, visando especificar situações que podem expor a empresa a riscos.
Assim como os impactos que o descumprimento pode acarretar a empresa e aos
colaboradores; 

8.3) Tratar os “insiders”: O maior número de incidentes de vazamentos de dados no Brasil

foi realizado ou facilitado por alguém de dentro da Organização. Por isso, é importante
realizaçr ações que visem transparecer confiabilidade quanto aos controles existentes e
divulgar as medidas disciplinares previstas em caso de violação;
9) Estabelecer e divulgar canais de reporte de incidentes, cuidando para promover a
credibilidade e confiabilidade de tais canais e, assim, incentivar a sua utilização.

No próximo e último texto desta série, iremos abordar os procedimentos de documentação e

monitoramento, de modo a garantir resguardo e pronta resposta a possíveis incidentes,
assim como acompanhar e mensurar a efetividade das iniciativas e mecanismos adotadas
pela Organização.

Até lá.

LGPD: 15 passos para a implementação

(Parte final – Documentações e monitoramento)

Depois de investir tempo e recursos financeiros, é importante que a empresa tenha meios
para assegurar os esforços adotados, bem como que o Programa seja vivo e sempre
direcionado para um ciclo de melhoria contínua, objetivando "assegurar" a sua efetividade e
evitar que todos os esforços tenham sido em vão.

Para tanto, destacamos os últimos 5 passos que contemplam: a documentação do Programa,

com a elaboração de um relatório de impacto e recolhimento de evidências, planos de
gestão de crises e monitoramento contínuo.

10) Documentar as análises e procedimentos, e implementar o registros de processamento

de dados/operações.

Deve ser realizado o registro de todas as operações de tratamento de dados, principalmente

quando o tratamento ocorrer baseado em legítimo interesse. Metodologia também
conhecida como data mapping. Neste registros deve-se indicar quais tipos de dados
pessoais serão coletados, a base legal que autoriza os seus usos, as suas finalidades, o tempo
de retenção (e justificativa), as práticas de segurança de informação implementadas no
armazenamento, e com quem os dados podem ser, eventualmente, compartilhados.

11) Elaborar e atualizar periodicamente o Relatório de Impacto, o qual deve conter:

- A descrição das atividades de processamento de dados que podem gerar riscos aos
titulares de dados;

- Informações sobre as medidas, salvaguardas e instrumentos de mitigação de danos

adotados pelo controlador;

- Requisitos de segurança, incluindo medidas técnicas e administrativas;

- Implementação dos princípios do privacy by design;

Embora a lei ainda não preveja, é importante que a empresa já se antecipe, e adicione
evidências a este relatório. (Isso irá facilitar a elaboração da notificação quando da
ocorrência de um incidente).
12) Estabelecer planos de respostas a incidentes (que deve ser formalizado em uma política
interna de tratamento de incidentes);

13)  Definir procedimentos de investigação (ex.: grupo de perícia – o qual em caso de

vazamento poderá traçar o caminho percorrido pelos dados, e comprovar se a ocorrência se
deu por culpa do titular – ex. vírus, do operador, ou do próprio controlador);

Caso um incidente ocorra, é importante que a equipe envolvida na gestão da crise já esteja
preparada para lidar com a situação, ciente de todos os riscos e das etapas que não podem
ser negligenciadas. Como exemplo, é importante que a empresa tenha ciência de que nem
sempre a área de TI deve ser envolvida na investigação da ocorrência, uma vez que estes
funcionários podem estar envolvidos. Nestes casos, recomenda-se a realização de uma
investigação externa.

14) Elaborar um modelo de notificação para incidentes, que contemple:

               - Os riscos relacionados ao incidente (possível utilizar metodologia FAIR para

quantificar risco cibernético);

               - As medidas técnicas e administrativas já adotadas pela Companhia, que visavam

prevenir o incidente (informações já constantes no relatório de Impacto);

               - A empresa deverá enviar o relatório em tempo razoável ou terá que expor e
comprovar o motivo da demora. Caberá à Companhia, demonstrar que o tempo utilizado foi
razoável, dai a importância de a empresa possuir um modelo pré elaborado, contendo parte
das informações, visando agilizar a elaboração do report final;

               - É possível elaborar um playbook, em que estarão registrados os incidentes que

podem ocorrer com a Organização. Como fonte e ponto de partida, o NIST 853 dispõe de
uma lista com 25 incidentes possíveis.

Na ocorrência de um incidente concreto, a versão final da notificação ainda deverá expor:

- A natureza dos dados envolvidos no incidente;

     - Informações sobre os titulares envolvidos (ex.: quantidade);

    - As medidas que foram ou que serão adotadas para reverter ou minimizar os danos do
incidente;

15) Monitorar e notificar, seguindo as diretrizes previstas na política de tratamento de

incidentes, visando garantir o cumprimento de requisitos de comunicação às autoridades em
caso de vazamentos ou uso indevido de dados pessoais.

15.1) Novos projetos:

É importante que o DPO, assim como a área de Risco, estejam envolvidos em todos os
projetos de TI, principalmente aqueles que tratem de inovações, visando garantir a
conformidade com a lei, e a implementação dos controles adequados.
Isto por que é muito comum que no processo de desenvolvimento de um sistema, alguns
ajustes sejam feitos pelos desenvolvedores que, sem ter conhecimento total dos riscos
envolvidos, podem tornar o sistema real bastante diferente do que está descrito na
documentação. Dai a importância de treinar adequadamente a equipe de desenvolvimento e
manutenção dos sistemas, visando favorecer que todas as ações sejam realizadas by
design (o que irá minimizar possíveis bugs e favorecer o cumprimento do princípio da
LGPD referente a necessidade).

Também se faz relevante que os desenvolvedores tenham a consciência de que não é uma
prática recomendada realizar testes no ambiente de homologação com a base de dados real,
de modo a minimizar a exposição a vazamentos.

15.2) Acompanhamento através de indicadores:

Assim como o monitoramente de qualquer tipo de risco, e importante que a empresa defina
indicadores que possibilitem o acompanhamento da efetividade das medidas e ferramentas
de data protection adotadas. Pode ser interessante, por exemplo, que a empresa possua um
inventário de acessos, em que o próprio sistema crie um histórico dos acessos e ações
realizadas pelos usuários.

Quando discutimos sobre Compliance, é importante sempre lembrarmos que não existe

fórmula secreta. Cada empresa possui uma cultura, está inserida em um contexto específico
e possui uma estratégia individual. Por isso, é importante que, no processo de estruturação
de qualquer Programa, seja ele de Compliance Digital ou não, os profissionais responsáveis
tenham uma visão abrangente e completa sobre a Companhia, visando selecionar as
medidas que sejam mais apropriadas para a realidade da Organização.

O desafio da LGPD é grande, mas ao meu ver não faltam profissionais qualificados e
interessados em auxiliar as empresas nessa nova fase. Espero que a compilação dos meus
estudos tenha sido proveitosa para aqueles que acompanharam os artigos e até o próximo
assunto!