LGPD: o que é e

como adequar
sua empresa?
 Sumário
3 Introdução

4 Conformidade com a LGPD é passaporte

para o novo mundo dos negócios

6 Objetivos da LGPD

7 5 principais direitos do titular que

devem ser observados na LGPD

8 Como sua empresa pode se adequar

14 Quanto antes começar a adequação,

melhor para seu negócio

16 GDPR e LGPD: proteção aos dados pessoais

viabiliza novo mercado global

17 Escândalos de vazamento de dados no Brasil

18 4 insights práticos

21 Adequação a LGPD impulsiona procura por

prestação de serviços para adequação
a LEI Nº 13.709/18

27 Quanto vale as informações sobre você?

Introdução

Sancionada em 2018, a Lei Geral de Proteção de Dados (LGPD)

aumenta a privacidade e proteção de dados pessoais e define o poder
das entidades regulamentadoras para realizar a fiscalização das
organizações.

Todas as empresas deverão adequar os mecanismos de interação com

o titular dos dados e garantir segurança de tais informações de forma
transparente.

Empresas que não estiverem adequadas após o prazo definido,

poderão ser penalizadas com altas multas, variando de 2% do
faturamento bruto até R$50 milhões por infração.

Ficou interessado e quer saber mais sobre a LGPD? Preparamos este

ebook especial para te explicar tudo sobre a lei, quais são suas práticas,
oferecer insights para seu negócio, mostrar como a sua empresa pode
começar a se adequar e, o melhor, como a Vexia pode te auxiliar
durante todo esse processo, através de uma equipe de especialistas
qualificados e atualizados sobre o assunto.

Boa leitura!

3
Conformidade com a LGPD é
passaporte para o novo mundo
dos negócios

LGPD em destaque

Adequar-se à LGPD é uma questão de sobrevivência em um mercado

cada vez mais global e que exige a transparência dos players em todos
os setores da economia.

Em uma sociedade cada vez mais movida e orientada por dados

pessoais e empresariais nas redes, crescem movimentos para proteção
do lado mais frágil da cadeia – o titular do dado. Um novo pacto social,
fundamentado na transparência e no respeito nas relações comerciais e
também nas questões de políticas públicas, vem se mostrando cada vez
mais necessário.

A General Data Protection Regulation (GDPR), em vigor desde maio

de 2018 na Europa, formalizou as regras para coleta e uso de dados
pessoais em 28 países, prevendo duras punições para entidades
públicas ou privadas que não cumprirem suas diretrizes em todo
continente europeu.

Com seu formato abrangente, ela também engloba as organizações que

fazem negócios com seus cidadãos em qualquer parte do mundo e,
somada aos escândalos de vazamentos de dados de grandes empresas,
despertou a urgência de uma adequação internacional.

4
 Diversos países têm implementado “as regras do jogo” para a coleta e
uso de dados pessoais, inclusive muitos na América Latina, mas o
Brasil ainda não tinha formalizado seus parâmetros. Assim, inspirada
na GDPR, foi criada a Lei Geral de Proteção de Dados (LGPD) que
entrará em vigor no início de 2021 (vide Medida Provisória 929/2020).

João Carlos Orzzi Lucas, vice-presidente de Governança, Riscos e

Compliance da Vexia, ilustra a implementação da Lei da seguinte
forma:

Fazendo uma analogia simplificada da questão, é

como a obrigação de utilizar o cinto de segurança no
carro, que aconteceu lá em 1997. Todos tinham
consciência de que era mais seguro usar o cinto e
sabiam dos riscos que corriam sem ele, no entanto, a
população só aderiu massivamente quando passou a
existir uma lei e uma punição monetária. Da mesma
forma, a LGPD formaliza a responsabilidade sobre o
uso de dados pessoais dentro das empresas e promove
uma transformação cultural nesse sentido.

Com base na legislação europeia, a Lei nº 13.709/2018 (nomenclatura

oficial da LGPD) também consolida, atualiza e torna mais robustas as
regras de coleta e uso de dados pessoais que estavam de alguma forma
pulverizadas no Marco Civil da Internet, no Código de Defesa do
Consumidor e na própria Constituição Federal.

Com ela, empresas de todos os portes, públicas ou privadas, que

coletam dados pessoais (sejam de clientes, fornecedores ou
funcionários) devem estar de acordo com a legislação e o órgão
regulatório será a ANPD (Autoridade Nacional de Proteção de Dados).

DADOS QUE IDENTIFICAM + DADOS IDENTIFICÁVEIS

Além dos dados que identificam seu titular (como nome, RG ou CPF,
por exemplo), também estão sob proteção da Lei os dados
identificáveis como o endereço IP, geolocalização do usuário, entre
outros que permitam chegar às informações mais sensíveis como
orientação política ou religiosa, por exemplo.

3 5
OBJETIVOS DA LGPD
A LGPD tem como objetivo formal “proteger os direitos fundamentais
de liberdade e de privacidade e o livre desenvolvimento da
personalidade da pessoa natural”.

E os efeitos da legislação atingem em cheio as estruturas

organizacionais e as relações comerciais, vez que a responsabilidade
pela proteção dos dados pessoais que fluem dentro das organizações
passa a ser da própria empresa (e parceiros) e não do usuário.

A LGPD acaba por impulsionar a qualidade do ecossistema de

negócios do Brasil, elevando o nível de privacidade e proteção de
dados e garantindo um ambiente operacional seguro, adequado para
transações comerciais mundialmente competitivo.

Trata-se não apenas de adequações de procedimentos e fluxos interno,

mas de uma transformação cultural que, por meio da transparência,
resultará um impacto reputacional muito relevante, principalmente no
que diz respeito à confiança do titular dos dados.

6
5 PRINCIPAIS DIREITOS
DO TITULAR QUE DEVEM
SER OBSERVADOS NA LGPD
A privacidade dos dados pessoais diz respeito à proteção das pessoas
frente ao uso que é feito dessas informações, desde campanhas de
marketing dirigidas, passando por autorização/negação de
financiamento bancário ou ainda aceite (ou não) da participação em
um plano de saúde.

SENDO ASSIM, A LEI GARANTE

DIREITOS COMO

Confirmação e acesso: o titular pode solicitar a confirmação da

existência de tratamento, bem como solicitar o acesso aos dados
pessoais coletados e obter informações claras sobre a origem dos
dados, a inexistência de registro, os critérios utilizados e a
finalidade do tratamento.

Correção: o titular pode solicitar alterações em seus dados

(correções, atualizações e exclusões).

Eliminiação: o titular dos dados pode solicitar a exclusão de seus

dados dentro de determinado sistema.

Portabilidade: deve ser possível que o titular consiga exportar seus

dados pessoais de um sistema para outro.

Direito a explicação: o titular pode solicitar informações sobre

todos os algoritmos que interagem com com seus dados para
entender, por exemplo, porque um empréstimo do banco foi
negado.

*Lembrando que as eliminações de cadastro de um banco de dados também estão sujeitas a

outras determinações legais dentro de cada segmento. Bancos, departamentos de Recursos
Humanos e empresas de Redes Sociais (como o Facebook) são obrigadas a manterem o
registro dos dados por tempo determinado.

7
COMO SUA EMPRESA
PODE SE ADEQUAR
A adequação à LGPD será um processo que envolverá todos os
departamentos e colaboradores das instituições, pois será uma
transformação cultural na maneira de lidar com os dados que circulam
dentro da organização.

Algumas empresas já têm um processo mais maduro, enquanto outras

ainda têm um longo caminho a percorrer para estarem em
conformidade. Por isso, a Vexia tem um plano de ação personalizado
para atender cada cliente, considerando seu momento atual, seja
financeiro, comportamental ou técnico.

O diferencial da Vexia para a adequação à LGPD é a atuação conjunta

de um time multidisciplinar que une expertises em soluções de
tecnologia, respaldo jurídico, gestão de risco e compliance.

O modelo de trabalho para a adequação à LGPD que a Vexia propõe

segue o seguinte fluxo:

#PESSOAS

Desde o colaborador que solicita dados de um visitante na portaria da

empresa para registrar seu acesso até o presidente que autoriza o uso
dos dados pessoais para tomada de decisão comercial, todos estarão
envolvidos com a LGPD. Por isso, o trabalho da Vexia começa com as
pessoas, considerando:

TREINAMENTO

Conscientizar e capacitar continuamente os parceiros e colaboradores

sobre a abrangência e impactos da Lei é fundamental para eliminar
brechas oriundas de pequenas ações particulares, e deve ser uma
atividade regular dentro da companhia.
8
 RESPONSABILIDADE LEGAL

A partir do início da vigência da Lei, toda empresa deve ter um

responsável certificado responsável pela gestão dos dados pessoais, o
chamado Data Protection Officer (DPO). Esse profissional pode ser
um colaborador ou um agente externo especializado, como a Vexia,
que tem profissionais certificados e aptos a assinarem legalmente pela
empresa.

BENCHMARKING

Adotar e disseminar as boas práticas do mercado tanto nacional quanto

internacional, visando adequação aos novos modelos de negócio que
vão considerar a proteção dos dados pessoais.

#PROCESSOS

Todo o ciclo de vida dos dados pessoais dentro da empresa deve ser
levantado e analisado pela equipe multidisciplinar citada acima que
garantirá sua total adequação à LGPD, seguindo quatro passos:

9
 Será preciso identificar quais dados pessoais sua empresa possui,
como eles entram nos sistemas, como são armazenados, com
quem são compartilhados, além da forma como são excluídos.
Nesta etapa também são revistos, por exemplo, todos os contratos
que envolvam dados pessoais, pois eles devem conter cláusulas
claras sobre consentimento, coleta e finalidade de uso.

Após esse mapeamento minucioso sobre o ciclo de vida dos dados

pessoais dentro da organização, são levantados todos os riscos
existentes na estrutura atual que elevam a exposição da empresa às
duras penalidades previstas na Lei.

O time multidisciplinar da Vexia identifica as adequações

necessárias e as prioridades de ação dentro das falhas encontradas,
considerando a realidade do cliente e sua capacidade de execução
nas esferas tecnológicas, legais e de compliance.

A Vexia, além de levantar o cenário completo, identificar os riscos

e recomendar ações de adequação, também está pronta para
colocar o plano em ação, cobrindo os gaps encontrados e
reduzindo drasticamente os riscos da empresa. Nesta etapa a Vexia
orienta como instituir o controle e a governança do ciclo de vida
dos dados pessoais dentro da empresa de forma continuada.

Fernanda Cortes Lopes Mainieri, head do departamento jurídico da Vexia conta

que o acompanhamento do time jurídico em cada etapa do processo ajuda a
direcionar as prioridades na adequação da empresa, tornando o plano de ação
mais ágil e eficiente, com o custo adequado.

É como se nós fossemos os olhos da Lei em cada

pedacinho da operação, para não deixar passar
nada, protegendo a companhia e, principalmente,
o titular do dado.

10
 #TECNOLOGIA

A Vexia tem a estrutura e a flexibilidade necessárias para atender

empresas nos mais diversos estágios de adequação à LGPD. Por isso,
as tecnologias apresentadas abaixo são apenas exemplos do que pode
ser entregue para que a sua empresa fique em conformidade, de acordo
com as necessidades do seu ambiente. Confira:

SEGURANÇA DA INFORMAÇÃO:

• Varredura de servidores locais e em nuvem,

além de estações de trabalho;
• Checagem da configuração das ferramentas atuais;
• Implementação de solução de criptografia;
• Adoção de ferramenta de DLP (data loss prevention):
Segregação de permissões de acessos;
• Implementação de alarmes para identificar invasões ou
tentativas de acesso indevidas;
• Definição (ou revisão) da política de backup de dados
pessoais;
• Monitoramento da ação de terceiros com dados
compartilhados pela sua empresa.

AUDITORIA E CONTROLE

• Operação contínua de monitoramento e gestão

do ambiente de rede;
• Testes de penetração e vulnerabilidade da rede;
• Comprovação da origem e do direito de uso dos dados;
• Garantia de que os dados possam ser exportados de forma
que o titular do dado consiga abrir e entender de forma clara;
• Rastreabilidade dos dados.

11
A visão de riscos corporativos é outro aspecto a ser observado pelas
organizações, onde a proteção de dados deve ser vista como um ativo
a ser protegido e monitorado. Neste sentido, Diego Souza, head de
Auditoria e Riscos da VEXIA, alerta para a necessidade de incluir este
tema na matriz de riscos e assim desenvolver planos de ação para
mitigar a sua exposição.

Cada etapa da adequação à LGPD (Pessoas, Processos e Tecnologia)

pode ser contratada separadamente com a Vexia, de acordo com o
momento da empresa ou seu grau de maturidade frente às demandas da
Lei.

Para Maurício Santos, líder de Segurança da Informação da Vexia, o

que não pode ser perdido de vista daqui para frente é que:

Não basta ter controle sobre os dados

pessoais dentro da empresa, mas ainda é
preciso ter como provar que esses
controles existem e mantê-los vivos em
um processo de monitoramento contínuo
visando adequação à LGPD
ao longo do tempo.

12
 ALERTAS IMPORTANTES

• Até 2020, o backup e o arquivamento de dados pessoais

representarão a maior área de risco de privacidade para 70%
das organizações. (Gartner)

• Praticamente nenhuma empresa está imune, com 96% das

empresas sofrendo pelo menos uma exploração grave de
dados. (Fortinet)

• A razão mais provável para uma organização sofrer um ataque

direcionado é a coleta de informações, em 96% dos casos.
(Symantec)

Assumindo que sua empresa venha a ter algum problema com o trato
dos dados pessoais nos próximos anos, ter a documentação necessária
para demonstrar seu empenho e preocupação em estar adequado é um
fator que vai mitigar possíveis sanções administrativas e também
proteger a reputação do seu negócio.

Investir em segurança da informação e compliance para prevenir e

tratar situações de vazamentos de dados pessoais é uma ação que vai
competir a todo ecossistema de negócios daqui para frente. Ou seja,
destaca-se mais uma vez o caráter cultural e reputacional que a nova
legislação imprime ao ambiente de negócios no Brasil e no mundo.

13
Quanto antes começar
a adequação, melhor para
seu negócio

A Autoridade Nacional de Proteção de Dados Pessoais (ANPD),

quando da sua estruturação, será a entidade responsável por orientar e
fiscalizar o cumprimento da Lei Geral de Proteção de Dados (LGPD)
e poderá, a partir de 3 de maio de 2021, vide Medida Provisória
959/20, a autuar empresas públicas e privadas, de todos os portes, que
não estiverem em conformidade, cobrando do Data Protection Officer
(DPO) explicações no âmbito legal.

Como acontece muitas vezes no início de um novo momento do

mercado*, essa “sopa de letrinhas” costuma dar um nó na cabeça das
pessoas, o que as faz pensar que tudo é muito complicado, difícil de
fiscalizar e que a nova Lei “não vai pegar”.

Antes que esse pensamento passe pela sua cabeça, saiba que a
General Data Protection Regulation (GDPR), legislação europeia que
inspirou a LGPD, já aplicou multas no valor de aproximadamente 56
milhões de euros (R$237 milhões) em cerca de um ano de vigência.

No Brasil a multa poderá chegar a 2% do faturamento, com teto de

R$50 milhões (por infração), e as denúncias poderão ser realizadas
pelo próprio titular do dado que se sentir lesado.

14
Mais do que multas e penalidades financeiras bastante impactantes,
não cumprir uma lei que trata de transparência e respeito aos dados
pessoais, é algo que pode manchar a reputação e a credibilidade de
uma empresa.

Por isso, proteger a integridade do titular e seu direito de saber o que é

feito de suas informações pessoais é se comprometer com os ativos
mais importantes da atualidade: dados.

Tanto são importantes e vêm ganhando cada vez mais destaque, que o
Senado Federal aprovou uma PEC (Proposta de Emenda à
Constituição) que inclui a proteção de dados pessoais – inclusive nos
meios digitais – na lista de direitos e garantias fundamentais do
cidadão. Essa emenda deve fazer parte do artigo quinto da
Constituição, o mesmo que garante que todos os cidadãos são iguais
perante a lei.

Percebemos que muitas

empresas ainda não têm
planejamento para o processo
de adequação.
João Carlos Orzzi Lucas

Para o vice-presidente de Governança, Riscos e Compliance da Vexia,

João Carlos Orzzi Lucas, quanto antes as empresas começarem o
processo de adequação à Lei, melhor será para o seu planejamento e
orçamento. “Percebemos que muitas empresas ainda não têm
planejamento para o processo de adequação. Isso deve ser pauta
urgente nas organizações, pois o orçamento pode ficar
comprometido por esse motivo no ano que vem”, alerta o executivo.

Orzzi conta ainda que o trabalho da Vexia na gestão dos dados

pessoais não começou agora. “Proteção de dados faz parte da nossa
rotina de trabalho há quase 20 anos, por sermos uma empresa de
tecnologia com foco em gestão de risco e compliance. Agora a LGPD
vai levar essa realidade a todo mercado e o Brasil vai ganhar muito
com isso” conclui.

15
GDPR E LGPD: PROTEÇÃO AOS
DADOS PESSOAIS VIABILIZA
NOVO MERCADO GLOBAL

A formalização da LGPD será benéfica para o Brasil, principalmente

no momento em que o Mercosul e a União Europeia fecham um
acordo comercial que vai envolver 25% da economia global e quase
10% da população do mundo, conforme notícia divulgada pela rede
BBC.

Certamente, adequar as instituições nacionais para esse grande

momento será imprescindível para o sucesso das iniciativas públicas e
privadas do futuro.

Vale lembrar que para fazer negócios com cidadãos europeus, será
preciso cumprir a GDPR e, estar em conformidade com a LGPD já é
um importante passo nesse sentido.

16
ESCÂNDALOS DE VAZAMENTO DE
DADOS NO BRASIL
Em uma sociedade cada vez mais conectada e digital o vazamento de
dados é uma das maiores ameaças para qualquer negócio. O maior
escândalo mundial nesse sentido foi o do Yahoo, em 2013, afetando
cerca de 3 bilhões de usuários.

Empresas brasileiras também já provaram o amargo sabor dessa

experiência e, mesmo antes da LGPD entrar em vigor, o impacto
reputacional foi bastante grande.

CONFIRA ALGUNS EXEMPLOS DO QUE

JÁ ACONTECEU POR AQUI

Uber: a empresa foi multada em diversos países por esconder o

vazamento de dados de seus clientes em 2016, quando criminosos
roubaram dados de 57 milhões de pessoas (cerca de 200 mil
brasileiras).

C&A: a gigante varejista foi alvo de hackers, e dados de 36 mil

clientes do sistema de vale-presentes e trocas foram expostos (como
e-mail, valor adquirido como presente e data da compra).

Banco Inter: em 2018 a instituição que opera exclusivamente online,

admitiu a exposição dos dados de cerca de 20 mil correntistas e teve
multa aplicada pelo Ministério Público do Distrito Federal e
Territórios (MPDFT).

Como você pode ver, os números relacionados ao vazamento de dados

são superlativos e mitigar as penalidades deve estar na ordem do dia.

Você deve saber que estar em conformidade com a nova Lei não
garante que os dados pessoais tratados dentro do seu negócio estejam
100% seguros (até porque isso ainda é impossível de garantir
tecnologicamente), mas a adequação reduz drasticamente a exposição
ao risco e minimiza as possíveis sanções que recaiam sobre um
eventual vazamento de informações.

17
4 INSIGHTS PRÁTICOS
Discussões ainda serão necessárias ao longo do processo de aplicação
da Lei, pois a legislação do Brasil é muito mais generalista do que a
versão europeia e vai vivenciar um amadurecimento ao seu tempo.

No entanto, as empresas públicas e privadas já devem dar início a essa

transformação cultural e de processos pensando, principalmente, no
budget destinado a ela.

A não adequação, certamente, é o caminho mais caro, tendo em vista

as multas que podem ser aplicadas (por infração) e o risco
reputacional. Portanto, estar em conformidade é um investimento para
a empresa, não um custo meramente operacional.

CONFIRA ALGUNS INSIGHTS

QUE OS ESPECIALISTAS DA VEXIA
LEVANTARAM SOBRE ESSA QUESTÃO:

18
REDUZA O RISCO AO MÁXIMO
Maurício Santos, líder de Segurança da Informação da Vexia, explica
que a primeira etapa do processo para estar em conformidade com a
Lei é realizar um diagnóstico preciso do volume e do fluxo de
informações dentro da empresa.

Para o executivo, é muito importante identificar o volume de dados

pessoais que circulam nos sistemas e estações de trabalho, para que se
possa separar os que precisam continuar sendo processados dos que
podem ser excluídos. “Eliminar os ‘dados em excesso’ é uma
excelente maneira de reduzir o risco de penalidades e multas”, avalia.

MIND THE GAP

O famoso alerta do metrô londrino que orienta os passageiros a
prestarem atenção no vão entre o trem e a plataforma de embarque
pode ser aplicado à realidade da LGPD. As companhias devem estar
especialmente atentas aos “buracos” que existem em seus processos,
que podem abrir espaço para roubo e vazamento dos dados pessoais
que estão sob sua tutela.

A head do departamento jurídico da Vexia, Fernanda Cortes Lopes

Mainieri, conta que no diagnóstico realizado pela empresa, além do
olhar técnico do time de tecnologia, existe o acompanhamento dos
especialistas jurídicos com o objetivo de cobrir as lacunas legais que
possam ser encontradas em qualquer etapa do fluxo de dados
mapeado. Afinal, o não conhecimento de uma infração, não exclui a
penalidade para a empresa.

19
BUSQUE A INOVAÇÃO
Além de proteger os dados pessoais de seus clientes, parceiros e
funcionários, as empresas também devem se proteger. Uma tecnologia
que vai ganhar força nesse sentido é o Blockchain. Segundo o Gartner,
até 2023, mais de 25% das implementações de provas de
consentimento vão envolver a tecnologia blockchain.

Nesse contexto, Diego Souza, head de Auditoria e Riscos da

Vexia, ressalta a importância de documentar todo o processo como
forma de provar o empenho da companhia em se adequar à LGPD
para mitigar possíveis sanções administrativas, mostrando o
comprometimento com a aplicação da Lei em seu ecossistema de
negócios.

COMECE O QUANTO ANTES

O vice-presidente da Vexia destaca que muitas empresas ainda não
têm orçamento definido para adequação à LGPD em 2019 e que o
cenário tende a ficar crítico em 2020. “Quem começar a dedicar parte
do orçamento agora, poderá fazer aportes com mais calma ao longo do
tempo. As empresas que deixarem para pensar nisso aos ‘45 do
segundo tempo’, terão que realizar um aporte mais significativo e em
um intervalo menor”, orienta.

Para o executivo, o investimento realizado terá impacto positivo não

somente nos processos “obrigatórios”, mas também em aspectos
menos tangíveis como na transformação cultural dentro da empresa e
na reputação da marca perante o mercado.

A Vexia oferece aos seus clientes um diagnóstico completo, bem como

todas as adequações necessárias para garantir conformidade com a
LGPD, executada por um time multidisciplinar nas áreas de
tecnologia, direito, compliance e gestão de riscos.

20
Adequação a LGPD impulsiona
procura por prestação de serviços
para adequação a LEI Nº 13.709/18

A LGPD (Lei Geral de Proteção de Dados Pessoais, nº 13.709/18) vem

ganhando cada vez mais força, à medida em que as notícias sobre o
assunto se espalham pelos mais diversos canais de comunicação. Pelos
noticiários, nas rodas de conversa, eventos universitários e
corporativos: ela está em toda parte!

Inclusive, faz integra uma grande transformação cultural dentro da

revolução tecnológica pela qual o mundo está passando. Esse
momento de transição e de ajustes para uma nova organização social
traz consequências importantes na rotina de todas as pessoas, sejam
físicas ou jurídicas.

Você, certamente, já ouviu notícias sobre os escândalos envolvendo o

vazamento de dados dos clientes pelas empresas e também sabe que a
GDPR (General Data Protection Regulation) desencadeou uma série
de mudanças globais, resultando também na criação da lei brasileira
que tropicaliza a proteção de dados pessoais.

Essa disseminação da informação faz com que as pessoas estejam cada

vez mais conscientes sobre o tema e, por isso, também acabem por
pressionar muito mais as empresas.

21
De acordo com o artigo “Lei Geral de Proteção de Dados e o risco das
demandas individuais. Já começou!”, publicado no dia 29/09/2019,
pelo blog do jornal O Estado de S. Paulo, processos relacionados ao
tratamento inadequado de dados pessoais já estão circulando nos
tribunais e os juízes têm adotado o viés da lei para definir pelas
condenações, mesmo antes da legislação entrar em vigor.

Ou seja, se o Governo ainda não começou a fiscalização oficial, o

público já assumiu esse papel e não vai deixar passar em brancas
nuvens o uso inadequado de seus dados pessoais.

O QUE SIGNIFICA TRATAMENTO DE DADOS

PESSOAIS NA LGPD

Toda operação realizada com dados pessoais, como as

que se referem a coleta, produção, recepção,
classificação, utilização, acesso, reprodução,
transmissão, distribuição, processamento,
arquivamento, armazenamento, eliminação, avaliação
ou controle da informação, modificação, comunicação,
transferência, difusão ou extração.

Fonte: LGPD

Oficialmente, as multas podem atingir R$50 milhões (ou o teto de 2%

do faturamento anual da empresa), mas outras medidas educativas e
sanções também podem ser aplicadas pelo poder judiciário - e já estão
sendo, conforme retratou o artigo do Estadão.

Toda essa movimentação em torno da nova Lei fez disparar a consulta

e os pedidos de projetos nas empresas especializadas. A Vexia, por
exemplo, viu a demanda por projetos de adequação à LGPD disparar
cerca de 200% desde o sancionamento da Lei em 2018.

22
Para o líder de Segurança da Informação, Auditoria e Risco da Vexia,
Maurício Santos, a demanda tende a aumentar ainda mais conforme a
data de vigência da Lei se aproximar. “Algumas empresas não têm
orçamento reservado para a adequação, o que está gerando um
represamento dos projetos. Em breve, esperamos uma explosão na
demanda, tanto pelo melhor preparo financeiro, quanto pela urgência
e necessidade de proteção legal”, explica.

A adequação de uma empresa aos critérios da LGPD é um processo

complexo que envolve, principalmente, os ambientes de tecnologia,
jurídico e governança. Seja um negócio ligado à produção de bens ou
prestação de serviços, todos precisarão olhar para a segurança da
informação e também revisar seus instrumentos contratuais
observando cláusulas de tratamento de dados com clientes diretos,
parceiros e colaboradores.

SAIBA MAIS SOBRE

CADA UM DOS AMBIENTES:

23
TECNOLOGIA
Ambiente digital 100% seguro ainda não existe. Quanto mais
sofisticadas são as barreiras, mais especializados também ficam os
hackers. No entanto, ao trabalhar com monitoramento e prevenção de
ataques cibernéticos, o risco de vazamento de dados cai drasticamente.

Além disso, no processo de adequação, o levantamento de todos os

dados pessoais que estão dentro da empresa de alguma maneira é vital.
Dessa forma, será possível avaliar a real necessidade de tê-los ali,
versus o risco. Eles ainda devem ser classificados conforme finalidade
de uso e o acesso a eles, devidamente restrito aos profissionais que
precisam lidar com a informação.

É muito comum que existam dados pessoais de clientes, colaboradores

ou parceiros em desktops ou sistemas sem necessidade e sem a devida
confidencialidade. Eliminar esse risco é primordial no trabalho de
segurança da informação.

Também faz parte deste trabalho o estabelecimento de políticas de

governança para a gestão e exclusão dos dados pessoais, passando por
todas as etapas do ciclo de vida dos dados pessoais, que precisam ser
devidamente documentadas para que haja respaldo jurídico em caso de
acionamento judicial.

O QUE NOS LEVA DIRETAMENTE

PARA O SEGUNDO AMBIENTE ABORDADO AQUI:

24
 JURÍDICO

Todo o trabalho desta área feito para a adequação à LGPD começa

pela revisão dos instrumentos contratuais. Assim como é necessário
fazer uma varredura dos dados que existem pela empresa, é preciso
fazer também uma nos contratos vigentes, adequando-os ao novo
momento. Afinal, a grande maioria deles não compreende a questão da
responsabilidade e os limites de uso dos dados pessoais por terceiros.
Fernanda Mainieri, head do departamento jurídico da Vexia, conta que
a revisão de todos os contratos ou acordos de parcerias acontece de
forma detalhada, buscando fechar as lacunas que reduzem a exposição
ao risco e sugerindo cláusulas de proteção. “Nossa missão nessa etapa
é blindar o cliente orientando todo seu relacionamento jurídico e
propondo melhorias específicas para seu ecossistema”, afirma.

O envolvimento de uma equipe jurídica especializada é mandatório

porque, de acordo com a LGPD, à empresa caberá o ônus de
comprovar que:

1º 2º 3º
Não realizaram o Embora tenham realizado o O dano é decorrente
tratamento de tratamento de dados pessoais de culpa exclusiva
dados pessoais que que lhes é atribuído, não do titular dos dados
lhes é atribuído; houve violação à legislação ou de terceiro”.
de proteção de dados;

Fonte: Blog Fausto Macedo (O Estado de S.Paulo)

25
Para o vice-presidente de Governança, Riscos e Compliance da Vexia,
João Carlos Orzzi Lucas, o aumento expressivo na contratação de
projetos para a adequação à LGPD dentro da Vexia vem acontecendo
também em decorrência da capacidade que a empresa tem de unir as
diversas especialidades técnicas evitando brechas.

Temos uma expertise altamente reconhecida no

mercado em tecnologia, gestão de risco, compliance e
respaldo jurídico. Tudo isso, dentro de um único
contrato é um enorme diferencial e uma referência
para clientes de todos os segmentos, conclui o
executivo.

Neste momento, em que as demandas individuais pela proteção de

dados vão se somar à fiscalização do Governo e que uma
transformação cultural se descortina a olhos vistos, empresas de todos
os portes precisam adotar uma postura proativa em busca de
transparência e confiabilidade.

Entre em contato com a Vexia e conte com profissionais altamente

especializados para apoiar sua empresa nessa nova jornada!

26
PALAVRA FINAL
por João Carlos Orzzi Lucas

Quanto vale as informações

sobre você?

A responsabilidade por captar, tratar, armazenar e compartilhar dados

é enorme.

Recentemente foi divulgada a notícia de que a LGPD (Lei Geral de

Proteção de Dados) pode ser postergada e também sofrer alterações
quanto a penalizações – o que deu margem para interpretações
diversas, inclusive para a leitura de que a Lei pode ser até derrubada.
E a pergunta que eu faço é: quem ganha com isso?

Recapitulando uma história recente para que tenhamos um

comparativo tangível, eu trago um exemplo lá dos anos 1990, quando
começou a chegar no Brasil a certificação de qualidade ISO 9000.
Você se lembra?

Com o objetivo de “promover a normatização de produtos e serviços,

para que a qualidade dos mesmos seja permanentemente melhorada”,
o tema gerou muito debate e levantou muitas polêmicas àquela época.

Para conquistar a tão desejada certificação, as empresas deveriam

passar por processos de adequação que iam desde a produção em si até
a forma de organização das equipes, redefinição de processos,
controles e gerenciamento de documentos, o que por fim, também
passou a gerar mudanças na cultura organizacional das instituições.

Não podemos deixar de lembrar o clima criado após 2002 quando o

Congresso dos Estados Unidos sancionou Lei Sarbanes-Oxley,
conhecida como SOx, decorrente de uma série de escândalos
financeiros, manipulações contábeis e práticas fraudulentas, realizadas
por grandes empresas, abalando o mercado financeiro e os
investidores, em função de manipulação de dados contábeis.

27
Em ambos os casos as reações foram as mais diversas, com grande
preocupação com prazos, custos de adaptação, volume de trabalho,
treinamento das pessoas, contratação de consultorias e da necessidade
de algumas empresas em divulgar que já estavam em “compliance”.

Afinal, o que incorporamos na cultura corporativa com relação a

gestão efetiva de nossos processos, dados e informações?

Eu vejo que hoje vivenciamos situação similar em relação à LGPD. Se

naquele tempo o produto era considerado um rei, hoje – em plena Era
do Conhecimento – os dados são os principais ativos de uma
companhia.

Nunca se pediu ao cliente tanta informação sobre ele: nome, cpf, rg,
endereço, telefone, e-mail, etc… . Tudo isso com o nome de “é para o
cadastro”. Esses dados são para o condomínio, na farmácia, no
supermercado, no sorteio do shopping, no stand de vendas, e fico me
perguntando: o que fazem com todo esse ativo estratégico?

Quanto vale a informação sobre ‘quem é’ e ‘como compra’ seu

cliente? As empresas que fazem bom uso dos dados já podem
confirmar que eles são vitais para a continuidade do negócio. Portanto,
a responsabilidade por captar, tratar, armazenar e compartilhar é
enorme.

Ao ler o noticiário você já deve ter percebido que valores como

transparência e ética têm sido cobrados pelos consumidores de forma
cada vez mais intensa. Além disso, a nova geração vem chegando ao
mercado de trabalho e também ganhando espaço como ‘consumidores
questionadores’, muito preocupados com a sustentabilidade dos
produtos e serviços que consomem.

28
Com isso, as empresas que se posicionam com clareza e protegem os
dados que recolhem, sem dúvida, constroem um diferencial
competitivo do século 21. Faça essa reflexão: como sua empresa está
‘valorizando’ o que ‘é valioso’ para o seu cliente? Essa resposta é mais
importante do que nunca!

Se sua empresa for capaz de mostrar que emprega todos os esforços

necessários para proteger os dados pessoais de seus clientes e faz bom
uso deles, terá a boa vontade a seu favor, caso haja uma falha e seu
negócio precise de uma “segunda chance”.

Sem dúvida, a adequação às exigências da legislação trará custos

adicionais para as empresas, exigirá qualificação dos profissionais e
será necessário questionar e repensar diversos processos internos. Um
grande esforço coletivo e, em muitos casos, a necessidade de parceiros
especialistas para garantir que todos os gaps identificados foram
sanados.

Assim como no passado o processo de certificação ISO 9000 e SOX

demandaram esforços e levaram todo o mercado para um novo
patamar de maturidade organizacional, a preparação para a LGPD vai
muito além do atendimento a uma Lei. Implantar esse processo mostra
o que é importante para sua empresa e como a marca percebe seus
consumidores.

Tentar evitar a aplicação da Lei Geral de Proteção de Dados, postergar

prazos ou atenuar penalidades certamente não beneficia o maior
interessado: todos nós.

Estar pronto para a LGPD até o início de 2021 é uma decisão

estratégica que está muito mais relacionada a continuidade do seu
negócio do que a eventual aplicação de uma multa. Afinal,
respondendo a nossa dúvida, as informações hoje valem muito para as
empresas, certamente muito mais do que a penalização prevista.

Pense nisso porque o mercado, meus caros, pode ser muito mais duro
que a Lei.

29
VOCÊ FOI IMPACTADO POR
DIVERSAS INFORMAÇÕES A
RESPEITO DA LEI GERAL DE
PROTEÇÃO DE DADOS.

Os especialistas da Vexia podem te ajudar

do diagnóstico à implantação.

João Carlos Orzzi Lucas Diego Souza Fernanda Cortes Lopes Maurício Santos
Vice-presidente Head de Auditoria Head do Departamento Líder de Segurança
de Governança, Riscos e Riscos Jurídico da Informação
e Compliance

FALE CONOSCO