Fases de adequação:

1 – Conscientização e treinamento
- treinamentos e workshops

2 – Mapeamento dos dados

- entender o fluxo do dado (por onde ele passou, o que foi feito com ele, quem teve acesso a ele,
onde ele está armazenado) até ele ser descartado, caso ele seja descartado.

3 – Relatório de impacto à Proteção de Dados Pessoais (RIPD)

- busca identificar os principais pontos de desconformidade com a legislação.
- descrever os processos de tratamento de dados pessoais que possam gerar riscos aos titulares.
- mensurar os riscos existentes no tratamento em meio físico e digital, indicando as providência e
mecanismos para mitigar ou minimizar os riscos à proteção dos dados pessoais.

4 – Planejamentos
- elaboração de um projeto de execução do programa de adequação a partir da criação de um
cronograma, priorizando as as áreas identificadas com maior risco aos dados pessoais, apresentando
propostas para criação e aplicação de novas políticas e técnicas de anonimização de dados pessoais.

5 – Implantação
- Colocar em prática o que foi definido na fase de planejamento:
- elaboração de todos os documentos
- elaboração de novas políticas
- elaboração de novos modelos de cláusulas contratuais
- elaboração de cartilhas de boas práticas

6 – Monitoramento
- monitorar se tudo o que foi feito funcionou, se precisa fazer mais alguma coisa, se saiu alguma
nova orientação da ANPD (autoridade nacional de dados) que altera algo que já foi feito.

AÇÕES COMPLEMENTARES

1 – Tratamento de incidentes com dados pessoais

2 – Gestão das requisições – Direito dos Titulares de Dados
- manter a gestão e o controle das operações técnicas para atender os direitos dos titulares de dados
no que se refere ao princípio do livre acesso.
3 – Gestão de contratos, Termos de cooperação e Compartilhamento de Dados com terceiros.
- aplicar gestão sobre os contratos, termos de cooperação e o compartilhamento de informações
pessoais com terceiros, para assim, identificar os riscos, a criticidade dos dados compartilhados, e
ainda, definir e aplicar cláusulas contratuais com exigências de conformidade do terceiro para com
a LGPD.
4 – Plano de comunicação e divulgação de segurança de informação
- garantir que a segurança da informação e privacidade de dados seja parte integrante do ambiente
da LionX, promovendo a divulgação interna de materiais sobre o tema, tais como cartilhas de boas
práticas, manuais de conduta, políticas, dicas de segurança, informes sobre treinamentos e a criação
de campanhas educativas, entr outros.
5 – Programa orçamentário de combate a incidentes de segurança da informação
- promover investimentos específicos para a área de segurança da invformação e privacidade de
dados, para garantir a confidencialidade, integridade e disponibilidade das informações e recursos
tecnológicos.
…………………………………………
RESPONSABILIDADE PELOS DADOS
- Todas as empresas que fazem parte do fluxo de dados devem estar em conformidade com a LGPD

MELHORES PRÁTICAS COM DADOS (BOAS PRÁTICAS)

DIREITO AO ESQUECIMENTO

PORTABILIDADE INFORMACIONAL
- Direito do usuário de exportar todas as informações que uma determinada empresa coletou sobre
ele.
- Ex: entrar em contato com facebook, netflix e google pedindo para ela a exportação de todos os
dados sobre mim, desse modo, poderemos estudar o fluxo utilizado por essas empresas.

DIREITO DE EXPLICAÇÃO
- Direito do usuário de entrar em contato com a empresa e pedir uma explicação do porque que uma
determinada decisão, baseada em dados, foi tomada.
- Ex: entrar em contato com o google e perguntar o porque de ele ter exibido determinado anúncio;
ou perguntar ao netflix o porque de ele ter indicado determinado filme para você; ou o porque a
LionX no vai da cola recomendou você seguir tal pessoa, questionar porque a conta não foi aberta
ou porque o crédito foi negado.
- Aqui você não é obrigado a revelar nenhum segredo ou propriedade intelectual da empresa (ex:
algorítimo), mas deve haver uma explicação de uma forma que o usuário possa entender.

………………………….
PROCESSOS E PESSOAS

RESPONSÁVEL PELA SEGURANÇA DOS DADOS

- Ter na empresa um responsável pela segurança da informação. O ideal é pegar uma pessoa com
dedicação exclusiva para isso em razão da alta quantidade de demanda que essa pessoa vai ter que
atender.
- O perfil dessa pessoa vai variar a depender das necessidades de adequação. O seu negócio
demanda uma pessoa que tenha uma maior proximidade com a parte técnica ou uma maior
proximidade com os clientes, ou com os fornecedores?

REVISANDO CONTRATOS E RELACIONAMENTOS

- Todas as empresas que fazem parte do fluxo de dados devem estar em conformidade com a LGPD.
- Checar se fornecedores estão adequados à LGPD.
- Checar se todas as empresas do fluxo de dados estão em conformidade com a LGPD.
- Revisar contratos com terceiros (fornecedores e empresas parceiras) de modo a fornecer a eles
somente os dados necessários para a execução da atividade.

EXPORTANDO DADOS DOS USUÁRIOS

- Estruturar o processo de exportação de dados mediante solicitação do usuário.
- 3 pontos importante, o processo de exportação dos dados precisa ser: seguro, de modo a garantir
que somente o usuário conseguirá exportar os dados; velocidade razoável de entraga dos dados ao
usuário; precisar ser simples, ou seja, em um formato que ele consiga abrir facilmente.
O USUÁRIO DEVE SER NOTIFICADO COM VELOCIDADE RAZOÁVEL TODA VEZ QUE
FOR DETECTADA UMA FALHA DE SEGURANÇA QUE POSSA ACARRETAR NO
VAZAMENTO DOS DADOS DO USUÁRIO
- implantar na empresa um processo de comunicação.
- A empresa deve ter um canal de comunicação ativa com os usuários (e-mail, telefone, whatsapp)
para informar quando houver uma falha de segurança.
- implementar monitoramento para identificar a ocorrência de incidentes de segurança.

SEGUROS SÃO FORTEMENTE RECOMENDADOS

- Isso porque as multas referentes à vazamento de informações são bastante elevadas.

APAGUE OS DADOS DO USUÁRIO DENTRO DOS LIMITES

- Dificuldade: questões regulatórias que ainda não estão 100% resolvidas. Por exemplo, no mercado
financeiro, a regulamentação especifica que você deve manter as informações dos seus clientes por
5 a 15 anos, a depender do tipo de informação. Necessidade de montar uma estratégia de deleção
lógica, ou seja, você marca aquele dado como indisponível e não mais o compartilha com empresas
parceiras, mas mantém o dado armazenado para atender a requisitos regulatórios.
- outra dificuldade: não basta apagar as informações somente dentro da própria empresa, mas
também dentro de toda a cadeia de fornecedores para quem compartilhamos aquele dado.

………………………………………………………………………..
ELEMENTOS TÉCNICOS (4 grupos)
- segurança dos sistemas e da informação
- criptografia e proteção dos dados
- comprovação da origem e do direito de uso dos dados
- auditoria e rastreio

SEGURANÇA DOS SISTEMAS E DA INFORMAÇÃO

- existem dezenas de princípios de segurança da informação
- segregação de permissões de acesso (need-to-know only)
- testes de penetração e vulnerabilidade
- monitoramento de acessos aos sistemas

CRIPTOGRAFIA E PROTEÇÃO DE DADOS

- È comum realizar criptografia para senhas, porém é possível aplicá-la para para praticamente
todas as informações contidas no banco de dados. Mesmo que ocorra o vazamento dos dados, as
informações estarão criptografadas.
- Para facilitar a identificação do culpado pelo vazamento de dados, é importante, sempre que for
compartilhar dados com terceiros, ao invés de você só compartilhar os registros, você coloca dentro
da base de dados que você tá compartilhando algumas “sementes”, que são basicamente registros
marcados que, se alguém usar aquela informação indevidamente, você vai saber exatamente de
onde ela veio. Ex: colocar alguns registros fake no banco de dados.

COMPROVAÇÃO DA ORIGEM E DO DIREITO DE USO

- Se a origem do dado não puder ser comprovada, ou se quem está compartilhando o dado com você
não tiver o direito de uso da informação para aquela finalidade específica, você vai estar infringindo
a lei, mesmo que você esteja seguindo todos os outros requisitos da legislação.