8 Requisitos de

Conformidade com a LGPD

SUMÁRIO
INTRODUÇÃO 3

01. CONCEITOS FUNDAMENTAIS NA LGPD 3

02. DIREITOS DOS TITULARES 8

03. GOVERNANÇA, TRANSPARÊNCIA E POLÍTICAS 10

04. REGISTRO DE TRATAMENTO DE DADOS 15

05. SEGURANÇA DA INFORMAÇÃO E INCIDENTES CIBERNÉTICOS 16

06. PRIVACY BY DESIGN 20

07. GESTÃO DE TERCEIROS 22

08. CONTROLES INTERNOS E MONITORAMENTO 25

8 Requisitos de Conformidade com a LGPD

 Introdução

A Lei Geral de Proteção de Dados (LGPD) tem ganhado cada vez mais desta-
que e profissionais que desejam atuar no segmento precisam compreender e dominar
quais são os requisitos de conformidade, de forma prática e sem enrolação.

Esse material de apoio da Semana de Proteção de Dados foi desenvolvido por

especialistas e professores do curso de Compliance em Proteção de Dados da LEC, ou
seja, é um material claro, simples e direto, desenvolvido por quem entende muito do
assunto, com a finalidade de dar suporte com conhecimentos ricos e aplicáveis.

Nesta leitura, você vai encontrar informações sobre tudo o que realmente pre-
cisa saber para atuar em proteção de dados e superar os desafios de carreira.

01. Conceitos Fundamentais na LGPD

A LGPD traz alguns conceitos importantes e precisamos conhecê-los para estar

em conformidade com esta Lei.

Pensando em descomplicar o assunto para você, nada melhor do que iniciar

este material com um glossário. Dessa forma, você estará mais familiarizado com os
demais assuntos que serão abordados.

Glossário

Tratamento de dados — Como a LGPD dispõe sobre o tratamento de dados

pessoais, precisamos entender o que significa tratamento e qual é a abrangência do
conceito de dados pessoais.

Tratamento, de acordo com a LGPD, é toda operação realizada com

dados pessoais para fins econômicos ou por interesse do poder
público, como as que se referem a coleta, produção, recepção,
classificação, utilização, acesso, reprodução, transmissão, distribuição,
processamento, arquivamento, armazenamento, eliminação, avaliação
ou controle da informação, modificação, comunicação, transferência,
difusão ou extração.

Coleta de dados — A grande novidade é que a LGPD visa assegurar ao detentor

do dado pessoal o total conhecimento de como, onde, porque e por quem o dado será
utilizado, além de garantir que as organizações estejam apenas coletando e proces-
sando dados por motivos legítimos aos negócios, evitando abusos não autorizados por
parte de empresas que a pessoa ainda não realizou negócios.

3 8 Requisitos de Conformidade com a LGPD

 A coleta do dado é o início da tutela da LGPD e, normalmente, marca
também o início do relacionamento negocial da pessoa natural ou por
imposição do Poder Público (registro de nascimento, por exemplo). As
atividades de tratamento e coleta de dados pessoais deverão observar a
boa fé e os princípios da finalidade, adequação, necessidade, livre acesso
e transparência, qualidade, segurança e prevenção, não discriminação e
responsabilização dos agentes de tratamento.

Dado pessoal — Já que falamos sobre a coleta, é essencial entender que dados
são esses:

Toda informação relacionada a pessoa natural identificada ou

identificável. Deste conceito, concluímos que a LGPD protege dados
de pessoas físicas e não das pessoas jurídicas e os dados que podem
identificar diretamente a pessoa física, exemplo seu nome completo, ou
o conjunto de dados que podem identificá-la, como cpf, telefone, entre
outros.

A LGPD aplica-se à proteção de dados pessoais apenas de pessoas físicas, tra-

tados e utilizados para fins econômicos ou para aplicação de Políticas Públicas por em-
presas de direito público ou privado ou por outras pessoas físicas, independentemente
do meio, do país de sua sede ou do país onde estejam localizados os dados, desde que:
• A operação de tratamento seja realizada no território nacional;
• A atividade de tratamento tenha por objetivo a oferta ou o fornecimento
de bens ou serviços ou o tratamento de dados de indivíduos localizados no
território nacional;
• Ou os dados pessoais objeto do tratamento tenham sido coletados no
território nacional.

Titular do dado protegido — Com base no conceito de dados pessoais, verifica-

mos que:

O titular de um dado protegido é justamente toda pessoa física ou

natural cujos dados pessoais são tutelados pela LGPD.

Dado Sensível — Além do dado pessoal, a LGPD também visa garantir que os
dados sensíveis do titular dos dados sejam protegidos. Mas, o que são dados sensíveis?

4 8 Requisitos de Conformidade com a LGPD

 São os dados da pessoa natural relativos à sua origem racial ou étnica,
convicção religiosa, opinião política, filiação a sindicato ou a organização
de caráter religioso, filosófico ou político, dado referente à saúde ou à
vida sexual, dado genético ou biométrico.

Como etas informações, infelizmente, podem ser usadas para discriminação, a

LGPD traz diretrizes ainda mais rigorosas para o tratamento dos dados sensíveis.

Agentes de tratamento — Quem deve observar a LGPD? Quem responderá pela

não conformidade com esta lei?

Do outro lado da mesa, o legislador destacou a importância dos papéis

das entidades (físicas ou jurídicas, públicas ou privadas) que tratam os
dados pessoais, são os chamados Controladores dos Dados (a quem
compete o poder de decisão referente ao tratamento dos dados pessoais)
e os Operadores de Dados (são as pessoas físicas ou jurídicas, de direito
público ou privado, que realizam o tratamento de dados pessoais em
nome dos Controladores).

Aqui cabe destacar que, para efeitos de responsabilização, o Controlador dos

dados protegidos apenas transfere a operação ou o processamento dos dados, não
transferindo, contudo, a responsabilidade administrativa, civil ou criminal por violações
cometidas. O Operador responde de forma solidária com o Controlador, quando des-
cumprir as obrigações previstas na LGPD ou quando não tiver seguido as instruções
lícitas do Controlador.

Encarregado (DPO – Data Protection Officer) — Um outro conceito importan-

te é o Encarregado, que:

É a pessoa indicada pelo Controlador e Operador para atuar como

canal de comunicação entre o Controlador, os titulares dos dados e a
Autoridade Nacional de Proteção de Dados (ANPD).

Autoridade Nacional de Proteção de Dados — O que é a ANPD?

Órgão da administração pública federal responsável por zelar,

implementar e fiscalizar o cumprimento da LGPD em todo o território
nacional.

5 8 Requisitos de Conformidade com a LGPD

 A ANPD possui autonomia para criar normas sobre proteção de dados pessoais,
inclusive legislar sobre normas de compartilhamento de dados utilizados pelo poder
público, julgar e aplicar sanções no âmbito administrativo sobre eventuais descumpri-
mentos à LGPD, devendo comunicar às autoridades competentes os casos de infrações
cíveis ou criminais.

Caberá ainda à ANPD deliberar, na esfera administrativa, em caráter terminati-

vo, sobre a interpretação da LGPD, as suas competências e os casos omissos.

Sanções Administrativas — as sanções administrativas aplicáveis pela ANPD,

de acordo com a LGPD são:
• advertência, com indicação de prazo para adoção de medidas corretivas;
• multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica
de direito privado, grupo ou conglomerado no Brasil no seu último exercício,
excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta
milhões de reais) por infração;
• multa diária, observado o limite total mencionado acima;
• publicização da infração após devidamente apurada e confirmada a sua
ocorrência;
• bloqueio dos dados pessoais a que se refere a infração até a sua regularização;
• eliminação dos dados pessoais a que se refere a infração;
• suspensão parcial do funcionamento do banco de dados a que se refere
a infração pelo período máximo de 6 (seis) meses, prorrogável por igual
período, até a regularização da atividade de tratamento pelo controlador;
• suspensão do exercício da atividade de tratamento dos dados pessoais a
que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável
por igual período;
• proibição parcial ou total do exercício de atividades relacionadas a tratamento
de dados.

Bases Legais — A LGPD não impede ou proíbe o tratamento de dados pessoais,

mas estabelece as hipóteses (chamadas de “Bases Legais”) para a realização do trata-
mento.

Se o Controlador não conseguir enquadrar o tratamento em nenhuma destas

bases, o tratamento será ilegal.
• As hipóteses/bases legais previstas na LGPD são:
• mediante o fornecimento de consentimento pelo titular;
• para o cumprimento de obrigação legal ou regulatória pelo controlador;
• pela administração pública, para o tratamento e uso compartilhado de dados
necessários à execução de políticas públicas previstas em leis e regulamentos
ou respaldadas em contratos, convênios ou instrumentos congêneres;

6 8 Requisitos de Conformidade com a LGPD

 • para a realização de estudos por órgão de pesquisa, garantida, sempre que
possível, a anonimização dos dados pessoais;
• quando necessário para a execução de contrato ou de procedimentos
preliminares relacionados a contrato do qual seja parte o titular, a pedido
do titular dos dados;
• para o exercício regular de direitos em processo judicial, administrativo ou
arbitral;
• para a proteção da vida ou da incolumidade física do titular ou de terceiro;
• para a tutela da saúde, exclusivamente, em procedimento realizado por
profissionais de saúde, serviços de saúde ou autoridade sanitária;
• quando necessário para atender aos interesses legítimos do controlador
ou de terceiro, exceto no caso de prevalecerem direitos e liberdades
fundamentais do titular que exijam a proteção dos dados pessoais; ou
• para a proteção do crédito, inclusive quanto ao disposto na legislação
pertinente.

Eliminação/ anonimização — Quando a hipótese/ base legal utilizada para o

tratamento de dados deixar de existir (por exemplo, se a base é um contrato com o
titular dos dados, cliente do Controlador, e o contrato é rescindido), se o Controlador
não tiver nenhuma outra base para tratar os dados (ex. consentimento), os dados não
poderão mais ser tratados e deverão ser eliminados ou anonimizados.

A eliminação é a exclusão de dado ou de conjunto de dados armazenados

em banco de dados, independentemente do procedimento empregado
e a anonimização, utilização de meios técnicos razoáveis e disponíveis
no momento do tratamento, por meio dos quais um dado perde a
possibilidade de associação, direta ou indireta, a um indivíduo.

Destacamos que a LGPD não protege o dado denominado anonimizado que é o

dado relativo a um titular que não possa ser identificado, considerando a utilização de
meios técnicos razoáveis e disponíveis na ocasião do tratamento. Como não é possível
identificar o titular do dado, o dado anonimizado não está abarcado pela LGPD.

Um dado será considerado anonimizado quando permanecer no banco de da-

dos de quem o coletou, mas não for possível a associação direta ou indireta de algum
indivíduo, de forma irreversível.

Período de Retenção — Nas hipóteses anteriores, antes da eliminação ou ano-

nimização, há um período no qual a LGPD autoriza o armazenamento de dados pes-
soais, mesmo após o encerramento do vínculo negocial que originou sua coleta e tra-
tamento.

7 8 Requisitos de Conformidade com a LGPD

 O apagamento dos dados não deve ocorrer até que sejam cumpridos
os prazos da lei anterior ou mais especificamente, no que se chama de
Período de Retenção. No exemplo que indicamos anteriormente sobre
a base legal ser um contrato, após o término desta relação, os dados
pessoais não podem mais ser utilizados para contatos com o titular
para fins econômicos.

O Controlador não poderia simplesmente excluí-los ou anonimizá-los, pois, du-

rante determinado período, esses dados podem ser exigidos por órgãos de controles
e servir de base para eventuais processos judiciais ou para o devido cumprimento de
deveres legais.

Tratamento de dados pelo Poder Público — O Poder Público, enquanto agen-

te de tratamento de dados, também encontra regras definidas para a utilização de da-
dos pessoais, em consonância com a Lei de Acesso à Informação (LAI) 12.527/11.

Define a LAI e a LGPD que o tratamento de dados realizado por entes

públicos somente poderá ocorrer em atendimento às finalidades ou
interesses públicos.

Inserem-se no conceito de ente público os órgãos públicos integrantes da admi-

nistração direta dos Poderes Executivo, Legislativo, Cortes de Contas, Judiciário, Minis-
tério Público, autarquias, fundações públicas, serviços notariais e de registro delegados
pelo poder público e demais entidades controladas direta ou indiretamente pela União,
Estados, Distrito Federal e Municípios.

Agora que você já está familiarizado com termos, siglas e tópicos importantes
sobre a LGPD, podemos aprofundar em outros temas.

02. Direitos dos Titulares

Partindo dos direitos fundamentais de liberdade, intimidade e privacidade ga-

rantidos pela Constituição Federal a todas as pessoas naturais e em linha com os 10
princípios que regem a LGPD, a Lei estabelece direitos importantes aos titulares, os
quais podem ser exercidos a qualquer momento.

1 - Direito de confirmação da existência de tratamento dos dados pessoais

O 1º desses direitos é o de confirmação da existência de tratamento dos dados

pessoais que são tratados pelo controlador.

2 - Direito de acesso

Em linha com o direito de confirmação da existência de tratamento dos dados, te-

mos o direito de acesso, que assegura aos titulares o acesso aos dados pessoais tratados.

8 8 Requisitos de Conformidade com a LGPD

 3 - Direito de informação

Também temos o direito de informação, que determina que o titular tem o di-
reito de saber com quais terceiros (sejam entidades públicas ou privadas) o controlador
compartilha os dados.

4 - Direito de correção

O terceiro direito é o de correção. Esse direito garante aos titulares a exatidão,

clareza, relevância e atualização dos dados tratados pelo controlador.

É interessante notar que esse direito decorre do princípio da qualidade dos

dados, o qual garante aos titulares que as informações que o controlador têm são ver-
dadeiras e atualizadas de acordo com a finalidade do tratamento.

5 - Direito de anonimização, bloqueio ou eliminação

Na sequência, temos o direito de anonimização, bloqueio ou eliminação, o qual

prevê que se houver arrependimento com relação ao fornecimento de dados pessoais,
o titular poderá pedir, a qualquer momento, por procedimento gratuito e facilitado, a
eliminação ou exclusão de dados desnecessários, excessivos ou tratados em descon-
formidade com a LGPD.

6 - Direito de revogação do consentimento

É importante sabermos que, nos casos em que a base legal usada para tratar
os dados tiver sido o consentimento, o titular poderá revogar a qualquer momento,
respeitando o disposto no art. 8º da Lei, por manifestação expressa por meio de proce-
dimento gratuito e facilitado.

7 - Direito à portabilidade

A Lei também conferiu aos titulares o direito à portabilidade, que possibilita que
os titulares solicitem a transferência dos seus dados pessoais a outro fornecedor de
serviço ou produto.

Esse direito visa empoderar ainda mais o titular dos dados, uma vez que a por-
tabilidade procura viabilizar o efetivo controle do titular sobre os seus dados para os
mais diversos fins, possibilitando que o titular gerencie os seus dados. Isso facilita, in-
clusive, a migração do titular para empresas concorrentes.

Com isso, evita-se que os consumidores fiquem presos a determinado ofertante

em virtude das dificuldades ou mesmo dos altos custos de troca decorrentes da dispo-
nibilização dos dados.

8 - Direito de oposição

Outro direito outorgado aos titulares dos dados é o de oposição. Por meio dele,
o titular pode se opor a quaisquer tratamentos e informações que não estejam em
conformidade com a lei, assim como contra decisões automatizadas que afetem seus
interesses.

9 8 Requisitos de Conformidade com a LGPD

 Alguns exemplos são decisões destinadas a definir seu perfil pessoal, profissio-
nal, de consumo e de crédito ou também os aspectos de sua personalidade.

9 - Direito de revisão de decisões automatizadas

Há ainda o direito de revisão de decisões automatizadas, que confere ao titular

de obter revisão de decisões que, tomadas exclusivamente por máquinas, possam afe-
tar seus interesses.

Uma vez exercido esse direito, o controlador dos dados deverá fornecer infor-
mações claras e adequadas a respeito dos critérios e dos procedimentos utilizados
para a decisão automatizada e, se for o caso, deverá rever tal decisão automatizada.

Esse direito é extremamente relevante diante do crescimento do uso de deci-

sões automatizadas pelas empresas para definição de perfil pessoal, profissional, de
consumo e de crédito ou até mesmo de aspectos da personalidade do titular dos dados.

Vale lembrar que a decisão será considerada automatizada quando o processa-

mento de dados for feito por técnicas de inteligência artificial que visam encontrar cor-
relações em um banco de dados para realizar previsões com base nessas correlações
encontradas. Partindo desse conceito, decisões humanas tomadas com base em filtros
com automações não entram no conceito de decisões automatizadas.

10 - Direito à informação

Por fim, o titular também tem direito à informação sobre a possibilidade e as

consequências de não fornecer o seu consentimento sobre determinada operação de
tratamento dos seus dados pessoais.

É importante lembrarmos que o consentimento inequívoco do titular de dados

somente pode ser atingido se ele souber as repercussões tanto da sua aceitação, quan-
to da sua recusa.

Depois de compreender os direitos dos titulares, podemos passar para o próxi-

mo nível de conteúdo, sobre governança, transparência e políticas.

03. Governança, Transparência e Políticas

A proteção da privacidade e dos dados é tema que passa a integrar as boas

práticas de Governança Corporativa, merecendo o envolvimento da Alta Administração
da empresa na disseminação e na construção de uma visão e missão de privacidade
organizacional.

A visão demonstra qual valor a empresa dá à privacidade e proteção de dados.

A missão explica o que você deve fazer como uma empresa e não quem é você. Tam-
bém explica o que a empresa apoia e o porquê você executa uma ação para proteger
o dado.

É claro que pode haver uma variação quanto aos objetivos de uma empresa
conforme o seu tamanho e o mercado econômico em que atua, mas os princípios de

10 8 Requisitos de Conformidade com a LGPD

proteção de dados que guiam qualquer tipo de empresa devem indicar a resposta para
como nós acessamos, protegemos e sustentamos o programa de privacidade na tutela
da proteção de dados.

Por onde começar

O ponto inicial para qualquer implementação dos requisitos de conformidade

da proteção de dados deve ser a própria Lei Geral de Proteção de Dados, a LGPD. Assim,
à visão da empresa devem ser agregadas as ações para atingir os objetivos da LGPD.

É na própria Lei que está a inspiração para se determinar as missões dos inte-
grantes do Privacy Office, ou seja, a Área de Privacidade e de todo o grupo de pessoas
que tenham relação com a empresa no tratamento de dados pessoais.

Sobre a Área de Privacidade

A Área de Privacidade é liderada pelo Encarregado, que nos termos da LGPD é a

“pessoa indicada pelo controlador e operador para atuar como canal de comunicação
entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Da-
dos (ANPD)”.

Sabemos que, com base na LGPD, somente os controladores têm a obrigação

de indicar um encarregado. Mas, dificilmente a sua empresa não assumirá papel de
controlador de dados pessoais, nem que seja de seus colaboradores e, ainda, como
boa prática de governança, todas as empresas deveriam indicar um encarregado.

A Área de Privacidade, integrada pelo encarregado e pela equipe de privacida-

de, atuará em conjunto com as mais diversas áreas da empresa que coletem, utilizem,
processem, armazenem dados pessoais de titulares de dados — de terceiros que se
relacionem com a empresa, por exemplo, empregados, clientes, fornecedores.

Assim, requer-se que os integrantes da equipe de privacidade tenham conhe-

cimento não só da legislação de proteção de dados, mas também dos fluxos operacio-
nais e de negócios da empresa, de segurança da informação, bem como acerca dos
produtos e serviços que são ofertados pela empresa.

A recomendação é montar uma equipe multidisciplinar

Dentre as funções e responsabilidades da Área de Privacidade, podemos des-

tacar:
• estruturar a Governança da Privacidade com a elaboração e implementação
de políticas e procedimentos;
• monitorar eventuais mudanças no ambiente regulatório de proteção de da-
dos;
• monitorar, reportar e investigar os riscos de privacidade;
• monitorar pedidos e reclamações dos titulares de dados, da ANPD ou de ou-
tras autoridades regulatórias.
• estruturar e implementar treinamentos para realizar a mudança de cultura da
empresa com a transmissão de conhecimento sobre privacidade e proteção
de dados. Para isso, é possível contar com a ajuda dos Privacy Champions, os

11 8 Requisitos de Conformidade com a LGPD

 Campeões de Privacidade, que têm como principal função reforçar o conheci-
mento e servir de exemplo na adoção das melhores práticas de proteção de
dados dentro de sua área de negócio.

Missões da Área de Privacidade

Diante das funções e responsabilidades da Área de Privacidade e com base nos

preceitos da LGPD, este time deve focar seus esforços na implantação e manutenção
do programa de proteção de dados, considerando as seguintes missões:

1 - Direitos do Titular de Dados

Nós respondemos aos pedidos dos titulares de dados, sempre garantindo o

direito de acesso e informação.

2 - Consentimento e Comunicado de Privacidade

Nós devemos entender porque podemos tratar dados pessoais com base na
LGPD, fornecendo os comunicados de privacidade e obtendo os consentimentos, quan-
do requeridos, ou enquadrando o fundamento legal.

3 - Governança

Nós estabelecemos políticas que apoiam a LGPD, por isso, treinamos os colabo-
radores, monitoramos e fiscalizamos o cumprimento da lei e das políticas da empresa.

4 - Reporte de Violação

Nós investigamos incidentes suspeitos e tomamos as medidas para corrigir er-

ros.

5 - Registro de Tratamento

Nós sabemos quais dados pessoais são tratados, onde e como tratamos, bem
como quem e de qual forma tem acesso, além de como são protegidos.

6 - Segurança

Nós protegemos os dados pessoais contra perda, roubo, adulteração, acesso ou

uso não-autorizado.

7 - Privacy by Design

Nós desenvolvemos inovação de produtos e serviços que incluem o privacy-by-

-design, que é prezar pela privacidade desde a concepção.

8 - Gestão de Terceiros

Nós mantemos relação com fornecedores que estão comprometidos a proteger

os dados pessoais que foram confiados a eles por nossa empresa — relação esta que
será regida por disposições da LGPD.

12 8 Requisitos de Conformidade com a LGPD

 Essas missões devem permear as atividades de tratamento de dados pessoais
da empresa e serem claramente transmitidas aos titulares de dados, já que um dos
princípios da LGPD é a transparência.

Importância da verificação do processo de implementação

É muito importante que no processo de implementação do Programa de Com-

pliance em Proteção de Dados, seja verificado se as políticas estão alinhadas com os
direitos individuais conferidos pela LGPD, na medida em que os titulares devem ser
comunicados sobre o tratamento de dados e sua finalidade, com fundamento em uma
base legal válida.

Comunicado ou aviso de privacidade

Assim, um importante instrumento de transparência é o Comunicado ou Aviso

de Privacidade, que é utilizado para disponibilizar informações ao titular dos dados
acerca da coleta, uso, armazenamento ou outra forma de tratamento de seus dados
pessoais, com a indicação da sua finalidade. Para tanto, exige-se que seja disponibiliza-
do em local de fácil acesso ao titular dos dados e em linguagem clara.

De modo geral, o Comunicado de Privacidade deve conter:

• dados pessoais coletados;
• finalidade específica do tratamento;
• forma e duração do tratamento;
• identificação do controlador e do encarregado pelo tratamento dos dados;
• informação sobre compartilhamento com terceiros e sua finalidade, eventual
transferência internacional dos dados;
• responsabilidades dos agentes de tratamento;
• e os direitos do titular, com menção explícita àqueles contidos no art. 18 da
LGPD.

O Comunicado de Privacidade é uma comunicação externa, decorrente das polí-

ticas de privacidade, que são, por sua vez, documentos internos da empresa direciona-
dos aos seus empregados que estabelecem regras e condições que seus empregados
deverão seguir em atendimento à LGPD.

Revisão ou implementação de políticas e procedimentos aplicáveis com

empregados e terceiros

Nesse sentido, a empresa deve contemplar em sua governança de privacidade,

a revisão ou implementação de políticas e procedimentos aplicáveis aos relacionamen-
tos com seus empregados e terceiros.

1. Política dos Direitos dos Titulares:

Contém a descrição de quais direitos são conferidos pela LGPD ao titular de

13 8 Requisitos de Conformidade com a LGPD

dados e quais os procedimentos que devem ser observados para o seu atendimento.

2. Política de Retenção de Dados:

É necessário entender quais as categorias de dados em tratamento e suas fina-

lidades para que seja possível capitular em quais situações é possível manter os dados
armazenados, com base no art. 16 da LGPD.

3. Guia de Marketing:

Com base na LGPD, a empresa tem que ter uma base legal para tratar os dados
pessoais para a finalidade de marketing direto. É recomendável que se adote esse guia
para orientar os empregados sobre quando e de que forma é possível realizar o marke-
ting direto.

4. Política de Privacidade para Recrutamento e Seleção:

A política de privacidade para a área de Recursos Humanos deve apresentar as

diretrizes para o tratamento dos dados pessoais e sensíveis durante todas as etapas da
contratação do novo colaborador.

5. Política de Privacidade para Gestão de Dados de Empregados e Ex-em-

pregados:

As mesmas regras adotadas para tratar os dados de candidatos deverão ser

aplicadas na política relacionada ao tratamento dos dados de colaboradores e ex-cola-
boradores.

Além disso, o comunicado de privacidade deve ser fornecido aos colaboradores

no início da formalização da relação de trabalho, onde deverá constar, de forma clara e
objetiva, todas as informações sobre como a empresa tratará seus dados.

6. Política de Segurança da Informação:

De acordo com a LGPD, os agentes de tratamento devem “adotar medidas de

segurança, técnicas administrativas aptas a proteger os dados pessoais de acessos não
autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comu-
nicação ou qualquer forma de tratamento inadequado ou ilícito”. Nesse sentido, é ne-
cessário estabelecer uma política de segurança da informação considerando a:
• confidencialidade: as informações só devem ser acessadas por quem está
autorizado.
• integridade: as informações só podem ser alteradas por quem está
autorizado.
• disponibilidade: as informações devem estar sempre disponíveis para quem
está autorizado, evitando interrupções no fluxo de trabalho.

7. Política de Resposta a Incidente de Privacidade:

A LGPD determina que os controladores deverão reportar à ANPD a ocorrência

14 8 Requisitos de Conformidade com a LGPD

de qualquer incidente de segurança que possa resultar em risco ou dano relevante aos
titulares dos dados pessoais comprometidos.

É necessário estabelecer os procedimentos para assegurar que eventos de se-

gurança da informação sejam detectados, classificados conforme seu grau de risco e o
envolvimento de times na investigação, de modo que se tenha rapidez na identificação,
tomada de ações corretivas e comunicação do evento.

8. Política de Gestão de Terceiros:

Para garantir que as condutas e práticas dos terceiros estejam aderentes ao

programa,é fundamental que o terceiro conheça o Código de Ética e Conduta da em-
presa, as políticas e procedimentos a ele aplicáveis, bem como o encarregado pela
proteção dos dados.

Assim, a política de gestão de terceiro poderá dispor sobre a forma da contrata-

ção ou formalização de parcerias com os terceiros relativos à privacidade e proteção de
dados, ou destinar um procedimento específico para auditar os terceiros em matéria
de privacidade e proteção de dados para contratação de fornecedores.

04. Registro de Tratamento de Dados

Uma obrigação de todos os controladores e operadores de dados pessoais é o

registro de tratamento dessas informações pessoais, como previsto no artigo 37 da Lei
Geral de Proteção de Dados Pessoais, LGPD.

No entanto, além de ser uma obrigação legal, o registro de tratamento de dados

pessoais pode ser o primeiro e mais importante passo para entender a fundo como se
dá o tratamento de dados pessoais em uma empresa, associação ou escola, por exem-
plo.

Esse registro também é conhecido como mapeamento de dados pessoais ou

“data mapping” ou RoPA (Record Of Processing Activities — Registro de Atividades de
Processamento, em tradução livre), sendo esta última palavra uma referência clara ao
GDPR (Regulamento Geral sobre a Proteção de Dados).

Importância do registro das atividades de tratamento de dados pessoais

Tudo dependerá da qualidade e do conteúdo deste mapeamento. E por que o

registro das atividades de tratamento de dados pessoais é tão importante?

Primeiro, porque por meio dele é possível entender a categoria dos dados pes-
soais (sensíveis ou não) e a extensão dos dados pessoais tratados, a razão do seu tra-
tamento, com quem os mesmos são compartilhados (e aqui nos referimos a áreas,
fornecedores, sistemas), por quanto tempo, por qual razão e como os mesmos são
armazenados.

Tendo este panorama, é possível identificar se todas as atividades de tratamen-

to de dados pessoais possuem uma base legal e uma finalidade legítima. Se não pos-
suírem, tudo bem. Pelo menos a organização terá maior clareza de quais processos

15 8 Requisitos de Conformidade com a LGPD

internos e procedimentos precisarão ser corrigidos para estarem em conformidade
com a legislação brasileira.

O primeiro passo para corrigir um problema é reconhecê-lo, não é mesmo? Da

mesma forma, se a sua organização ainda não possui uma Política de Privacidade de
Dados Pessoais, o RoPA pode ser um importante passo nessa construção.

Por outro lado, se já existe uma Política escrita, após a realização do RoPA será
possível conferir se todas as atividades de tratamento de dados pessoais de fato estão
alinhadas com as diretrizes da organização. Se não estiverem, mais uma vez, você terá
a oportunidade de corrigi-las.

Ações relevantes de acordo com o RoPA

Como se não bastasse, o RoPA ainda expõe várias outras ações importantes ao
processo de implementação da LGPD:
• se a organização dá ou não transparência das atividades de tratamento de
dados pessoais aos seus titulares;
• com quais fornecedores ou clientes devem ser assinados contratos de
processamento de dados pessoais (ou contratos de co-controladoria de
dados pessoais);
• se há processos e procedimentos internos de retenção de dados pessoais
(você se surpreenderá com o volume de dados pessoais tratados nas
organizações e a frequência com que o tempo de armazenamento dos
mesmos é classificado como a prazo indeterminado);
• quais os treinamentos necessários para aumentar o nível de conhecimento
da organização a respeito;
• quais medidas de segurança da informação precisam ser atualizadas ou
implementadas, dentre tantas outras frentes de trabalho.

É importante mencionar que o RoPA é só mais um passo, dentre tantos outros,

nessa jornada chamada implementação da LGPD. Mas não se preocupe, nós da LEC
estamos ansiosos por fazer isso junto com você.

Nas nossas aulas você contará com o nosso conhecimento prático sobre as dife-
rentes formas de preenchimento do RoPA, quais campos ele pode conter para cobrir e
endereçar todas essas frentes de trabalho, além de como tem sido a nossa experiência
na implementação da LGPD.

05. Segurança da Informação e Incidentes Cibernéticos

Como temos abordado neste material, a Segurança da informação e a LGPD es-
tão intimamente ligadas. A lei traz regras sobre coleta e tratamento de dados pessoais
e sensíveis, portanto, as empresas precisam se adequar às normas postas por ela.

Todos os processos de negócio das empresas no tocante à gestão das infor-

mações coletadas são afetados. É fundamental para o devido cumprimento da LGPD
garantir que as Informações estejam bem guardadas e gerenciadas.

16 8 Requisitos de Conformidade com a LGPD

 Passos para prezar pela segurança da informação

A segurança da informação tem como principal papel preservar as informações

críticas e confidenciais com a devida confidencialidade, integridade e disponibilidade e
em alguns casos até a sua autenticidade e o seu repúdio. Com a entrada em vigor da
LGPD, a segurança da informação deve focar também na preservação dos dados pes-
soais, incluindo dados sensíveis e de menores.

Para começar, uma organização precisa conhecer e ter muito bem mapeadas
todas as suas informações (recebidas, criadas, transformadas, armazenadas, utilizadas
e inutilizadas), bem como classificar estas informações em seu devido grau de relevân-
cia ou confidencialidade.

O segundo passo é entender os conceitos relacionados à segurança da infor-

mação, como as ameaças, vulnerabilidades, seus riscos e um possível incidente. Os
riscos devem ser devidamente tipificados, tais como possíveis vazamentos, perda ou
roubo, indisponibilidade, não integridade, não responsabilidade e/ou rastreabilidade,
não conformidade, interação humana, erros de aplicação, entre outros.

Todos estes procedimentos, recomendações e políticas estão devidamente des-

critos e previstos nas ISO 27001, 27002 e 27701.

Tipos de ataques

São muitos os possíveis tipos de ataques, tais como:

• ataques internos:
• ataque intencional (estruturado) – hackers, espiões, um funcionário
desapontado ou criminoso (fraude);
• ataque não intencional (não estruturado);
• empregado mal informado e mal capacitado;
• funcionário inadvertido divulga informações nas redes sociais sem
autorização;
• ataques externos:
• engenharia social;
• ameaças ambientais (Exemplo: terremoto — fora de controle);
• e ato intencional (Exemplos: ato terrorista, arrombamento ou incêndio
criminoso).

Vulnerabilidades e políticas aplicáveis

Ainda com relação às vulnerabilidades das informações, muitos estudos evi-

denciam que nos episódios de perda de informação, ficou diagnosticado que a Vulne-
rabilidade Humana é a que ocorre com maior frequência, podendo ocorrer de maneira
intencional ou não, sendo fundamental neste caso existirem normas e políticas muito
bem relacionadas fundamentalmente, treinamento e capacitação — que são essenciais

17 8 Requisitos de Conformidade com a LGPD

em qualquer empresa e devem ser aplicados e reaplicados de forma rotineira e a todos
os funcionários de uma organização.

Como garantir a Segurança da Informação

Como conseguir garantir a segurança da informação de sua empresa, uma vez

que, os Ataques Cibernéticos estão a cada dia mais bem estruturados, sofisticados e
em maior número?

A princípio, é fundamental entender e conhecer bem o perímetro de sua empre-

sa, ou seja, a linha imaginária que separa sua empresa de outras redes e suas devidas
comunicações entre estas redes, sua devida segurança física e seus terceiros.

O controle de perímetro de uma empresa é o elo primário e extremamente

importante para manter seu ambiente corporativo mais seguro. A melhor forma de
controlar seu perímetro é com a implantação de uma Segurança de Defesa em Profun-
didade ou Defesa em Camadas, de tal forma que, se um invasor se infiltre em uma ca-
mada do perímetro, a camada seguinte poderá impedir que ele continue a prosseguir
sua tentativa de invasão.

Segurança de Defesa em Profundidade ou Defesa em Camadas

Para um implantação de uma Defesa em Camadas é necessário considerar so-

breposição de componentes de segurança de rede, tais como, Firewalls, Sistema de
Prevenção contra invasores (IPS), Lista de Controles de Acessos (ACLs), VPNs, Micro
segmentação, entre outras soluções mais sofisticadas, que podem até utilizar robôs ou
mesmo inteligência artificial que visa entender o comportamento (“behavior”) dos seus
usuários de rede, a fim de detectar possíveis atividades fora de seu comportamento
rotineiro e ou padrão.

Quanto maior a sua diversidade de fornecedores, melhor o seu nível de segu-

rança. Lembrando que é quase impossível uma empresa se posicionar como inviolável
ou mesmo que nunca tenha sido atacada.

Segurança Física e Patrimonial e os Departamentos Administrativos

Além de todos os componentes tecnológicos descritos acima, é fundamental

que as empresas entendam que a Segurança da Informação é uma disciplina relacio-
nada não somente à tecnologia, mas também a Segurança Física e Patrimonial e os
Departamentos Administrativos.

Um exemplo é a situação de suspender o acesso de um funcionário quando

este estiver de férias, ou mesmo fora de seu horário de trabalho. Esse tipo de conduta
importante de segurança pede o devido sincronismo entre a Tecnologia e o RH.

Outros procedimentos como obrigação de que todos que entram na companhia

passem seus crachás de acesso nas portas, ou mesmo fazer o desbloqueio sempre o
funcionário saia de sua estação de trabalho, entre muitas outras situações, mostram o
quanto é importante que a organização entenda a necessidade de um Plano de Segu-
rança da Informação Integrado que inclua: Processo, Tecnologia e Pessoas, bem como
todos os devidos departamentos.

18 8 Requisitos de Conformidade com a LGPD

 O componente fundamental para implantação de todas estas normas e políti-
cas é o Treinamento e Conscientização.

Dicas sobre a segurança da informação:

Outras dicas importantes que vale a pena também ressaltar:

• usar senhas seguras para todos usuários e equipamentos;
• ativar a autenticação de dois fatores (2FA);
• proteger e controlar o acesso à internet;
• usar antivírus em todos computadores;
• limitar e registrar o tráfego de rede com um Firewall;
• ter cópias de backup dos dados importantes;
• manter o software sempre atualizado;
• restringir permissões em arquivos compartilhados;
• educar os colaboradores sobre phishing e engenharia social;
• implantar uma política de uso dos recursos de TI.

Engenharia Social

Outro ponto muito importante é sobre a Engenharia Social, onde os hackers se

utilizam dos dados de rede sociais para tentar obter o máximo de informações pesso-
ais, a fim de tentar conseguir a atenção das pessoas por meio de um possível clique em
um “Pishing” (por exemplo, um e-mail infectado) ou outro tipo de isca de um malware
que irá capturar informações.

A Engenharia Social pode ocorrer em diversos canais diferentes, tais como: te-
lefonemas, e-mails, mensagem de texto, armadilhas físicas, ataques psicológicos, ex-
ploração de uma falha humana, manipulação de emoções, entre outros. Mais uma vez
precisamos enfatizar que a melhor forma de atuar na prevenção da Engenharia Social
é o Treinamento.

Quando a empresa deve entrar em ação

Uma questão relevante é “Quando a empresa deve agir em um incidente?”.

Sempre e da forma mais efetiva possível.

Em qualquer caso de suspeita de um ataque que esteja em andamento, a orga-

nização precisa agir rápido e de forma eficiente.

Não há como saber até onde os hackers chegaram antes do surgimento dos
alertas e, em alguns casos, talvez seja necessário desconectar os sistemas da sua orga-
nização da internet para que o malware não se espalhe ou utilize microssegmentação.
Caso haja procedimento de segurança em vigor, essas ações preventivas tratarão de
mitigar os problemas antes que se transforme em uma crise de grandes proporções.

19 8 Requisitos de Conformidade com a LGPD

 Os líderes não podem ser negligentes e precisam dar a devida importância ao
tema. Em muitos casos é fundamental que a empresa crie cenários de ataques simu-
lados e reais (com premiação para os melhores nos simulados, Hackathons e outros).

Também é vital que os funcionários não subestimem seu papel na proteção dos
dados sigilosos, inclusive dados pessoais, e que todos devem e fazem parte do proces-
so de segurança da informação. Muitas vezes, um ataque ocorre em um colaborador
que não possui informações sensíveis, porém, ele poderá ser um “Gateway” para que
os vírus possam infectar as máquinas de seus colegas de trabalho e, assim, poderão
ter informações sensíveis — em todos os casos de ransomware é assim que ocorre
normalmente.

Enfim, é de suma importância que a organização enxergue como a Governança

de TI deve andar e estar 100% alinhada com a Governança Corporativa e que todos
estejam no “mesmo barco”. Sinergia e sincronismo são fundamentais para a empresa
conseguir alavancar seus negócios, manter funcionamento perene e atender à LGPD.

06. Privacy by Design

Sempre que vamos estudar um assunto novo, nos deparamos com uma lingua-
gem diferente, que para os que atuam na área são expressões corriqueiras. Por conta
desse novo vocabulário, os que acabaram de chegar ficam por fora das discussões, já
que não estão familiarizados com tais expressões e conceitos.

Devido a isso, não só criamos um glossário neste material, como também va-
mos nos aprofundar em mais mais duas expressões em inglês que são muito utilizadas
por quem trabalha na área de privacidade de dados, são elas: Privacy by Design e o
Privacy by Default. Antes de tudo, vale fazer uma contextualização conceitual.

Há quem defenda que não existe mais privacidade, ou pior, que não há mais da-
dos, inclusive pessoais, que não tenham sido violados. Como profissionais e estudantes
deste tema, não podemos aceitar tal generalização como verdade. Mas como garantir
que as empresas, inclusive desenvolvedores de novo produtos, softwares e aplicativos,
e ainda que os algoritmos funcionem como garantidores da privacidade de dados?

Privacy by Design

A adoção do Privacy by Design não é a única forma, mas com certeza é uma das
ferramentas mais relevantes. Pois só assim, os novos produtos, softwares, processos,
procedimentos, serviços e algoritmos observarão a privacidade já no momento da sua
concepção e desenvolvimento.

O Privacy by Design pode ser definido como o cuidado com a privacidade dos
dados pessoais já no momento da criação do produto ou serviço e não por meio de
adaptações posteriores, que na maioria das vezes será mais cara e não eficiente.

O conceito do Privacy by Design foi inclusive positivado no artigo 46 da Lei Geral

de Proteção de Dados (LGPD). Desta forma, todos os envolvidos no tratamento de da-
dos pessoais, controladores e operadores, devem adotar medidas de segurança, tanto
técnicas como administrativas que sejam capazes de proteger os dados pessoais de

20 8 Requisitos de Conformidade com a LGPD

acessos não autorizados, de situações acidentais (culpa) ou situações ilícitas (dolo) que
possam gerar destruição, perda, alteração, comunicação ou qualquer forma de trata-
mento inadequado ou ilícito.

Como a LGPD incide sobre a proteção do tratamento de dados pessoais on-line

e off-line, a segurança deve ser pensada também sob o aspecto físico, com a possibi-
lidade de invasão de um data center, de arquivos, fichários, pastas, armários, etc. Por
isso é tão importante que você aprofunde seus conhecimentos sobre Privacy by Design.

Princípios que regem a Privacy by Design

A expressão Privacy by Design é atribuída à Ann Cavoukian, ex-comissária de In-

formação e Privacidade da Província de Ontário, Canadá, nos anos 1990. A proteção da
privacidade é uma premissa na criação e desenvolvimento de estruturas tecnológicas,
modelos de negócios ou infraestrutura física.

De acordo com a própria Ann Cavoukian, são 7 os princípios que regem a Priva-
cy by Design:
• Proatividade (Proactive not Reactive) — tomar a iniciativa e não
simplesmente ser reativo, ou seja, não esperar que os riscos de privacidade
se materializem;
• Privacidade como Configuração Padrão (Privacy as the Default
Setting)— nenhuma ação é necessária por parte do titular para a proteção da
privacidade, e não o contrário, onde o usuário precisa habilitar os controles
de privacidade;
• Privacidade Incorporada no Design (Privacy Embedded into Design) —
a privacidade é incorporada ao design e arquitetura dos sistemas de TI e
práticas de negócios. Assim, a privacidade se torna um componente essencial
da funcionalidade principal sendo entregue. O que exige criatividade na sua
criação, pois incorporar privacidade pode significar reinventar as escolhas
existentes, já que não respeitar a privacidade é inaceitável;
• Acomodar todos os interesses (Full Functionality – Positive-Sum) — todos
os interesses (inclusive dos titulares) devem ser observados em uma relação
“ganha-ganha”, não apenas sob a ótica do controlador ou desenvolvedor;
• Proteção de ponta a ponta (End-to-End Security) — considerar a segurança
durante toda a vida útil do dado envolvido;
• Manutenção da visibilidade e transparência (Visibility and
Transparency)— o produto ou serviço deve operar de acordo com as
promessas e objetivos declarados, podendo ser auditável;
• Foco no titular do dado (Keep it User-Centric) — o interesse do usuário
deve estar no centro de qualquer projeto que envolva o tratamento de dados
pessoais. O consentimento, os dados corretos e atualizados, o fácil acesso e
a conformidade são direitos embutidos nesse princípio.

21 8 Requisitos de Conformidade com a LGPD

 Privacy by Default

Por fim, vale esclarecer o conceito de Privacy by Default ou privacidade como

configuração padrão — considerada pela Ann Cavoukian como um dos 7 princípios do
Privacy by Design.

Significa assegurar que são colocados em prática, dentro de uma organização,

mecanismos para garantir que, por configuração inicial, apenas será coletada, utiliza-
da e conservada para cada tarefa a quantidade necessária de dados pessoais, e não o
contrário, onde o titular deve desabilitar a publicidade ou compartilhamento de seus
dados.

Conclusão e base legal sobre Privacy by Design e by Default

Em conclusão, o Privacy by Design é muito mais que uma teoria, trata-se de

obrigação legal para todos que controlam ou processam dados pessoais, do setor pú-
blico ou privado, startups, empresas listadas em bolsa ou grandes multinacionais. As-
sim, desde o início, a garantia da privacidade deve nortear as ações da empresa.

Base Legal:

LGPD:

Art. 46. Os agentes de tratamento devem adotar medidas de segurança, técni-

cas e administrativas aptas a proteger os dados pessoais de acessos não autorizados
e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou
qualquer forma de tratamento inadequado ou ilícito.

§ 2º As medidas de que trata o caput deste artigo deverão ser observadas

desde a fase de concepção do produto ou do serviço até a sua execução.

GDPR:

Art. 25. Conforme o contexto (custo, natureza, escopo, riscos, etc.), o controla-
dor deve, desde a concepção do processamento até sua execução, implementar medi-
das técnicas e administrativas efetivas, como pseudoanonimização e minimização, para
cumprir a legislação e proteger os direitos dos titulares – necessidade: dos dados em si,
do tempo que os mesmos são processados e de quem tem acesso aos mesmos.

Agora que você já está chegou até aqui, podemos passar para o próximo tópico,
sobre os controladores e operadores de dados.

07. Gestão de Terceiros

A LGPD estabelece que os agentes de tratamento, ou seja, os Controladores e

Operadores, devem adotar medidas de segurança, técnicas e administrativas aptas a
proteger os dados pessoais de acessos não autorizados e de situações acidentais ou
ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento
inadequado ou ilícito.

22 8 Requisitos de Conformidade com a LGPD

 Estes agentes de tratamento serão os responsáveis pelos eventuais danos patri-
monial, moral, individual ou coletivo decorrentes de violação à LGPD, sendo obrigados a
reparar referidos danos.

Responsabilização

Neste sentido, a LGPD determina a responsabilidade solidária do Controlador e

Operador, o que significa que o titular de dados, ANPD ou qualquer outro órgão com-
petente poderá responsabilizar qualquer um destes agentes, ou ambos, nos casos de
infração à LGPD.

Com relação ao Operador, a responsabilidade solidária acontecerá quando des-

cumprir as obrigações previstas na LGPD ou quando não tiver seguido as instruções líci-
tas do Controlador.

Apesar desta responsabilidade solidária, como o titular do dado geralmente pos-

sui relacionamento com o Controlador e muitas das vezes não conhece ou nunca teve
contato com o Operador, será muito provável que o titular de dado, em caso de eventual
dano decorrente de descumprimento legal do Operador, acione o Controlador.

Vamos trazer um exemplo prático:

Adquiri alguns produtos em uma loja virtual e, para isso, preenchi um cadastro e
disponibilizei alguns dos meus dados pessoais. Esta loja (que é a controladora dos dados)
armazena os meus dados e de seus outros clientes por meio de um provedor de armaze-
namento em nuvem especializado (que seria neste caso, o Operador).

Por uma falha desse provedor, os meus dados foram vazados e sofri danos em
razão deste vazamento. Neste caso, certamente, demandarei da loja virtual (Controla-
dora) a reparação aos danos sofridos e esta loja poderá, se comprovar que o Operador
realmente não cumpriu com a LGPD, obter o ressarcimento do provedor.

Mas, como a Loja poderia evitar esta situação ou se assegurar que este provedor
arcará com os prejuízos? Era necessário que, antes de contratá-lo, fosse feita uma ava-
liação deste provedor. A avaliação deveria ser realizada em todos os fornecedores que
realizam tratamento de dados pessoais para o Controlador.

Análise de fornecedores

Quando falamos sobre análise de fornecedores, é muito comum pensarmos nas

verificações (denominadas “due diligences”) reputacionais que estão geralmente dentro
do Programa de Compliance Anticorrupção. Elas servem para assegurar que o fornece-
dor que está sendo contratado não está (ou se já esteve) envolvido com práticas ilícitas,
para que não traga risco para a empresa. No entanto, quando o tema é a LGPD, precisa-
mos entender que esta análise é adicional.

Claro que é importante saber quem é o fornecedor e se não há nenhum fato

desabonador contra ele, mas é preciso saber também como ele atende à LGPD e quais
medidas de segurança de informação utiliza.

23 8 Requisitos de Conformidade com a LGPD

 Mas, como a empresa fará esta checagem? Verificará todos os fornecedo-
res? Qual é o escopo desta análise?

Primeiro, é importante destacar que o processo de gestão de terceiros para

LGPD deve ser baseado em risco.

Isto significa que os controladores não deveriam analisar da mesma forma

todos os fornecedores. É necessário classificar os terceiros com base no risco que
estes possam trazer para a empresa em relação à LGPD.

Por exemplo, o fornecedor tratará dados pessoais? Tratará dados sensíveis?

Já vimos que há previsões específicas na LGPD para proteção dos dados sensíveis.

Tratará dados de menores? São dados que também possuem tratamento es-
pecial pela LGPD. Se a resposta for sim para qualquer destas perguntas, precisamos
seguir com outras perguntas: Qual é o volume de dados tratado? Compartilhará os
dados pessoais com outros terceiros? Utilizará alguma ferramenta/sistema? Efetuará
transferência internacional de dados?

Com base nestas perguntas, podem ser criados critérios para entender qual
o risco de contratação do terceiro para a empresa em relação à LGPD.

Detalhes sobre a verificação/Due diligence

Se o terceiro for tratar dados pessoais, é importante a realização da verifica-

ção/due diligence que comentamos. Mas, esta due diligence deve ter níveis de análi-
se, dependendo do risco do terceiro.

Ainda, é necessário incluir cláusulas de privacidade nos contratos com este

terceiro. Cláusulas que o obriguem não só a cumprir com a LGPD e ter um Programa
de Segurança de Informação apropriado, e que também assegure a empresa que o
terceiro realizará o tratamento de dados apenas para as finalidades indicadas pelo
Controlador.

Informará ao Controlador eventuais casos de descumprimento/incidentes de

segurança, solicitações dos titulares ou da ANPD, que encerrará automaticamente
o tratamento quando do término do contrato ou quando o Controlador assim o in-
dicar, eliminando ou anonimizando os dados pessoais tratados após o período de
retenção, que responderá pelos danos que causar aos titulares de dados, etc.

Para os casos mais críticos, devem também ser estabelecidos procedimentos

de monitoramento e auditoria periódicos do Programa de Compliance em Proteção
de Dados e de Segurança de Informação do Terceiro e o nível de maturidade e con-
trole que serão exigidos destes terceiros, assim como as evidências.

Por exemplo, se serão realizadas entrevistas com o DPO/ profissionais res-

ponsáveis pela área de Segurança da Informação do Terceiro, a empresa vai se certi-
ficar se o terceiro realmente possui um programa efetivo. Esta auditoria pode ser re-
alizada pela própria empresa ou podem ser contratadas consultorias especializadas.

24 8 Requisitos de Conformidade com a LGPD

 Todos estes procedimentos que forem criados para a gestão de terceiros de-
vem estar formalizados e comunicados aos colaboradores que devem também ser
treinados sobre as principais políticas sobre terceiros.

Ainda, devem ser criados controles internos e indicadores de monitoramento

destes procedimentos relativos à gestão de terceiros para assegurar que estão sendo
cumpridos pela empresa.

08. Controles Internos e Monitoramento

Sabemos que a gestão é um importante pilar do Programa de Compliance em

Proteção de Dados. Para tanto, é necessário implementar mecanismos de controles in-
ternos e monitoramento alinhados aos requisitos da Lei Geral de Proteção de Dados.

Mecanismos de mensuração da efetividade

Estes mecanismos de controle e monitoramento devem estar atrelados a boas

práticas de governança corporativa e explorar mecanismos de mensuração da efetivida-
de do Programa de Compliance em Proteção de Dados em cada um de seus elementos.
Dentre tais mecanismos, destacamos:
• medição de ações atreladas ao comprometimento da alta administração
com as ações e adequado cumprimento com o Programa de Compliance em
Proteção de Dados;
• estipulação de processo de gestão de riscos destinado ao contínuo
acompanhamento e monitoramento dos riscos corporativos atrelados
à Proteção de Dados, com base em critérios de criticidade e priorização, e
devidamente dimensionados para o negócio e porte da empresa (com
exemplos práticos que possam evidenciar a adoção desse processo de forma
simples e dinâmica);
• criação de processos de revisão da base de políticas e procedimentos atrelados
à Proteção de Dados para assegurar a adequada adesão aos requisitos da
LGPD e a implementação de melhorias ao longo do Programa;
• gestão do Plano de Treinamento, composto por diversos formatos e
abordagens, customizado aos diversos públicos com base em critérios de
risco e com o intuito de assegurar a adequada assimilação dos conceitos, bem
como entendimento dos papéis e responsabilidades dos colaboradores na
organização;
• criação de controles internos por funcionalidades sistêmicas ou manuais
para auxiliar o monitoramento do Programa e o acompanhamento de seus
principais indicadores, com testes periódicos e amostrais para a verificação
de eventuais desvios ou violações;
• adoção de mecanismos eficientes de resposta e reporte de violações para
permitir a identificação de causas e implementação de processos estruturantes
de melhoria;
• destaque para a importância dos “Champions” na adoção de controles internos
e monitoramento do Programa de Compliance em Proteção de Dados, sendo

25 8 Requisitos de Conformidade com a LGPD

 grandes auxiliares da área de Privacidade para buscar adesão e conhecimento
do Programa em todas as áreas da organização;
• gestão e monitoramento dos terceiros, que constitui elemento imprescindível
para a gestão de riscos e definição dos respectivos controles, bem como peça
fundamental para o mapeamento do ciclo de vida dos dados e estipulação de
direitos, obrigações e análises periódicas nos respectivos contratos firmados
com esses terceiros.

Considerações atreladas aos controles internos e monitoramento

Ainda, com base nos requisitos e obrigações trazidas pela LGPD atreladas aos contro-
les internos e monitoramento, as seguintes questões devem ser consideradas:
• a implementação de processos e controles destinados ao tratamento de dados
durante todo o seu ciclo de vida, contemplando relações com fornecedores e
clientes, bem como com empregados e terceiros;
• o cumprimento com os requisitos para a gestão dos controles dos dados no
tocante à classificação, coleta, licitude, tratamento, comunicação, portabilidade,
compartilhamento e transferência e tratamentos de dados pelo Poder Público;
• a adoção de mecanismos de respostas a incidentes e verificação dos elementos
essenciais para a elaboração do Relatório de Impacto à Proteção de Dados
Pessoais.

Por meio da capacitação da LEC, esperamos que os alunos se encontrem aptos a de-
tectarem e implementarem os elementos essenciais de um Programa de Compliance em Pro-
teção de Dados, bem como evidenciar a sua efetividade pela gestão por indicadores, monito-
ramento adequado, contribuindo, assim, para a melhoria contínua do Programa.

Sua jornada continua

Este material contemplou informações valiosas para você que deseja atuar em prote-
ção de dados.
Esperamos que sua leitura tenha sido agradável e que, com base nos requisitos de
conformidade e no aprofundamento que demos em cada um deles, você conseguirá superar
os desafios de carreira.
Continue se aperfeiçoando e buscando atualizações sobre o tema para que seu traba-
lho seja realizado com excelência em todas as etapas.

Este material foi produzido por especialistas e professores do curso de Compliance

em Proteção de Dados da LEC:
• Alessandra Gonsales
• Andressa Gudde
• Gianfranco Cinelli
• Luciana Servija
• Luciano Vasconcelos Leite
• Mariane Cortez
• Rodrigo Gonsales
• Tae Cho

26 8 Requisitos de Conformidade com a LGPD