brasil.com.

br

Guidelines

BOAS PRÁTICAS
EM LGPD
 SUMÁRIO

1 INTRODUÇÃO 5

2 TERMOS UTILIZADOS 6

3 QUAIS BOAS PRÁTICAS DEVEM SER ADOTADAS? 7

Observar os Princípios estabelecidos pela LGPD 7

Garantir o exercício dos direitos dos titulares 8

Disponibilizar uma Política de Privacidade aos Titulares 9

Disponibilizar Política de Cookies aos usuários (se aplicável) 9

2 GUIDELINE+LGPD
 Tomar as medidas adequadas quando houver o 10
compartilhamento de Dados Pessoais Sensíveis

Tomar as medidas adequadas quando houver o Tratamento 10

de Dados Pessoais de crianças e adolescentes

Implementar medidas técnicas, administrativas e 11

organizacionais de segurança

Tomar as medidas adequadas quando houver o término do 16

Tratamento

Realizar a revisão de contratos 16

Treinamento de equipe 17

4 CONCLUSÃO 18

GUIDELINE+LGPD 3
1. INTRODUÇÃO

Muito embora o Brasil já contasse com alguns diplomas legais que tratavam, em certa medida e de forma
esparsa, sobre a proteção de dados pessoais, à exemplo do Marco Civil da Internet (Lei nº 12.965/14), do CDC -
Código de Defesa do Consumidor (Lei nº 8.078/90), da Lei do Cadastro Positivo (Lei nº 12.414/11) e da LAI - Lei
do Acesso à Informação (Lei nº 12.527/11), foi com a Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/18)
que o tema foi tratado de forma específica e aprofundada.

Todos concordam que o avanço da tecnologia tem dois lados - as facilidades e os perigos. Dados Pessoais
entraram para o rol de ativos mais valiosos do mundo contemporâneo e viu-se, por muito tempo, o uso
indiscriminado dessas informações.

Nesse contexto, a Lei Geral de Proteção de Dados Pessoais (“LGPD”) veio para regulamentar a matéria e para
proteger todos os titulares de dados contra usos injustificados, ilícitos, não autorizados e ilegítimos como forma
de viabilizar o direito fundamental à privacidade em sua nova acepção - o que antes era conhecido como o
direito de ser deixado só, se tornou, na era tecnológica, o direito à autodeterminação informativa, que nada
mais é do que permitir que o titular de dados conheça, controle, direcione ou mesmo interrompa o fluxo de
informações que lhe dizem respeito.

Portanto, em uma sociedade que, cada vez mais, utiliza dados pessoais para movimentar a economia a
todo custo, a LGPD surge trazendo uma profunda transformação nas relações e nos processos que tratam
dados, à exemplo de relações entre clientes e fornecedores de produtos e/ou serviços, entre empregados e
empregadores e quaisquer relações que envolvam a coleta e o tratamento de dados pessoais, seja no ambiente
digital ou no físico.

Diante da importância da observância da LGPD por toda a cadeia de empresas parceiras com as quais nos
relacionamos comercialmente e do nosso compromisso com a privacidade e proteção de dados pessoais,
esperamos que a presente Cartilha de Boas Práticas (“Cartilha”) para o Tratamento de Dados Pessoais possa
orientar a todos nessa nova forma de lidar com dados pessoais.

GUIDELINE+LGPD 5
2. TERMOS UTILIZADOS
Antes de iniciar a leitura desta Cartilha de Boas Práticas, para o seu melhor aproveitamento, é importante
compreender alguns conceitos e termos estabelecidos na lei, a saber:

DADOS PESSOAIS: toda informação que se relacione a uma pessoa natural identificada ou identificável como,
por exemplo, nome completo, RG, CPF, e-mail, telefone e etc.

DADOS PESSOAIS SENSÍVEIS: são dados referentes a aspectos da vida particular ou íntima da vida de uma
pessoa natural e que, uma vez expostos, têm o potencial de levar à discriminação do Titular como, por exemplo,
dados sobre origem racial ou étnica, orientação sexual, convicção religiosa, opinião política, filiação à sindicato
ou à organização de caráter religioso, filosófico ou político, dado referente à saúde, dado genético ou biométrico.

TRATAMENTO: toda operação realizada com Dados Pessoais, como as que se referem a coleta, produção,
recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento,
armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência,
difusão ou extração.

ANONIMIZAÇÃO: é a utilização de processos e técnicas por meio dos quais um dado pessoal perde a
possibilidade de associação, direta ou indireta, a um indivíduo. Por não estar vinculado a uma pessoa natural
identificada ou identificável, a LGPD não se aplica ao dado anonimizado.

PSEUDONIMIZAÇÃO: mecanismo de disfarce da identidade do titular em que os dados. Funciona como uma
desvinculação dos dados ao titular, mas, diferente da anonimização, o processo pode ser revertido e voltar a
identificar um indivíduo. Neste caso, aplica-se a LGPD.

TITULAR: é a pessoa natural a quem se referem os Dados Pessoais que são objeto de Tratamento.

CONTROLADOR: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões
referentes ao Tratamento de Dados Pessoais.

OPERADOR: pessoa natural ou jurídica, de direito público ou privado, que realiza o Tratamento de Dados
Pessoais em nome do Controlador e sob o seu comando.

AGENTES DE TRATAMENTO: são o Controlador e o Operador.

DATA PROTECTION OFFICER (DPO): é o termo utilizado em inglês para se referir à figura do Encarregado, que é
a pessoa indicada pelo Controlador e Operador para atuar como um canal de comunicação entre o Controlador,
os titulares dos dados e a Autoridade Nacional de Proteção de Dados (“ANPD”).

LIA/DPIA: LIA é a sigla do termo em inglês “Legitimate Interests Assessment”, que nada mais é do que um teste
de ponderação que deve ser realizado sempre que o Controlador e/ou terceiro optar por utilizar o Legítimo
Interesse como base legal para o tratamento de dados pessoais. Já o DPIA (“Data Protection Impact Assessment”)
é o relatório de impacto à proteção de dados pessoais que contém a descrição dos processos de Tratamento
de Dados Pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas,
salvaguardas e mecanismos de mitigação de risco.

ANPD: é a sigla de “Autoridade Nacional de Proteção de Dados”, órgão da administração pública responsável
por zelar, implementar e fiscalizar o cumprimento da LGPD no território nacional.

6 GUIDELINE+LGPD
3. QUAIS BOAS PRÁTICAS DEVEM SER
ADOTADAS?
A proteção das informações dos titulares deve ser garantida ao longo de todo o ciclo de vida dos dados dentro
da empresa, do momento que ele é coletado, passando por todos os processos de tratamento realizados, até o
descarte correto e definitivo desse dado da base da empresa.

As boas práticas abaixo relacionadas dizem respeito a medidas que, ao serem adotadas e colocadas efetivamente
em prática, demonstram o nível de conformidade e compromisso da respectiva instituição com a LGPD. São
elas:

OBSERVAR OS PRINCÍPIOS ESTABELECIDOS PELA LGPD

A empresa deve pautar todos os processos de Tratamento de dados nos 10 (dez) princípios trazidos pela lei,
quais sejam:

PRINCÍPIO DA FINALIDADE: o Tratamento de dados deve ter propósitos legítimos, específicos, explícitos e
informados ao Titular, sem possibilidade de Tratamento posterior de forma incompatível com a finalidade
originalmente informada.

PRINCÍPIO DA ADEQUAÇÃO: o tratamento de dados deve ser compatível com as finalidades informadas ao
titular, bem como deve ser de acordo com o contexto em que a atividade da empresa se encontra inserida.

PRINCÍPIO DA NECESSIDADE: devem ser tratados apenas os dados estritamente necessários, bem como
aqueles que sejam pertinentes, proporcionais e não excessivos quanto à finalidade pretendida e informada.

PRINCÍPIO DO LIVRE ACESSO: os titulares devem poder consultar livremente, de forma gratuita e facilitada, a
forma, a duração do tratamento e a integralidade de seus dados pessoais.

PRINCÍPIO DA TRANSPARÊNCIA: aos titulares deve ser garantida a informação clara, precisa e facilmente
acessível acerca do tratamento propriamente, bem como dos Agentes de Tratamento.

PRINCÍPIO DA QUALIDADE DOS DADOS: os dados dos titulares devem ser exatos, claros e adequados à
necessidade e ao cumprimento da finalidade de seu tratamento.

PRINCÍPIO DA SEGURANÇA: devem ser adotadas todas as medidas técnicas e administrativas possíveis para
proteger os dados de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda,
alteração, comunicação ou difusão.

PRINCÍPIO DA PREVENÇÃO: as medidas técnicas e administrativas de segurança devem ser orientadas à

prevenção, pois quando se trata de dados pessoais, uma vez que ocorre um dano, remediá-lo é muito mais
custoso, podendo, inclusive, ser irreversível em alguns casos.

GUIDELINE+LGPD 7
PRINCÍPIO DA RESPONSABILIZAÇÃO E PRESTAÇÃO DE CONTAS: o controlador e o operador dos dados
pessoais devem demonstrar a efetividade das medidas técnicas e administrativas adotadas pela empresa no
que diz respeito à proteção de dados.

PRINCÍPIO DA NÃO DISCRIMINAÇÃO: o tratamento não pode ser realizado para fins discriminatórios, ilícitos ou
abusivos, ou seja, a empresa não pode se utilizar dos dados pessoais em sua base para discriminar os titulares
com base em informações ou características específicas, como, por exemplo, origem racial ou étnica, opinião
política, religião ou convicções, geolocalização, filiação sindical, estado genético ou de saúde ou orientação
sexual.

GARANTIR O EXERCÍCIO DOS DIREITOS DOS TITULARES

A empresa deve disponibilizar em suas plataformas, aplicações, redes sociais e websites um canal de
atendimento que permita aos titulares exercerem os direitos que lhes são assegurados pela LGPD, quais sejam:
(i) confirmação da existência do tratamento de dados, (ii) acesso aos dados pessoais tratados, (iii) correção
dos dados, (iv) anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em
desconformidade com a lei, (v) portabilidade, (vi) informação das entidades públicas ou privadas com as
quais o controlador realizou o uso compartilhado de dados, (vii) revogação do consentimento, (viii) revisão
das decisões automatizadas, (x) oposição a Tratamento realizado com fundamento em uma das hipóteses de
dispensa de consentimento, e (xi) informação sobre a possibilidade de não fornecer consentimento e sobre as
consequências da negativa.

A resposta à solicitação do titular deve ser feita dentro do prazo de 15 (quinze) dias contados do requerimento,
conforme disposto na lei. Caso não seja possível realizar o atendimento imediato da solicitação do Titular do
dado pessoal, o Controlador poderá comunicar que não é agente de tratamento dos dados e indicar, sempre que
possível, o agente; ou indicar as razões de fato ou de direito que impedem a adoção imediata da providência.

8 GUIDELINE+LGPD
 DISPONIBILIZAR UMA POLÍTICA DE PRIVACIDADE AOS TITULARES

Um dos pilares da LGPD é a primazia pela transparência da relação entre os agentes de tratamento e os titulares
de dados pessoais. Como forma a garantir que o titular tenha todas as informações que considere necessárias,
o Agente de Tratamento deve priorizar a plena transparência de todas as atividades de Tratamento de Dados
Pessoais conduzidas por si.

Como uma das formas a garantir uma transparência e plena transferência de informações aos titulares a respeito
das atividades de Tratamento de dados, indica-se a ostensiva disponibilização das políticas de privacidade aos
titulares em todos os meios quais o Agente de Tratamento tenha relação direta com este.

Ao garantir o acesso imediato a este documento pelos titulares, o Agente de Tratamento estará garantindo
que, sempre que haja qualquer dúvida a respeito do Tratamento de seus dados, o Titular afetado tenha um
meio hábil a sanar estas dúvidas e, caso estas permaneçam, neste documento o Titular terá uma forma de
comunicação direta com o Encarregado, momento no qual pode tirar dúvidas diretamente com o Agente de
Tratamento.

DISPONIBILIZAR POLÍTICA DE COOKIES AOS USUÁRIOS (SE APLICÁVEL)

Ainda como forma a garantir essa transparência, o Titular de dados igualmente possui o direito garantido por
lei a ter conhecimento a respeito de todas as operações de Tratamento que sejam conduzidas pelo Agente de
Tratamento, sendo a coleta de informações por intermédio de cookies para finalidades diversas uma das mais
comumente utilizadas atualmente pelo mercado.

Sendo assim, caso o Agente de Tratamento que possua como prática a utilização destes mecanismos de
coleta e Tratamento, mostra-se uma boa governança de Dados Pessoais garantir ao Titular uma política que
apresente quais são as balizas norteadoras desta atividade de Tratamento de dados, por força do princípio da
transparência previsto na legislação.

GUIDELINE+LGPD 9
 TOMAR AS MEDIDAS ADEQUADAS QUANDO HOUVER O
COMPARTILHAMENTO DE DADOS PESSOAIS SENSÍVEIS

Por expressar muitas vezes características intrinsecamente relacionadas às características mais íntimas dos
titulares de Dados Pessoais e muitas vezes serem informações que, caso tratadas de maneira indevida, podem
acarretar danos discriminatórios a estes, a legislação pátria garantiu a esta categoria especial de Dados
Pessoais um maior amparo de resguardo quanto ao seu Tratamento que devem ser igualmente respeitados
pelos Agentes de Tratamento.

Dentre estas garantias legais, a LGPD prevê situações limitadas onde estes dados possam ser tratados, prevendo
bases legais reduzidas aos Dados Pessoais Sensíveis em relação aos demais dados pessoais. Sendo assim, os
agentes de tratamento terão que garantir que estes dados pessoais sensíveis estejam sendo tratados de acordo
com as bases legais garantidas pela legislação.

Quanto mais, por refletirem muitas vezes características que naturalmente possuem um nível de privacidade
elevada, o agente de tratamento igualmente deverá garantir a estes dados um nível de segurança da informação
de acordo com a sua natureza.

Sendo assim, sempre que o agente de tratamento considere ser necessário o tratamento destes dados para o
atingimento de alguma determinada finalidade, deverá este realizar este tratamento a fim de que os colabores
que tenham contato com estas informações sejam somente aqueles os estritamente necessários, assim como
devem implementar técnicas de segurança mais restritivas para evitar qualquer dano decorrente de tratamentos
de dados indevidos.

TOMAR AS MEDIDAS ADEQUADAS QUANDO HOUVER O

TRATAMENTO DE DADOS PESSOAIS DE CRIANÇAS E
ADOLESCENTES

De maneira similar aos Dados Pessoais Sensíveis, a LGPD igualmente prevê aos tratamentos de Dados Pessoais
referentes aos titulares que sejam crianças e adolescentes uma série de limitações, uma vez que estes titulares
são intrinsecamente mais vulneráveis, o que justifica maiores amarras que se refletem em exigências mais
criteriosas aos Agentes de Tratamento que pretendam tratar os dados destes titulares.

Sendo assim, sempre que considerar como necessário o Tratamento de Dados Pessoais de crianças e
adolescentes, o Agente de Tratamento deve destinar um nível de segurança elevado, assim como deve atender
estritamente às exigências estabelecidas pela legislação, como a exigência da solicitação de consentimento de
forma específica e em destaque dada por pelo menos um dos pais ou pelo responsável legal destes titulares
para dar amparo legal a este Tratamento de Dados Pessoais.

Cumpre destacar, que as informações de Tratamento devem ser fornecidas de maneira simples, clara e
acessível. Ainda, poderão ser coletados Dados Pessoais de crianças sem o consentimento anteriormente
referido, quando a coleta for necessária para contatar os pais ou o responsável legal, utilizados uma única vez
e sem armazenamento, ou para sua proteção, e em nenhum caso poderão ser repassados a terceiro sem o
respectivo consentimento.

10 GUIDELINE+LGPD
 IMPLEMENTAR MEDIDAS TÉCNICAS, ADMINISTRATIVAS E
ORGANIZACIONAIS DE SEGURANÇA

A empresa deve implementar medidas de segurança de ordem técnica, administrativa e organizacional que
sejam aptas a proteger os Dados Pessoais de acessos não autorizados ou de situações acidentais ou ilícitas de
destruição, perda, alteração, comunicação ou qualquer forma de tratamento considerada inadequada ou ilícita.

Para tanto, listamos algumas técnicas que podem ser benéficas para o resguardo da segurança da informação
tratada para o atingindo da finalidade pretendida pela empresa.

USO DE APLICATIVOS DE MENSAGERIA

A utilização de serviços de mensageria apresenta uma série de riscos decorrentes de agentes mal-intencionados.
Visando mitigar estes riscos, disponibilizamos diretrizes que visam orientar os titulares sobre o uso adequado
dos Serviços de Mensageria em relação.

GUIDELINE+LGPD 11
DE INÍCIO, RECOMENDAMOS AS SEGUINTES POSTURAS:

COMUNIQUE-SE DE FORMA PRIVADA: os usuários devem gerenciar suas próprias contas em conversas
individuais e em grupo.

RECEBA A PERMISSÃO DAS PESSOAS: só envie mensagens para pessoas que entraram em contato com você
primeiro ou que solicitaram que você entre em contato com elas por meio do Serviços de Mensageria. O ideal
é dar às pessoas seu número de telefone para que elas possam enviar mensagens para você primeiro. Se uma
pessoa fornecer o número de telefone dela a você, as mensagens que você enviar a ela deverão seguir regras
básicas de etiqueta. Por exemplo, explique quem é você e como obteve o número de telefone dela.

RESPEITE AS ESCOLHAS DAS PESSOAS: se um usuário pedir para que você pare de enviar mensagens, remova-o
da sua lista de contatos e evite entrar em contato com ele de novo. Obtenha a permissão das pessoas antes
de adicioná-las a um grupo. Se você adicionar alguém a um grupo e essa pessoa sair, respeite a decisão dela.

USE AS OPÇÕES DE CONTROLE DE GRUPOS: Os Serviços de Mensageria possuem configurações para que só
os administradores enviem mensagens nos grupos. Se você for um administrador, você poderá decidir se todos
os participantes ou só os administradores de grupo poderão enviar mensagens dentro dele. Ao habilitar esse
recurso, você pode ajudar a reduzir o número de mensagens indesejadas nos grupos.

PENSE DUAS VEZES ANTES DE ENCAMINHAR UMA MENSAGEM: adicionamos uma etiqueta a todas as
mensagens encaminhadas para encorajar as pessoas a pensar antes de encaminhar uma mensagem.

SERVIÇOS DE MENSAGERIA NO DESKTOP: Alguns Serviços de Mensageria permitem a utilização destes em

dispositivos de Desktop (p. ex.: Whatsapp Web). Evite utilizar estes Serviços nesta modalidade, uma vez que
podem acarretar vulnerabilidades de segurança.

EM SEGUIDA, AS SEGUINTES POSTURAS DEVEM SER EVITADAS:

MENSAGENS EM MASSA, INDESEJADAS OU AUTOMÁTICAS: não tente enviar mensagens em massa,

automáticas, ou discar automaticamente utilizando o Serviços de Mensageria. Usualmente os Serviços de
Mensageria utilizam uma combinação de ferramentas com aprendizado de máquina e denúncias de usuários
para detectar e banir contas que enviam mensagens indesejadas. Isso inclui o contato sistemático e indesejado
com usuários. Além disso, não crie contas ou grupos de formas não autorizadas ou automatizadas, nem utilize
versões modificadas dos Serviços de Mensageria.

USO DE LISTAS DE CONTATOS DE TERCEIROS: nunca compartilhe números de telefone sem o consentimento
dos proprietários, nem utilize dados obtidos de fontes ilícitas (por exemplo, ao comprar listas de números de
telefone) para enviar mensagens a usuários por meio dos Serviços de Mensageria ou adicioná-los a grupos.

USO EXCESSIVO DE LISTAS DE TRANSMISSÃO: suas mensagens enviadas por uma lista de transmissão só
serão recebidas por usuários que tenham adicionado seu número de telefone à lista de contato deles. Observe
que a utilização frequente de listas de transmissão pode levar outros usuários a denunciar suas mensagens,
podendo a contar ser bloqueada em caso de denúncias reiteradas.

VIOLAÇÃO DOS TERMOS DE SERVIÇO: Apesar dos Serviços de Mensageria possuírem Termos de Serviço
diversos, estes possuem em comum a proibição, dentre outras coisas, da publicação de mensagens caluniosas,
além da coação e ameaça a usuários, e qualquer comportamento de ódio contra minorias e etnias. Os Termos
de Serviço definem sua relação contratual com os Serviços de Mensageria. Além disso, os Termos de Serviço
prevalecerão se houver qualquer conflito com o que for declarado neste documento.

12 GUIDELINE+LGPD
COMO MEDIDAS DE SEGURANÇA, AS SEGUINTES POSTURAS PODEM SER ADOTADAS:

ATIVE A PROTEÇÃO DE BLOQUEIO DE TELA: Certifique-se de que os dispositivos móveis estejam bloqueados
quando não estiverem em uso, por exemplo, com uma senha adequadamente complexa ou leitor biométrico
integrado.

CERTIFIQUE-SE DE QUE DISPOSITIVOS PERDIDOS E ROUBADOS POSSAM SER RASTREADOS, BLOQUEADOS

OU APAGADOS: os funcionários têm maior probabilidade de ter seus tablets ou telefones roubados (ou perdê-
los) quando estão fora de casa. Felizmente, muitos dispositivos possuem ferramentas gratuitas baseadas na
web que são fundamentais caso um dispositivo seja perdido ou roubado.

MANTENHA OS DISPOSITIVOS E APLICATIVOS ATUALIZADOS: Assim como um computador ‘desktop’, os

dispositivos móveis e os aplicativos precisam ser mantidos atualizados para garantir que as atualizações críticas
de segurança sejam aplicadas.

CONECTE-SE APENAS A REDES WI-FI CONFIÁVEIS: ao utilizar pontos de acesso Wi-Fi públicos (por exemplo, em
cafeterias), não há como descobrir facilmente quem controla o ponto de acesso. Se você se conectar a esses
pontos de acesso, outra pessoa poderá acessar ou ter acesso ao que você está trabalhando enquanto conecta
seus detalhes de login privados.

PROTEJA SEU DISPOSITIVO: Sempre utilize senhas fortes em seus dispositivos e, caso o Serviço de Mensageria
possua esta funcionalidade, habilite a verificação em duas etapas. Esta prática evitará que os dados sejam
compartilhados indevidamente caso o colaborador perda o seu dispositivo ou sofra ataques cibernéticos.

TOME CUIDADO COM MENSAGENS DUVIDOSAS OU INDESEJADAS: assim como acontece com mensagens SMS
e chamadas telefônicas, outros usuários dos Serviços de Mensageria que têm seu número de celular podem
entrar em contato com você. Estas mensagens indesejadas e de conteúdo duvidoso podem vir de um de seus
contatos e de outras pessoas. Se uma mensagem parecer suspeita ou “boa demais para ser verdade”, não toque
nela, não a compartilhe nem encaminhe. Mensagens duvidosas podem possuir as seguintes características:

Apresenta erros ortográficos ou gramaticais.

Pede que você toque em um determinado link.

Pede que você compartilhe informações pessoais, como número de cartão de crédito, conta bancária, data
de aniversário, senhas etc.

Pede que você encaminhe a mensagem.

Pede que você abra um link para ativar um suposto novo recurso.

Diz que você vai precisar pagar para usar o Serviço de Mensageira. Lembre-se de que os Serviços de
Mensageria são em sua grande maioria gratuito.

O QUE FAZER AO RECEBER MENSAGENS DUVIDOSAS: Ao receber uma mensagem de um número desconhecido,
você tem a opção de denunciar o número ao Serviço de Mensageira pelo próprio app. Se você receber conteúdo
indesejado de um contato, apague a mensagem e não abra nenhum link nem forneça informações pessoais.
Informe ao seu contato que o conteúdo da mensagem que ele enviou para você é indesejado (spam) e o
direcione para esta página de segurança do Serviço. Se você acredita que você ou qualquer outra pessoa está

GUIDELINE+LGPD 13
em perigo iminente, entre em contato com as autoridades locais. Se você receber conteúdo que sugira que uma
pessoa possa atentar contra a própria vida e estiver preocupado com a segurança dela, entre em contato com
as autoridades locais ou com um centro de prevenção de suicídio. Se você receber ou encontrar conteúdos que
indicam abuso ou exploração infantil, entre em contato com as autoridades locais.

POLÍTICA DE MESA LIMPA

ÁREAS COM TRANCAS: gavetas com trancas, armários de pastas, cofres e salas de arquivo devem estar
disponíveis somente para armazenar mídias de informação (ex: documentos em papel, pen drives, cartões de
memória e etc.) ou dispositivos facilmente transportáveis (ex: celulares, tablets e notebooks) quando não em
uso, ou quando não houver ninguém tomando conta deles.

Além da proteção contra acesso não autorizado, esta medida também proteger a informação e ativos contra
desastres tais como incêndios, terremotos, inundações ou explosões.

PROTEÇÃO DE DISPOSITIVOS E SISTEMAS DE INFORMAÇÃO: Sistemas de informações devem ter sessões

encerradas quando não em uso. Ao final do dia os dispositivos devem ser desligados, especialmente aqueles
conectados em rede (quanto menos tempo o dispositivo permanecer ligado, menos tempo haverá para alguém
tentar acessá-lo).

RESTRIÇÕES AO USO DE TECNOLOGIAS DE CÓPIA E IMPRESSÃO: o uso de impressoras, fotocopiadoras,

scanners e câmeras, por exemplo, deve ser controlado pelo Gestor, pela redução de sua quantidade ou pelo
uso de funções de código que permitam que somente pessoas autorizadas tenham acesso ao material enviado
a elas. E, qualquer informação enviada a impressoras deve ser recolhida o mais rapidamente quanto possível.

ADOÇÃO DE UMA CULTURA SEM PAPEL: documentos não devem ser impressos desnecessariamente, e
lembretes com informações importantes e/ou sigilosas não devem ser deixados em monitor ou sob teclados.

DESCARTE DE INFORMAÇÕES DEIXADAS EM SALAS DE REUNIÃO: todas as informações em quadros brancos

devem ser apagadas e todos os pedaços de papel usados durante a reunião devem estar sujeitos a um descarte
apropriado (ex: pelo uso de picotadora).

DESCARTE DE DADOS PESSOAIS ARMAZENADOS ELETRONICAMENTE: Uma vez alcançada a finalidade

almejada pelo controlador de dados após a coleta de dados pessoais, estes dados devem ser descartados,
uma vez que estes dados não podem ser armazenados por dado indeterminado. Esta eliminação deve se dar
de forma segura e sempre garantindo que estes dados, após o descarte, sejam utilizados por terceiros mal-
intencionados.

14 GUIDELINE+LGPD
USO DE EQUIPAMENTOS PESSOAIS (BRING YOUR
OWN DEVICE, OU BYOD)
A permissão para o uso de dispositivos de computação
pessoais para execução de trabalho de atividades ou
manuseio de informações de sua propriedade deve
ser uma decisão da gestão da empresa, devendo o
usuário estar formalmente autorizado e concordar
integralmente antes de fazer uso de dispositivos
pessoais no ambiente corporativo.
O uso não autorizado de qualquer dispositivo de
computação pessoal no ambiente corporativo pode
ser considerado uma violação de Segurança da
Informação e tratado como um incidente de segurança
da informação, podendo estar o responsável sujeito
às sanções e punições previstas em regramento
estipulado pela empresa empregadora caso haja em
desacordo com estas premissas.
Cabe ressaltar que uso de dispositivos
computação pessoais para atividades de trabalho
ou armazenamento de arquivos do empregador
não modifica a propriedade da Organização sobre
as informações criadas, armazenadas, enviadas,
recebidas, modificadas ou excluídas, permanecendo
qualquer direito de propriedade intelectual com o
empregador.
A empresas que permitirem o uso de equipamentos
pessoais devem sempre garantir que o sistema
operacional dos dispositivos de computação pessoal
estará sempre atualizado e com todas as correções/
melhorias de segurança aplicadas, sempre visando
dirimir eventuais riscos decorrentes desta prática.
Quanto mais, a empresa deve igualmente garantir
que os dispositivos de computação pessoal possuam
ferramenta para prevenção de códigos maliciosos e
garantam que as assinaturas de códigos maliciosos
serão atualizadas em tempo real e executem
varreduras com assiduidade.
Por fim, o uso dos dispositivos de computação
pessoal deve ser feito de forma ética, condizente com
as atividades profissionais do colaborador, assim
como suas perdas, roubos ou furtos deverão ser
informados de imediato ao setor responsável a fim
de serem tomadas as medidas cabíveis de segurança.
UTILIZAÇÃO DE TÉCNICAS DE CRIPTOGRAFIA
A adoção da criptografia em banco de dados, apesar
de não ser expressamente requisitada na LGPD,
demais normas do ordenamento jurídico pátrio
recomendam o emprego de criptografia e a opção por
utilizar essa medida técnica será considerada para
um futuro cenário de aplicação de multa e/ou outras
sanções administrativas.
A criptografia simétrica pode ser adotada para
criptografar dados que estão armazenados. Em
comparação a outras técnicas, a criptografia
simétrica é mais vulnerável porque utiliza uma chave
relativamente simples o que a torna mais vulnerável
a um ataque brute force. Entretanto, é uma técnica
que permite cifrar rapidamente uma abundante
quantidade de dados armazenados. A criptografia
simétrica é utilizada para garantir a integridade e a
confidencialidade das informações armazenadas.
de
Ainda, algumas empresas utilizam a adoção de
criptografia como um diferencial mercadológico,
afinal, em um cenário onde vazamento de dados
ocorrem quase que diariamente, garantir a
privacidade dos clientes é diferencial.
Desta feita, Apesar de não existir uma requisição
explícita na LGPD, normas mais específicas no tocante
a tecnologia no cenário brasileiro, trazem como
principal recomendação a adoção de criptografia
para garantir a integridade e confidencialidade das
informações.
A LGPD também traz a possibilidade de redução de
multa e/ou sanções, após a análise das medidas de
segurança adotadas pela empresa.
Considerando que as multas administrativas previstas
pela LGPD podem chegar a 50 milhões por infração,
o investimento em uma medida como a criptografia
deve ser considerado.
GUIDELINE+LGPD 15
 TOMAR AS MEDIDAS ADEQUADAS QUANDO HOUVER O TÉRMINO
DO TRATAMENTO

Conforme previsto na LGPD, o término do Tratamento de Dados Pessoais ocorrerá nas seguintes hipóteses:

Verificação de que a finalidade foi alcançada ou de que os dados deixaram de ser necessários ou pertinentes
ao alcance da finalidade específica almejada;
Fim do período de Tratamento;
Comunicação do Titular, inclusive no exercício de seu direito de revogação do consentimento, resguardado
o interesse público; ou
Determinação da ANPD, quando houver violação ao disposto na LGPD.

Desse modo, ocorrendo o término do Tratamento dos Dados Pessoais, estes devem ser eliminados pelo
Controlador. É importante ressaltar que, ao término do Tratamento de Dados Pessoais, tais dados precisam ser
eliminados de todos os mecanismos de armazenamento existentes, incluindo os backups que foram realizados.

No entanto, nas seguintes situações abaixo, estão autorizadas a conservação dos Dados Pessoais, mesmo após
o término do Tratamento de Dados Pessoais:

Para o cumprimento de obrigação legal ou regulatória pelo Controlador;

Para realização de estudo por órgão de pesquisa, garantida, sempre que possível, a anonimização dos
dados pessoais;
Para a realização de transferência a terceiro, desde que respeitados os requisitos de Tratamento de dados
dispostos na LGPD; ou
Para o uso exclusivo do Controlador, vedado seu acesso por terceiro, e desde que anonimizados os dados.

Assim como ocorre nos procedimentos de correção, anonimização e bloqueio, na eliminação dos Dados
Pessoais este procedimento também se estende não apenas ao Controlador, mas também às empresas com as
quais ele tenha feito uso compartilhado das informações. Logo, essas organizações devem ser informadas pelo
Controlador, assim que qualquer um desses processos tenha sido solicitado pelo Titular.

REALIZAR A REVISÃO DE CONTRATOS

Todos os contratos firmados com os fornecedores e parceiros que envolvam Tratamento de Dados Pessoais,
devem ser revisados e adequados à LGPD. Assim, é importante que tais contratos contenham cláusulas que
versem sobre a proteção de dados, a fim de que sejam estabelecidos os deveres e responsabilidades de cada
Agente de Tratamento.

É importante ressaltar que não podemos nos ater somente a revisão contratual na ordem civil, há ainda
os contratos trabalhistas. Nesse sentido, o empregador deve atualizar os contratos com seus empregados,
revisando ou adicionando cláusulas que digam respeito aos Dados Pessoais tratados pela empresa.

16 GUIDELINE+LGPD
 TREINAMENTO DE EQUIPE

Considerando o aumento do número de ataques cibernéticos a cada dia e sobre as exigências advindas da
LGPD, é extremamente importante que todos os colaboradores integrantes da empresa, tenham clareza sobre
a importância da privacidade e da proteção de Dados Pessoais, bem como sobre os cuidados que devem ser
observados em cada operação ao realizarem o Tratamento de Dados Pessoais.

Dessa maneira, os colaboradores devem ser capacitados de como devem trabalhar em conformidade com a
LGPD. Para isso, o treinamento interno com a equipe integrante de cada área da empresa garante uma melhor
adequação e manutenção das boas práticas de proteção de Dados Pessoais.

Assim, a empresa ao decidir não fomentar a cultura de proteção de Dados Pessoais dentro da própria
organização, coloca-se em uma posição extremamente vulnerável. Ainda, cumpre ressaltar que a medida que a
LGPD evolui a conformidade requer aprendizados e reforços contínuos.

GUIDELINE+LGPD 17
4. CONCLUSÃO

Este documento buscou trazer, de forma meramente exemplificativa, algumas dentre as diversas boas práticas
que podem ser adotadas pelas empresas como forma de demonstrar seu comprometimento, não só com a
implementação das adequações à Lei Geral de Proteção de Dados Pessoais, mas com a assimilação dessa nova
forma de tratar de dados pessoais, bem como de uma nova consciência cultural que vem se desenvolvendo
acerca da importância de se garantir a privacidade e a proteção das informações pessoais.

Ressaltamos que a presente Cartilha serve como um guia, devendo cada empresa avaliar individualmente sua
própria operação para verificar quais são as suas necessidades a fim de adotar as medidas que devem ser
implementadas para garantir o cumprimento da LGPD. Ainda, cumpre destacar que é extremamente relevante
que as empresas observem as orientações que vierem a ser emitidas pela Autoridade Nacional de Proteção de
Dados (ANPD) a respeito da referida legislação.

18 GUIDELINE+LGPD
brasil.com.br