Escolar Documentos
Profissional Documentos
Cultura Documentos
Cms Files 6228 1619440752guia 5 Passos para Comecar A Implementar A LGPD
Cms Files 6228 1619440752guia 5 Passos para Comecar A Implementar A LGPD
Esse material foi criado para apoiar sua empresa a se adequar à nova Lei Geral de Proteção de
Dados.
Aqui você encontra um checklist para montar sua estratégia de adequação à LGPD, facilitando o seu
entendimento sobre quais dados sensíveis estão sendo armazenados e usados na sua empresa, e além
disso, identificar os riscos que o seu negócio pode correr após a entrada em vigor da Lei.
Nessa planilha você vai encontrar um checklist de etapas para execução e adequação à LGPD.
P.s: Caso ainda tenha alguma dúvida sobre a LGPD, leia este material publicado em nosso blog
o da LGPD
Checklist para se adequar à LGPD
1. Criação de um Comitê Compliance
O termo "compliance", diz respeito a "estar em conformidade com". No âmbito empresarial é muito usado para garantir que as em
sempre de acordo com leis e obrigações. O comitê compliance vai garantir que toda a sua empresa - colaboradores, diretoria e pa
acordo com a legislação.
Em relação à LGPD, o compliance não deve ser um assunto somente de TI ou do Jurídico. Como você já deve saber, a LGPD, di
dados sensíveis de pessoas físicas, e, em uma empresa muitas áreas lidam com esses dados. Por isso, é importante envolver to
entender em cada uma delas, como está sendo tratado esses dados sensíveis, quem tem acesso a eles, como são armazenados
Por isso nesse primeiro passo, crie um comitê multidisciplinar, assim você terá maiores condições de entender quais são os risco
empresa pode estar exposta e como resolvê-los.
Um exemplo: você pode nomear um Responsável Geral pelo comitê, que irá acompanhar o andamento de todo o processo, desd
das informações, priorização e execução do plano de ação. Indica-se também a nomeação de um Responsável pela Execução, q
acompanhar a execução do plano de ação elaborado. Além disso, pode convidar um representante de cada área, para acompanh
ser responsável por repassar as informações à sua área e além disso irá contribuir com o processo de levantamento da riscos, qu
passo.
Após criado o Comitê é preciso entender onde estão os principais GAP’s da sua organização. Para isso, elabore um L
Riscos.
Esse é um momento crucial dentro de todo o processo. Nesse levantamento de riscos, você deverá repassar por todo
empresa, elencando detalhes sobre todos os dados sensíveis usados em cada atividade da sua empresa. Você deve
responsável por cada setor. Com ele ficará o dever de repassar por todas as atividades da sua área, levantando se s
sensíveis e quais são, como são usados, armazenados e diversas outras informações.
Esse levantamento é essencial, pois será usado para priorizar as ações de adequação à lei. Através dele, você irá ent
estão os principais pontos de atenção em relação a LGPD. A lei é muito ampla e 100% de compliance, ou seja, de ade
extremamente difícil. Como a lei entra em vigor em agosto de 2020, é importante atacar onde haverá maior ganho em
Nessa etapa de levantamento de riscos, você também irá entender sobre terceiros, fornecedores, processos e contrat
estar sujeitos a riscos perante a LGPD. Exemplo:
2.1. Fornecedores
Avalie com quais fornecedores estão sendo compartilhados dados pessoais e se eles também estão se adequando a
quais as medidas estão sendo adotadas para proteção desses dados.
2.2. Infraestrutura
Avalie as medidas de segurança e proteção dos dados que estão sendo usadas na sua empresa e seu nível de eficiên
onde os dados são armazenados e as práticas de segurança que estão sendo usadas, exemplo política de senhas, fir
etc.
Para isso criamos um checklist específico que você encontra aqui na aba 2.
Para te apoiar nessa etapa do processo, elaboramos um modelo de planilha onde você vai encontrar um passo-a-pos
para realizar o levantamento dos dados sensíveis na empresa apenas para preenchimento. Ele te guiará no levantame
em cada área na empresa. Tudo de forma prática.
Após levantados todos os riscos, o próximo passo é fazer uma priorização de qual terá maior impacto na empresa e p
preferência no Plano de Ação.
Como o tempo para implementação é curto, coloque os riscos identificados no passo anterior em uma matriz. Nessa m
cruzar a probabilidade daquele risco acontecer e o impacto para o negócio. Para realizar essa priorização, você dará n
Após dado as notas, você terá uma matriz indicando se aquele risco é Extremo, Elevado, Moderado, Leve ou Baixo. A
começar o plano de ação pelos riscos que mais irão afetar a organização.
Criamos também uma Planilha de Matriz de Riscos que irá te ajudar nessa priorização. Basta preencher com os riscos
Tópico anterior.
Para isso, começe com os Riscos Extremos e Elevados identificados na Matriz de Riscos. Deve-se fazer uma análise
pois caso algum risco não seja classificado como Extremo ou Elevado, mas tenha impacto grave sobre a empresa, ele
ser considerado no Plano de Ação. Nessa horá o Responsável pela Execução entrará em ação para acompanhar o pr
planejamento e execução.
Além dos riscos priorizados no Tópico anterior, existem alguns “entregáveis” exigidos pela lei, portanto é importante qu
plano. Esses documentos são importantes tanto para guiar as ações internas da empresa, quanto para prestação de c
ANPD (Autoridade Nacional de Proteção de Dados), caso solicitado. Esses entregáveis são:
Crie de uma Política de Privacidade. Essa política irá orientar todo o público da empresa sobre como os dados são co
armazenados e tratados.
Na Política de Privacidade deve conter algumas informações essenciais, como: informações sobre a organização resp
tratamento; dados pessoais e respectivas finalidades do tratamento; base jurídica do tratamento; prazo de retenção do
pessoais; informações de contato do Data Protection Officer (DPO) ou encarregado de proteção de dados da organiza
Algumas outras informações que também deve conter na Política de Privacidade:
- Sobre compartilhamento dos dados com terceiros e qual a finalidade, inclusive redes sociais;
- Sobre transferência internacional e qual a finalidade;
- Sobre o tratamento por legítimo interesse;
- Sobre o envio de e-mail marketing e como remover o consentimento, quando autorizado inicialmente pelo titular;
- Sobre decisões automatizadas;
- Sobre a proteção de dados de menores de idade;
- Sobre a proteção dos dados sensíveis.
4.3. DPO
Nomeie um DPO, que será o guardião da compliance em relação a LGPD na empresa. O DPO será o responsável po
cultura de proteção de dados na empresa, além de criar normas e procedimentos adequados à lei. Algumas atividades
figura do DPO:
- Receber solicitações sobre o assunto;
- Interagir com a autoridade nacional do assunto caso necessário;
- Realizar treinamento sobre a LGPD internamente;
4.5. Revisão
Revise todas as práticas de controle de acessos aos dados. Essa revisão entra no checklist de segurança da informaç
dados sensíveis devem estar disponíveis apenas para quem de fato irá precisar daquele dado. Para isso, cada área d
as informações estejam seguras, para isso deve-se seguir algumas práticas.
O
5. último e nãoamenos
Trabalhar importante
cultura passo, é a cultura da empresa. A Privacidade deve se tornar um assunto comum de
da empresa
negócios.
Para isso, é importante que a empresa conscientize seus colaboradores sobre como ela lida com este tema e também
quais são as práticas para garantir a integridade desses dados.
Algumas sugestões:
a. Incluir o assunto no on-boarding dos novos colaboradores, ou seja, no treinamento e/ou integração dos funcionários recém con
b. Criar um manual de boas práticas para segurança de dados ou incluir o assunto no código de conduta da empresa, mas a ideia
quais são essas práticas, então use dos meios de comunicação direta com os colaboradores e garanta que eles irão acompanhar
c. Realizar treinamentos com a equipe sobre a LGPD e a política de privacidade da empresa. Muitos colaboradores podem não s
trata essa nova lei, então é importante que todos estejam na mesma página.
d. Fazer campanhas de comunicação interna destacando os principais pontos da LGPD e da política da empresa.
6. Manutenção
Seguindo esses passos sua empresa estará adequada com a LPGD, mas é essencial garantir a manutenção dessas p
empresa, por isso a figura do DPO será tão importante. Caso sua empresa tenha um volume de dados muito alta, exis
empresas de consultoria que estão apoiando as empresas nesse processo.
Mas seguindo esse checklist tenho certeza que irá facilitar seu entendimento sobre como e onde implementar a LGPD
empresa.
Status
Status
Status
Status
Status
Status
CONCLUÍDO
EM APLICAÇÃO
PENDENTE
Como garantir segurança de dados
1. Senhas
Garanta que cada colaborador tenha sua senha de rede, e-mail e sistemas. Instrua a todos a não informar essas senh
conhecidos ou outros colegas de trabalho.
Para a criação das senhas, instrua seus colaboradores a evitar senhas fáceis e repetitivas, com nomes e datas de ani
sua composição.
Informe que é necessário também a alteração das senhas periodicamente ou quando sentirem que ela já não seja tão
Quando o colaborador sair da frente do computador, instrua o mesmo a bloquear a tela, seja dentro ou fora da empre
Importante também que quando algum colaborador deixe a equipe, seja feito a revogação de todos os acessos do me
colaborador for desligado, é importante que esse procedimento seja solicitado com antecedência. Caso algum colabor
sair, você pode providenciar durante o aviso prévio.
2. Antivírus
Adiquira uma sistema de antivírus confiável e instale em todos os computadores. Mantenha o mesmo sempre atualiza
importante para garantir que o computador não seja hackeado e assim os dados sensíveis estejam expostos.
Um boa prática também é barrar o uso a alguns site que não tenham normas de segunrança atualizadas ou que apres
risco de vírus maior, como sites de downloads, filmes online, etc.
3. Backup
Tenha sempre um backup de todos os arquivos, principalmente daqueles mais importantes. Caso as ferramentas que
tenha opção de backup automático, sempre que achar necessário, faça-o manualmente. Crie alertas para lembrar de
backups. Assim não correrá risco de perder nenhum dado essencial ao seu negócio.
4. Outros dispositivos
Evite conectar dispositivos desconhecidos em seu computador, por exemplo, pen drives, HD externos e smartphones
conter arquivos maliciosos. Esses dispositivos podem comprometer a segurança e a integridade do seu equipamento.
podem roubar dados da sua máquina sem que ninguém perceba.
5. Sistema Operacional
Mantenha o seu Sistema Operacional (seja Windows, Linux, MacOS) sempre atualizados, há sempre atualizações de
disponíveis. Normalmente essas atualizações são feitas para corrigir alguns bugs do sistema ou até mesmo para traze
Quando o sistema operacional fica desatualizado você pode estar exposto a riscos de
6. Cuidados Pessoais
Você e seus colaboradores também são titulares de dados sensíveis, como informações pessoais, dados bancários, e
quais sites você os informa, existem muito sites especializados em roubar dados de usuários. Cuidado também ao usa
em lugares compartilhados, existem várias maneiras de roubas esses dados.
Evite abrir e-mails de desconhecidos e suspeitos, principalmente aqueles que contêm anexos ou links que encaminha
sites, como por exemplo, e-mails com boleto, atualização de cadastro bancário ou redes sociais ou até mesmo falando
ganhador de prêmios, além de SPC, esses são os mais comuns.
Status
Status
Status
Status
Status
Status
EM ANDAMENTO
CONCLUÍDO
AMENTO