Aula 1: Assessment Inicial ou

Diagnóstico Pré-Contratual (DPC)

Não existe receita de bolo ou ferramentas mágicas, na área de
proteção de dados e de privacidade, porque cada cliente é único e
possui uma realidade distinta que demandará a adoção de medidas
únicas para sanar suas necessidades. O que existem são processos
de trabalho para guiar a atuação dos profissionais, sejam atuantes em
consultorias, sejam atuantes como encarregados pelo tratamento de
dados (DPO – Data Protection Officer).

Por isso, na minha metodologia de trabalho, antes de precificar e

iniciar o Programa de Adequação à LGPD, eu faço o que chamo de:
Assessment Inicial ou Diagnóstico Pré-Contratual (DPC) do
cliente. Nessa fase eu consigo conhecer o modelo de negócio do
cliente e seu grau de maturidade no que tange à proteção de dados
e de privacidade.

Essa primeira fase tem como principal função a de auxiliar os

profissionais na definição do escopo do Programa de Conformidade
à LGPD e na precificação do projeto! Como falamos em nossa aula,
um Programa de Adequação à LGPD é um conjunto de ações que
devem ser executas para que uma empresa esteja em conformidade
com a legislação.

A conformidade com a LGPD não se resume a uma Política de

Privacidade, a um software, a medidas de cibersegurança, a cláusulas
contratuais, ao contrário, essas medidas fazem parte do conjunto de
ações, sempre de acordo com as necessidades de cada cliente.

A ideia e o objetivo de um Programa de Adequação é a criação de

uma cultura! Vai muito além da adoção de medidas isoladas! Não
caia nessa.
O objetivo do Programa de Conformidade à LGPD é fazer da
proteção de dados e da privacidade um dos pilares de sustentação
do negócio do cliente, trazendo ainda vantagem competitiva dele no
mercado, mitigação de risco e otimização de processos.

A LGPD não é burocrácia! Não venda seus serviços sob

essa perspectiva ou poderá ser seu fim!

A execução de Programa de Adequação demanda tempo, esforço e

dedicação do profissional que está conduzindo e do cliente. Lembre-
se da nossa #nãoexistereceitadebolo.

Para atuar na área de proteção de dados e de privacidade não

são necessárias certificações nacionais ou internacionais, não é
necessária nenhuma formação específica. A LGPD é para todo
mundo! Advogados, profissionais de tecnologia da informação,
profissionais de administração, profissionais da segurança da
informação, profissionais de recursos humanos, profissionais de
marketing podem atuar nessa área.

Há um clubinho da área de proteção de dados que prega a ideia de

que a LGPD é para poucos, mas isso não cola! Essa é uma crença
limitante que foi instituída no mercado, talvez por interesses óbvios,
mas que não é verdade.

A área de proteção de dados pessoais é democrática e traz espaço

para todos os profissionais. O que não dá, para mim, é limitar a
atuação das pessoas. Por isso, lembre-se do nosso lema: Ninguém
pode falar o que podemos ou não fazer! Nós fazemos a nossa
própria história!

Vamos conhecer a Agência Diamante Digital e analisar seu grau de

maturidade?
 Checklist – Questionamentos prévios (análise de maturidade)
Questionamentos Resposta
Área/Mercado de atuação
Prestação de Serviços Prestação de Serviços para
Indústria desenvolvimento de Branding,
Tecnologia através de Inbound Marketing
Varejo para criação de uma audiência
Bens de Consumo segmentada qualificada, escalando
Financeiro as vendas de produtos digitais.
Jurídico
Qual o porte da empresa?
Microempresa (faturamento até R$
360k)
Pequena empresa (faturamento R$ É uma empresa de pequeno porte
360k até R$ 4,8 MM) que faturou R$ 3.000.000,00 de
Médio Porte (faturamento R$ 4,8 MM reais no último ano.
até R$ 300 MM)
Grande Porte (faturamento maior que
R$ 300 MM)
Possui funcionários? Quantos? Sim, são 6 colaboradores diretos.
Não sabemos essa informação,
pois o nosso Departamento de
Possui contrato com os funcionários? Recursos Humanos é terceirizado
e não temos controle sobre esses
processos.
Depende, as vezes nossos clientes
Os seus clientes são pessoas físicas ou
possuem empresas constituídas, as
pessoas jurídicas?
vezes são pessoas físicas.
Sim, nosso modelo de negócio é
Trata dados pessoais?
baseado em dados pessoais.
Atualmente, contando com todos os
experts que possuímos sociedade,
Qual o tamanho da base de dados?
temos aproximadamente 500 mil
dados na base.
Dados pessoais (nome, e-mail,
Qual a tipologia (dados sensíveis, telefone), identificáveis (perfil
identificados, identificáveis, públicos, comportamental, preferências,
crianças e adolescentes) dos dados costumes, gostos), dados sensíveis
tratados? (religião, etnia, orientação sexual) e
dados manifestamente públicos.
O tratamento de dados pessoais inclui
Sim, utilizamos serviços do
automatização na tomada de decisões
facebook ads e do google ads que
ou cria perfis com base nos dados
utilizam de ferramentas de profiling
pessoais tratados (profiling) ou faz uso
e analytics.
analítico (analytics)?
 Checklist – Questionamentos prévios (análise de maturidade)
Questionamentos Resposta
Nunca pensamos sobre esses temas
no nosso modelo de negócio, mas
O tratamento de dados é executado temos alguns processos internos
com base nos princípios da Lei Geral (boas práticas do mercado) que
de Proteção de Dados? talvez se adequem aos princípios
da segurança, qualidade, finalidade
e transparência.
O tratamento de dados se justifica em
Sim, toda a coleta de lead é feita
alguma das 10 bases legais previstas
com base no consentimento.
na LGPD?
Para nós a finalidade é clara, ou
A empresa possui finalidades claras
seja, nós coletamos e usamos esses
e especificas para os tratamentos de
dados para divulgar conteúdos e,
dados que realiza?
desta forma, vender mais.
O serviço/produto é fornecido
Digitalmente.
fisicamente ou digitalmente?
Se for digitalmente, é por meio de site
Através de páginas na internet.
e/ou aplicativo?
A Agência possui um site
comercial, em que temos um
formulário de contato, sem coleta
Tem site ou aplicativo? de cookies. No mais, no nosso
modelo de negócio, nossos experts
têm sites (páginas de captação de
lead, blog, página de venda)
No nosso site não possuímos, mas
nas páginas dos experts temos uma
Possui uma Política de Privacidade
política de privacidade padrão
externa?
(não sabemos/lembramos quem
elaborou essa política).
Possui um Termo de Uso? Não temos.
Sim, usamos o consentimento no
Utiliza o consentimento para tratar nosso modelo de negócio (no
dados? Em caso afirmativo, o momento da captação de lead).
consentimento é obtido por escrito O consentimento é presumido,
ou por outro meio que demonstre a pois não registramos ele na nossa
manifestação de vontade do titular de ferramenta de e-mail marketing,
dados? apenas identificamos que a pessoa
submeteu seus dados.
Internamente sim, mas nunca
A empresa é clara, precisa e objetiva pensamos nessa perspectiva no
quanto às finalidades para as quais os ambiente externo, ou seja, nas
dados serão tratados? páginas de captação de lead, blog
e venda.
 Checklist – Questionamentos prévios (análise de maturidade)
Questionamentos Resposta
Nós oferecemos a opção de opt
out (uma boa prática do mercado),
A empresa possui mecanismos para
mas não temos controle sobre isso,
possibilitar o consentimento seja
confiamos que a nossa plataforma
revogado pelo titular?
de e-mail marketing faz a exclusão
quando a pessoa solicita.
Sim, 6. Axuna, ferramenta interna
de gestão de demandas.
ABC8, empresa de departamento
de recursos humanos e contábil/
fiscal. LEADBOMB, ferramenta de
Possui fornecedores que prestam
automação de e-mail marketing e
serviços? Se sim, quais e quantos?
armazenamento de leads.
Facebook e Google para
gerenciamento das campanhas.
Quentmart para hospedagem dos
infoprodutos dos experts.

Não sabemos, mas acreditamos

Possui contrato firmado com estes que com a Axuna, LEADBOMB,
fornecedores? Facebook, Google e Quentmart foi
assinado algum termo de adesão.

A empresa possui uma metodologia

de auditoria prévia de privacidade
Não possuímos.
e proteção de dados para fins de
negociação com terceiros?
Sim, os dados dos nossos
colaboradores são compartilhados
com a ABC8.
A empresa compartilha dados pessoais
Já os leads são compartilhados com
com os terceiros contratados?
a LEADBOMB, Facebook, Google e
Quentmart.

A empresa utiliza sistemas/softwares

LEADBOMB e Axuna.
internos? Se sim, quantos e quais?
A empresa conduz avaliações de
vulnerabilidade e testes de penetração Não conduzimos.
em seus sistemas/softwares?
 Checklist – Questionamentos prévios (análise de maturidade)
Questionamentos Resposta
Não sabemos, mas acreditamos que
Tem transferência internacional de sim, pois as empresas LEADBOMB,
dados? Axuna, Facebook e Google são
internacionais.
Os países para os quais a empresa
Não sabemos dessa informação,
realiza transferência internacional de
pois desconhecemos quais são os
dados possuem grau de proteção de
países.
dados adequado?
São armazenadas na ferramenta
LEADBOMB, não sabemos ao certo
Os dados pessoais são armazenados
quão segura é a ferramenta, mas
em um local e ambiente seguros?
confiamos que seja, pois é uma das
principais ferramentas do mercado.
Não sabemos onde a LEADBOMB
armazena os leads, nem onde a
ABC8 armazena os dados dos
Utiliza serviço de cloud? Em que país nossos colaboradores.
estão localizados os dados? Utilizamos o serviço doisdrive para
armazenar os vídeos e fotos dos
experts.

É utilizada alguma ferramenta

tecnológica que efetue a criptografia Não possuímos essa informação.
(irreversível) dos dados?
Possui Política de Segurança da
Informação, Programa de Proteção
Não possuímos.
de Dados Pessoais e/ou Programa de
Governança de Privacidade?
Possui política de backup de dados? Não possuímos.
Os colaboradores são/foram
conscientizados com relação à Não.
proteção de dados pessoais?
Existe um processo formal para
Não temos treinamento e nem
revisar e atualizar o treinamento
processos de revisão.
periodicamente?
A empresa exige que seus funcionários
Não temos essa informação porque
e prestadores de serviços assinem
a empresa ABC8 é quem cuida
acordos de confidencialidade e
desses assuntos para nós.
segurança de dados?
Possui Política de Senha? Não possuímos.
Possui Política de Home Office
Não possuímos.
seguro?
 Checklist – Questionamentos prévios (análise de maturidade)
Questionamentos Resposta
O acesso a dados pessoais está restrito
Nunca pensamos nisso, acreditamos
somente a funcionários autorizados
que todos devem acessar tudo na
(política de hierarquização de
empresa para otimizar o dia a dia.
acessos)?
Não, nós prezamos pela
A empresa possui uma política
manutenção dos dados em nossa
periódica para eliminação de dados
base pelo maior tempo possível.
pessoais?
Lead = dinheiro.
Sim. Não temos um prazo máximo
Os dados pessoais são tratados por de manutenção dos leads em nossa
período indeterminado? base, salvo quando o usuário
solicita o opt out.
A empresa possui Política de Descarte
Não possuímos.
Seguro de Dados?
A empresa anonimiza os dados
pessoais que permanecem em
Não anonimizamos.
seus sistemas após o término do
tratamento?
Nunca pensamos nisso, o único
A empresa possui processos internos
que conseguimos atender é o de
aptos a atender às solicitações para
opt out da lista (revogação do
exercício de direitos dos titulares?
consentimento).
A empresa possui registros de todos os Nós contamos que a empresa
dados pessoais por ela tratados e seus LEADBOMB registra os dados
respectivos titulares? tratados.
A empresa nomeou um Encarregado
Não possuímos.
(Data Protection Officer - DPO)?
A empresa possui alguma certificação
Não possuímos.
de segurança (ISSO 27701, 27001)?
A empresa possui processos para
notificar os titulares em caso de Não possuímos.
violação de dados?
A empresa é capaz de detectar Internamente não possuímos
incidentes de segurança (acesso nenhum mecanismo nesse sentido,
não autorizado, destruição, perda, mas acreditamos que nossos
alteração e violações de dados)? parceiros/fornecedores possuem.
É do seu conhecimento que sua
empresa tenha passado por algum
Não temos esse conhecimento.
incidente de violações de segurança
da informação no último ano?
Como visto em nossa aula, a Agência Diamante Digital possui um grau
baixo de maturidade no que tange à proteção de dados pessoais e
privacidade, pois não possui controles internos quanto ao tratamento
de dados, nem tão pouco processos internos bem definidos para a
proteção desses dados.

No mais, a Agência Diamante Digital não possui medidas jurídicas

e administrativas aptas a garantir a segurança dos dados de seus
colaboradores e dos leads coletados.

Agora que sabemos qual o grau de maturidade do nosso cliente e

já possuímos as informações necessárias para mensurar o esforço
necessário para a execução do Programa de Adequação da Agência
Diamante Digital, conseguiremos definir o escopo do projeto e o
preço dos honorários.
 Vamos fechar o contrato com o nosso
cliente e dar início ao Data Mapping
Depois de termos analisado o modelo de negócio do nosso cliente,
conhecido e compreendido o seu grau de maturidade e de adequação
à Lei Geral de Proteção de Dados Pessoais, iremos agora definir o
escopo do nosso projeto e precificar o projeto do nosso cliente.

Como já abordamos na nossa Aula 1, existe uma metodologia para

a aplicação da teoria da LGPD na prática e, essa metodologia, é
composta por algumas fases, etapas e atividades (Aculturamento,
Data Mapping, Gap Analysis, Plano de Ação, Implementação e
Monitoramento), sendo essa metodologia a base lógica para os
desdobramentos do nosso cronograma e da precificação.

Nesse sentido, inicialmente, você precisa definir quais serão os

serviços que você irá executar na sua consultoria (lembre-se que você
não é obrigada a executar tudo, você pode definir e empacotar seus
serviços, deixando claro para o cliente o que você executa e o que
você não executa).

Dito isso, após a definição do seu “pacote de serviços”, você precisa

elaborar e definir um cronograma e o escopo do projeto. Para a
Agência Diamante Digital, definimos o seguinte escopo inicial de
projeto:
Fase 1 – Aculturamento e Onbording

1 – Reunião de onbording e planejamento

2 – Formação inicial em LGPD
3 – Esclarecimento de dúvidas

Fase 2 – Data Mapping

1 – Elaboração e envio de planilhas e formulários

2 – Entrevistas individuais para preenchimento de
planilhas e formulários
3 – Definição de Bases legais
4 – Segunda rodada de entrevistas

Fase 3 – Elaboração do ROPA

(Relatório de Operações de Tratamento de Dados)

1 – Elaboração de Relatório de Operações de

Tratamento de Dados Pessoais

Fase 4 - GAP Analysis

1 – Análise e diagnóstico das planilhas de mapeamento

2 – Análise e diagnóstico dos formulários de mapeamento
3 – Análise e diagnóstico de Contratos, Políticas
internas e externas
4 – Análise e diagnóstico de Processos Internos

Fase 5 – Plano de Ação

1 – Elaboração de Plano de Ação e entrega do

Programa de Privacidade e conformidade à LGPD
Agora, é hora de precificar! Depois que definimos o escopo do
projeto dos nossos clientes, iremos definir a forma de precificação.
No momento de precificar temos que analisar diversas variáveis
para conseguir precificar de forma estratégica, competitiva e,
principalmente, realista.

Nesse sentido, quando formos colocar preço nos nossos serviços,

devemos ter em mente o resultado do Assessment inicial (DPC) que
executamos em nosso cliente, lembrando as particularidades do seu
modelo de negócio, seu grau de maturidade e nível de adequação.

OBSERVAÇÃO IMPORTANTE: Preço é diferente de valor, por

isso, além de precificar de forma coerente com o escopo dos
serviços que você irá executar, você precisa valorizar seus serviços e
empregar VALOR a eles, pois somente assim os clientes irão valorizar
e pagar!

Importante! Não apresente uma Proposta de Honorários

sem conhecer o negócio do cliente, suas operações de
tratamento, sua complexidade de tratamento, seu nível de
maturidade e grau de adequação.
Dando continuidade, os honorários para execução desse escopo
inicial do projeto da Agência Diamante Digital foram definidos da
seguinte forma:

VALOR DE HORA INTELECTUAL x TEMPO DE EXECUÇÃO

x ESFORÇO x RISCO

Antes de decidir ir ao campo de batalha da LGPD, você precisa dar

alguns passos na escada de aprendizado e de evolução, lembra?
Por isso, aí vão alguns passos antecedentes e de extrema importância
para que você consiga precificar seus serviços:

Passo 1 – Conhecer e calcular o valor da sua hora intelectual!

Passo 2 – Determinar o sua tempo de execução das atividades

definidas no escopo do seu projeto!

Passo 3 – Identificar o seu esforço para execução do projeto

(diante do nível de maturidade e grau de adequação do cliente e
do seu nível de conhecimento e de experiência)!

Passo 4 – Analisar o seu risco ao assumir o projeto do cliente

(com base na complexidade do negócio, faturamento etc.).
Outro passo fundamental antes de ir ao campo de batalha da
LGPD é “arrumar a sua casa” e tornar o seu negócio seguro.
Normalmente, você não aprende isso na faculdade, no MBA, na
pós-graduação, você aprende “tomando na cabeça” e enfrentando
problemas. Por isso, elabore uma boa Proposta de Honorários e um
bom Contrato de Prestação de Serviços para a sua consultoria.

Lembre-se que a Proposta de Honorários, normalmente, é o primeiro

documento que o cliente vê, e nós sabemos que a primeira impressão
é a que fica, né?

Então, cuide para que a sua Proposta de Honorários esteja bem

escrita, clara, objetiva, isso, pode ser metade do caminho para que
o cliente entenda os seus serviços, veja valor e queira fechar
com você.
Já, o Contrato de Prestação de Serviços da sua consultoria é o
instrumento hábil para garantir que as obrigações, responsabilidades
e regras vigentes entre você e seus clientes estarão claras. No mundo
dos negócios o romantismo de “todos amigos” deve ser deixado de
lado e tudo deve ser o mais claro, transparente e definido possível!

Na próxima aula, nós iremos entender o que é um Data Mapping e

o GAP Analysis e executaremos essas fases no Projeto da Agência
Diamante Digital na prática (juntos – em tempo real).

Você vem, né?

Te vejo amanhã!