Guia da LGPD

para empresas
Entenda de uma vez por todas a Lei Geral de
Proteção de Dados
Sumário Introdução
Proteção de dados pessoais ao redor do mundo
3
4
LGPD Proteção de dados pessoais 5
Como se adequar a LGPD 7
Pessoa física identificada e pessoa física identificável 10
Tratamento de dados pessoais 13
Categoria de dados pessoais 15
Conceito de dado pessoal sensível 16
Conceito de dado pessoal financeiro 17
Conceito de dado pessoal comportamental 18
Conceito de dados simples 19
Importância dos dados pessoais 20
Dados pessoais de menores 21
Incidente de dados 23
Sanções 25
Introdução Caro leitor, me responda! Você já recebeu alguma ligação ou
mensagem no WhatsApp e se perguntou: onde conseguiram o meu
número? Ou ainda, já recebeu alguma carta de alguma empresa
oferecendo um serviço e se perguntou: onde conseguiram o meu
O que é LGPD? endereço?

Se você passou ou não passou por isso, saiba que são situações até
então muito comuns no dia a dia. Algumas empresas utilizam as nossas
informações pessoais para fazerem diversas coisas, às vezes sem a
gente nem imaginar que as nossas informações estão circulando por aí.

Agora imagina como é rápido e fácil as nossas informações pessoais

circularem entre várias empresas nos tempos de internet e novas
tecnologias em que estamos vivendo! É por causa disso tudo que foi
criada a Lei Geral de Proteção de Dados - LGPD.

A LGPD entrou em vigor em 2020, e a Autoridade Nacional de Proteção

de Dados foi aprovada em maio de 2019 e está em formação.

Nossa Lei foi baseada na sociedade da União Europeia, que possui o

Regulamento Geral sobre a Proteção de Dados (RGPD), sigla do termo
em português, ou GDPR, sigla do termo em inglês, em vigor desde
maio de 2018.

3
Proteção de
dados pessoais
ao redor do
mundo

Fonte: Comissão Nacional de Informática e Liberdade (Cnil/França)

O mapa nos mostra que,
mundialmente, as pessoas,
governos e empresas têm
se preocupado com a
proteção de dados
pessoais e o Brasil está
caminhando para
fortalecer as suas normas,
o que ganhou mais força
com a LGPD;

País fortemente adequado (GDPR) Autoridade nacional e lei(s) de proteção de dados pessoais
País adequado Lei(s) de proteção de dados pessoais
País parcialmente adequado Sem lei(s) específica sobre o tema

4
LGPD
Proteção de
dados pessoais
A LGPD surgiu para proteger os
dados pessoais que circulam todos
os dias dentro de todas as
empresas do Brasil. A LGPD chama
de “dados pessoais” todas as
informações das pessoas físicas.
Pessoas físicas somos todos nós.
Isso quer dizer que a LGPD não
protege outros dados, por exemplo,
não protege os dados de empresas.
É claro que isso não significa que
todas as informações de uma
empresa podem ser divulgadas.
Apenas quer dizer que quem é
protegido pela LGPD é a pessoa
física e não a jurídica.
Portanto, concluímos que a lei
aplica-se diretamente a nós e tem o
intuito de nos resguardar, enquanto
“titulares de dados”.
5
 Categorias de
titular de dados

Aqui podemos ver alguns

dos titulares de dados, o
que também chamamos
de “Categorias de titular
de dados”. Clientes Colaboradores

Prestadores Parceiros
de serviço

6
Como se adequar à LGPD
Treinamento
Os colaboradores da empresa devem conhecer os
principais conceitos sobre proteção de dados
pessoais para que a nova cultura seja criada
Mapeamento de dados
É necessário que a empresa identifique em todos os
departamentos quais as atividades da rotina que
contém dados pessoais
Enquadramento legal
Todas as atividades com dados pessoais precisam
estar autorizadas em uma das situações que a LGPD
permite o tratamento dos dados
Análise de 100% dos riscos
A empresa precisa levantar os riscos de todas as
atividades da rotina, para permitir verificar o que há de
mais arriscado e tratar os riscos mais elevados
Governança, Cultura, Infraestrutura e
Tecnologia
A empresa precisa adotar medidas de governança,
cultura, infraestrutura e tecnologia com o objetivo
específico de proteger dados pessoais
Contratos e outros documentos
Para cumprir a LGPD a empresa precisa alterar
contratos e termos para, por exemplo, dar ciência
sobre o que faz com os dados pessoais
Identificação de não conformidades
É necessário que a empresa identifique não
conformidades, ou seja, falhas, sobre proteção de
dados pessoais, para poder corrigi-las
Relatório de impacto à proteção de
dados
Um relatório com as atividades de tratamento de
maior risco e com uma análise de necessidade dos
dados tratados é exigência da LGPD
Atendimento ao titular de dados
Um canal de atendimento ao titular de dados é
fundamental e uma das exigências mais claras em
termos de boas práticas de proteção de dados
Atendimento à ANPD
A empresa precisa estar preparada com um canal e
procedimento próprio para responder
adequadamente a alguma exigência da ANPD
Apoio à empresa por um DPO
O DPO (data protection officer) é a figura que irá apoiar
a empresa no dia a dia, auxiliando os colaboradores
nos temas de proteção de dados
Preparação para incidentes
É essencial que a empresa registre incidentes de
dados, notifique as pessoas afetadas, e atue para
evitar que aconteçam novamente 7
 Na rotina da sua empresa, você consegue pensar que existem dados
pessoais circulando no dia a dia e que esses dados são de vários tipos de
titulares? Você consegue identificar, pelo menos, que existem funcionários e
clientes? Se sim, você já conseguiu na prática refletir sobre duas categorias
de titular de dados.

8
 Agora você já sabe
o que é a LGPD e quem ela protege.
Vamos aprender um pouco mais.

9
 A LGPD protege os dados da pessoa física
identificada ou identificável. Vamos entender a
diferença.

Pessoa física De acordo com a lei, alguns dados, sozinhos,

mostram quem é uma pessoa. Outros dados
identificada e pessoa pessoais precisam ser somados a outras
informações, para só então sabermos quem é
física identificável essa pessoa.

Vamos pensar nos seguintes dados: RG, CPF,

PIS, CTPS e Número do beneficiário, com
apenas um desses dados, nós conseguimos
saber diretamente quem é uma pessoa.

10
Só existe um RG, um CPF, um PIS, uma CTPS e um número de
beneficiário. Ou seja, apenas com o RG, sem necessidade de mais
nenhum outro dado, é possível identificar uma pessoa. Assim,
existem diversos dados pessoais iguais a esses que acabamos de
analisar, que fazem com que uma pessoa seja diretamente
identificada.

Agora, vamos pensar em outros dados pessoais, por exemplo,

funcionária da empresa “ABC do Brasil”, vamos considerar que
essa empresa imaginária “ABC do Brasil” tem 15 funcionários.
Somente com essa informação, não é possível identificar uma
pessoa, pois existe mais de um funcionário dentro da empresa
“ABC do Brasil”.

11
Entretanto, se adicionarmos outros dados,
como funcionário da empresa “ABC do
Brasil” que atua no departamento de
atendimento, temos outro cenário.
Com essas duas informações é possível
identificar quem é essa pessoa? Se, por
exemplo, essa empresa tiver apenas um
funcionário no departamento de
atendimento, vamos conseguir chegar
nessa pessoa. Se tiver mais de um
funcionário no atendimento, vamos precisar
de outros dados para que seja possível
identificar de quem estamos falando.
Basicamente, o que queremos dizer com tudo
isso? Que podemos pensar nos dados pessoais
de duas formas:
Existem dados que fazem com que uma pessoa
seja diretamente identificada; aqui, um dado é
suficiente e já sabemos quem é essa pessoa.
Existem dados que, se somados a outros
dados, fazem com que uma pessoa seja
identificável. Aqui, precisamos de mais de um
dado. Porém, somando esses dados,
conseguimos saber quem é essa pessoa.

Nesse exemplo, somando dois dados ou

mais, podemos dizer que uma pessoa é
identificável. Ou seja, não basta um só dado.
Mas se juntarmos alguns dados,
conseguimos chegar em uma pessoa.

12
Tratamento de dados - Clientes são cadastrados no sistema da empresa;

pessoais - São enviadas informações de clientes para outros

departamentos.
Vamos entender um pouco o que é tratamento
de dados.
Em um departamento financeiro, podemos
Na rotina de uma empresa, várias atividades são
pensar nas seguintes tarefas:
realizadas no dia a dia. Pense nas tarefas que
todos fazem, desde o horário que começam a - São emitidos e enviados boletos ou notas fiscais de
trabalhar até o horário em que param. clientes;
Para exemplificar, vamos pensar juntos, em
- São elaboradas planilhas com os pagamentos
algumas tarefas de um departamento de realizados pelos clientes.
recepção ou atendimento:
E em um Recursos Humanos:

- São recebidos e selecionados currículos;

- São feitas entrevistas e arquivamento de

informações dos candidatos.

13
Agora, vamos adicionar mais
uma coisa nessas tarefas da
rotina: dados pessoais. Esses
dados pessoais podem ser de
qualquer categoria de titular de
dados:
Toda vez que na rotina da empresa,
em cada departamento, tarefas forem
realizadas e nessas tarefas tiver dados
pessoais envolvidos, nós teremos uma
atividade de tratamento de dados
pessoais.
Fazer um mapeamento de processos
quer dizer, simplesmente, esse
trabalho de pensar e identificar todas
as atividades da rotina, registrar tudo
isso e depois manter esse registro
sempre atualizado de acordo com a
realidade das tarefas do dia a dia.

Por que isso é muito importante?

Clientes
Porque a LGPD diz que toda empresa
Pacientes precisa pensar e conseguir enxergar
dentro da rotina todos esses
Funcionários tratamentos , e, depois, precisa anotar
todos esses registros, com detalhes, e
Sócios também manter os registros
atualizadas.
Parceiros
Consumidores
Ou seja, a LGPD obriga que as
Prestadores de serviços empresas tenham um mapa de todas
as tarefas do dia a dia que de algum
jeito envolvam dados pessoais. E aí
que falamos em fazer um
mapeamento de processos.
Para finalizar, vamos ver o que a LGPD
diz sobre o que é uma “atividade de
tratamento de dados pessoais”? Ela
diz que é “toda tarefa realizada com
dados pessoais” e depois dá alguns
exemplos: coleta, produção, recepção,
classificação, utilização, acesso,
reprodução, transmissão, distribuição,
processamento, arquivamento,
armazenamento, eliminação, avaliação
ou controle da informação,
modificação, comunicação,
transferência, difusão e extração.
14
Categoria de dados
pessoais
Você não acha que a informação sobre o quanto
você recebe por mês deve ser protegida, para você Dados pessoais sensíveis
divulgar isso apenas para quem você quiser?
E tudo o que você compra, os dias e o jeito que
você compra, são informações que você pode Dados pessoais financeiros
querer guardar só para você?
E as suas informações de saúde, a sua religião e a
sua vida sexual? Não acha que merecem um Dados pessoais comportamentais
cuidado especial?
Essas perguntas servem como exemplo para refletir
que os dados pessoais são muitos, e são diferentes, Dados pessoais simples
devendo ser protegidos de forma individual, de
acordo com a sua categoria.
Para dar a proteção adequada, falamos em quatro
categorias, ou seja, quatro tipos de dados pessoais:

15
 Origem racial ou étnica

Convicção religiosa

Conceito de dado pessoal Opinião política

sensível Filiação a sindicato ou organização religiosa,

filosófica ou política
Os dados pessoais sensíveis são os mais delicados.
Por quê? Porque são informações das pessoas que se Saúde
forem expostas ou utilizadas do jeito errado, podem
causar discriminação ou constrangimento para o Vida sexual
titular de dados.
Genética

Biometria

É importante ter atenção porque os dados sensíveis são apenas esses que acabamos de
apresentar! Ou seja, fora esses, nenhum outro dado pessoal pode ser considerado como um
dado sensível. Por que é assim?

Porque a LGPD diz exatamente isso, que apenas esses dados são sensíveis.

16
Conceito de dado
pessoal financeiro
São todas as informações de atividades financeiras
ou valores financeiros, por exemplo, salário,
mensalidades, pagamentos, valores monetários
em reais ou outras moedas, dados dos cartões de
crédito ou débito, dados de cheques, boletos e
documentos semelhantes, dados de instituições
financeiras e contas correntes, entre outros.
Atenção: os dados financeiros podem ser
diversos! Ou seja, aqui nós estamos falando
apenas de exemplos. Se na sua rotina, localizar
alguma outra informação de atividades
financeiras, ela poderá tratar um dado pessoal
financeiro também!

Diferente dos dados pessoais sensíveis, os dados financeiros não estão em uma lista
definida. Podemos encontrar diversos dados financeiros no dia a dia!

17
Conceito de dado pessoal
comportamental
Já os dados comportamentais, o próprio nome diz,
são as informações que mostram que uma pessoa
tem um certo comportamento. Como assim?
Vamos pensar que você sempre realiza compras
em um supermercado X. Olhando as compras que
você já fez durante alguns anos, o supermercado
consegue dizer que: você geralmente vai ao
mercado no final de semana; você sempre faz as
compras no período da manhã; você quase nunca
compra produtos com açúcar.
Os dados comportamentais também não estão em uma lista definida. Podemos encontrar
diversos dados comportamentais no dia a dia!
Tudo isso é considerado um hábito de compra. Ou
seja, um dado comportamental.
Por isso que os dados comportamentais são
informações produzidas pelo próprio titular de
dados, como um resultado do que o próprio titular
de dados faz, das suas ações. E isso,
normalmente, é um comportamento comercial. É
possível conseguir essas informações usando
dispositivos conectados à internet, por exemplo,
um computador, tablet ou celular (smartphone).
Esses dispositivos rastreiam comportamentos
como sobre sites visitados, produtos acessados,
produtos comprados, aplicativos baixados, jogos
acessados, dentre outros.
18
Conceito de dados simples
Por fim, nós temos os dados pessoais simples. Quais
são eles? São todos os dados pessoais que não se
encaixam como sensíveis, financeiros ou
comportamentais. Simples assim.

19
Importância dos dados
pessoais
E por que é importante entender as quatro
categorias de dados pessoais?
Nas atividades da rotina da sua empresa, nos
processos, é necessário verificar quais são esses
dados.
A LGPD determina que a empresa, ao analisar
todas as atividades de tratamento de dados
pessoais, também verifique se esses dados são
sensíveis, financeiros, comportamentais ou simples.
E tem ainda um outro motivo muito interessante.
Cada categoria de dado pode gerar um risco
diferente para a sua empresa. Vamos pensar que
na sua empresa só tem dados pessoais simples.
Agora vamos pensar na empresa ABC, e lá nessa
outra empresa, em todas as atividades existem
dados sensíveis.
Você diria que é mais arriscado trabalhar com os
dados pessoais na sua empresa ou na empresa ABC
que tem muitos dados sensíveis? Com certeza é
mais perigoso na empresa ABC, correto?
Exatamente! As diferentes categorias de dados
pessoais geram riscos diferentes em cada atividade
da rotina da empresa.
É por isso que não podemos deixar de lado essas
diferenças, para que sempre que for necessário
identificar, conseguirmos dizer se um dado é
sensível, financeiro, comportamental ou simples.
20
Dados pessoais de
menores
A LGPD dá uma proteção mais forte para os dados
pessoais de crianças e adolescentes, ou seja, as
pessoas com menos de 18 anos.
Porém, isso significa que os dados dos menores são
um tipo diferente de dado pessoal? Não!
Uma pessoa com menos de 18 anos pode ter os
mesmos dados de uma pessoa maior de 18 anos,
pode ter dados sensíveis, financeiros,
comportamentais ou simples.
O que é importante ver na prática é se em uma
certa tarefa da rotina da empresa existem
documentos, por exemplo, que podem ter dados
de menores. É isso que precisa de atenção.
O que muda para a empresa se existirem dados de
menores nas atividades do dia a dia? Ela precisará
tomar alguns cuidados a mais, por exemplo, pedir o
consentimento específico dos pais ou do
responsável por essa criança ou adolescente para
poder utilizar esses dados.
Assim, nós concluímos que existem quatro
categorias de dados pessoais, e esses dados
podem pertencer a pessoas maiores ou menores
de 18 anos:
21
 Maiores de 18 anos

Categoria de dados
pessoais

Sensíveis
Podem ser dados
de pessoas Financeiros

Comportamentais

Simples
Menores de 18 anos

22
Incidente de dados
Imagine que uma pessoa mal intencionada Vamos analisar um por um?
invadiu o computador da sua empresa e
“Confidencialidade de dados pessoais” quer dizer
conseguiu visualizar diversos documentos com
que os dados pessoais só podem ser conhecidos
dados pessoais de clientes.
por pessoas que estão autorizadas, ou seja, se os
Imagine que aconteceu uma enchente e todos os dados pessoais forem acessados por alguém
documentos que estavam na recepção da que não é autorizado, vamos ter uma quebra da
empresa foram perdidos. confidencialidade.
Imagine que sua empresa usa um sistema para Se uma pessoa mal intencionada invadiu o
guardar vários dados pessoais de clientes e esse computador da sua empresa e conseguiu
sistema ficou “fora do ar” por dois dias e isso visualizar diversos documentos com dados
prejudicou o cliente que precisava dessas pessoais de clientes, aconteceu um incidente de
informações justo nesses dois dias. dados pessoais que atingiu a confidencialidade.
Sabe do que estamos falando?! Estamos falando
de incidentes de dados pessoais!
Um incidente de dados pessoais é qualquer
problema que acontece e causa uma quebra de
(1) confidencialidade, (2) integridade, (3) ou
disponibilidade de dados pessoais.

23
“Integridade de dados pessoais” quer dizer que os
dados pessoais devem estar corretos e devem ser
mostrados sem qualquer alteração, ou seja, se
acontece alguma coisa que atinge esses dados
pessoais, se eles são alterados, destruídos, sejam
esses dados eletrônicos ou físicos, em papel,
vamos ter uma quebra da integridade.
Se ocorreu uma enchente e todos os documentos
que estavam na recepção da empresa foram
perdidos, aconteceu um incidente de dados
pessoais que atingiu a integridade.
“Disponibilidade de dados pessoais” quer dizer que
os dados pessoais podem ser acessados sempre
que for necessário, que devem estar à disposição
sempre para quem precisar deles, ou seja, se
acontece alguma coisa com esses dados pessoais
e eles não ficam totalmente à disposição para
serem utilizados, vamos ter uma quebra da
disponibilidade.
Se a sua empresa usa um sistema para guardar
vários dados pessoais de clientes e esse sistema
ficou “fora do ar” por dois dias e isso prejudicou o
cliente que precisava dessas informações justo
nesses dois dias, aconteceu um incidente de
dados pessoais que atingiu a disponibilidade.
Agora que você aprendeu o que é um incidente
de dados pessoais, vamos pensar: por que é
importante saber disso?
Sempre que acontecer um incidente de dados na
sua empresa, isso deve ser informado primeiro
para o titular de dados, que tem direito de saber
se aconteceu algo com os dados pessoais dele. A
LGPD exige que os titulares de dados sempre
sejam notificados se acontecer algum incidente!

Além disso, a LGPD também manda que a Autoridade Nacional de Proteção de Dados (ANPD) também seja
informada. A ANPD é o órgão que cuida dos dados pessoais em todo o Brasil,.
Assim, no dia a dia é muito bom estarmos atentos para que nenhum incidente de dados aconteça.
Mas se acontecer, as medidas de notificação devem ser providenciadas!
24
 Além da responsabilidade de indenizar o titular
dos dados, a LGPD prevê sanções de caráter
administrativo na hipótese de seu
descumprimento.
As empresas que não respeitarem a lei estão

Sanções sujeitos às seguintes penalidades:

● Advertência;
● Multa de até 2% do faturamento da
empresa ou do grupo limitada, no total, a
R$ 50 milhões por infração;
● Ter a sua infração amplamente divulgada,
após devidamente apurada e confirmada
a sua ocorrência;
● Bloqueio dos dados pessoais
correspondentes à infração até a sua
regularização;
● Eliminação dos dados pessoais
correspondentes à infração;

25
Estas sanções podem ser aplicadas
cumulativamente, por dia e infração, mas
sempre com base na gravidade e extensão da
violação.
Todas as sanções serão precedidas de um
procedimento administrativo que garanta a
ampla defesa do infrator.
As sanções serão aplicadas considerando as
particularidades de cada caso e os seguintes
parâmetros e critérios:
● Gravidade e a natureza das infrações e
dos direitos pessoais afetados;
● As normas de segurança e padrões
técnicos;
● Boa-fé do infrator;
● Vantagem auferida ou pretendida pelo
infrator;
● Condição econômica do infrator;
● Obrigações específicas para os diversos
envolvidos no tratamento;
● Reincidência;
● Grau do dano;
● Cooperação do infrator;
Adoção reiterada e demonstrada de mecanismos e
procedimentos internos capazes de minimizar o
dano;
● Adoção de política de boas práticas e
governança;
● Pronta adoção de medidas corretivas;
● Proporcionalidade entre a gravidade da falta
e a intensidade da sanção.
A Autoridade Nacional de Proteção de Dados (ANPD)
não pode penalizar empresas pelo descumprimento
da Lei Geral de Proteção de Dados (LGPD) até o fim
de agosto de 2021.
Porém, isso não tira a liberdade dos advogados de
empregarem a norma durante o julgamento de
casos para clientes privados.
Além disso, o Ministério Público, Defensorias
Públicas, Procon e associações em geral também
estão permitidos a exigir o cumprimento de todas as
normas da LGPD.
Ou seja, apenas as penalidades administrativas
estão pendentes, podendo todas as outras regras da
LGPD já serem aplicadas.
26
Condenação com base na
LGPD
Uma das maiores empresas do ramo imobiliário do
Brasil, acaba de se tornar a primeira companhia a ser
penalizada sob os termos da LGPD, logo após a Lei
entrar em vigor em 2020.

A companhia foi acusada de compartilhar

indevidamente dados pessoais e de contato de seus
clientes, onde se apurou que quem comprava um
imóvel da construtora, era importunado por ligações de
parceiros oferecendo mobília planejada e afins.

A corporação foi condenada a pagar uma multa

indenizatória de R $10 mil reais, com um adicional de
R$ 300,00 reais por cada contato que venha
novamente a ser compartilhado no futuro.

Fonte: processo nº 1080233-94.2019.8.26.0100

27
Centro Hospitalar
Barreiro Montijo
O Centro Hospitalar Barreiro Montijo, localizado
em Portugal na cidade de Barreiro, foi multado
em €400 mil euros. A denúncia foi a seguinte:

funcionários que não atuavam na área hospitalar

usavam os dados de terceiros para acessarem o
sistema.

A suspeita surgiu porque o hospital tinha 985

usuários registrados como médicos, mas
apenas 296 médicos realmente trabalhavam no
local.

O interessante é que nenhum dano efetivo foi

verificado. A ilegalidade estava na manutenção
de acessos a quem não deveria mais ter.

Fonte: www.publico.pt
28
 Atenção!
Multas por falhas na proteção de dados somam

R$1,7 bi na Europa

29
Este material é um oferecimento da DPOnet - a melhor plataforma de gestão da
privacidade e proteção de dados do Brasil.

Quer saber como ajudamos mais de 600 empresas a entrarem em conformidade

com a LGPD?
Fale com a gente:

comercial@dponet.com.br
11 5199-3959
(15) 97604-0270