Desconstruindo a

LGPD em 10 passos
Lei Geral de Proteção de Dados
V2.3

Marcos Sêmola, Partner

fonte: https://legalcloud.com.br/lei-geral-de-protecao-de-dados-resumo-lgpd/
 sobre este material
Este documento autoral reúne a compilação de
definições, constatações e interpretações a
respeito do impacto da Lei Geral de Proteção de
Dados sobre forma como as empresas fazem
negócio. Seu conteúdo pode ser distribuído
exclusivamente para fins educacionais não
comerciais e respeitando a menção de autoria e
propriedade.
 1. o problema
agenda 2. o objetivo da lei
3. dissecando a LGPD
4. o que fazer
5. sobre a ANPD
6. automatização
7. erros comuns
8. o que não sabemos
9. visão de negócio
0. contexto 10. lições da GDPR
O CONTEXTO
dado é o
novo
petróleo
os negócios
e seus
riscos
mudaram
vazamento e uso indiscriminado
de dados é uma constante
O PROBLEMA
OBJETIVO DA LEI
 proteger a
privacidade do
cidadão

evitar abusos no
tratamento de
*tratamento é toda operação dados pessoais
realizada com dados
pessoais, da coleta à pelas empresas
exclusão
a quem se aplica empresas
a LGPD estabelecidas no
Brasil

ofereçam serviços a
brasileiros
a que não se dados corporativos
aplica a LGPD e de negócio

dados para fins

particulares e não
econômicos
a que não se dados para fins
aplica a LGPD jornalísticos
artísticos
acadêmicos
penais
investigativos
e de
segurança pública
obrigatoriedade a conformidade à
e vigência LGPD
não é opcional

vigora a partir de 14
de agosto
de 2020
efeitos do suspensão do banco
descumprimento de dados
legal
suspensão de
operação

multa de até 2% da
receita ou R$50mi por
evento
 enquanto a UE teve
desafio brasileiro 2 anos para se
comparado com adaptar já possuindo
o europeu diretrizes de proteção
desde 1995, o Brasil
tem o mesmo prazo,
mas sem a cultura da
proteção de dados
DISSECANDO A LGPD
cultura da
boa-fé
limitação ao mínimo
necessário para
realização da
finalidade
 dado dado dado
pessoal sensível anonimizado
terminologias

controlador
tratamento titular
operador
 tipificação de
dado pessoal
informação
relacionada à
pessoa natural
*cookie ou qualquer identificada
conjunto de dados de
comportamento online que ou
estabeleça perfil é também identificável
dado pessoal
tipificação de raça e etnia
dado pessoal convicção religiosa
opinião política
sensível
filiação sindical
dados de saúde
opção sexual
genético-biométrico
dados de crianças
 dado aquele cujo titular
não possa ser
anonimizado
identificado,
considerando a
utilização de meios
técnicos razoáveis e
*uma vez anonimizado o dado
não é mais considerado pessoal
disponíveis na
salvo quando o processo de ocasião de seu
anonimização puder ser tratamento.
revertido
 em uso
estado dos em movimento
dados em nuvem
em repouso
estruturados
não estruturados
tratamento de
dados pessoais

coleta, produção, recepção, classificação,

utilização, acesso, reprodução, transmissão,
distribuição, processamento, arquivamento,
armazenamento, eliminação, avaliação ou
controle da informação, modificação,
comunicação, transferência, difusão ou extração.
 1. finalidade
princípios de 2. adequação
tratamento 3. necessidade
4. livre acesso
5. qualidade
6. transparência
7. segurança
8. prevenção
9. não discriminação
10. prestação de contas
 pessoa natural que
titular
detém direitos
do dado estabelecidos pela
LGPD sobre seus
dados pessoais

*o titular tem direito ao

acesso facilitado às
informações sobre o
tratamento de seus dados
 pessoa física ou
controlador
jurídica, de direito
do dado público ou privado,
responsável pelas
decisões referentes
ao tratamento de
dados pessoais
 pessoa física ou
operador
jurídica que realiza
do dado o tratamento de
dados pessoais em
nome do
controlador
 legitimidade de coleta
deveres dos registro de tratamento
controladores nomeação de DPO
segurança
resposta a incidentes
avaliação de riscos
governança
 confirmar
direitos dos processamento
titulares acessar seus dados
corrigir seus dados
portar seus dados
revisar processamento
revogar consentimento
anonimizar, bloquear e
eliminar / ser esquecido
O QUE FAZER
 existem 10 bases
bases legais
legais previstas na
devem dar LGPD que podem
legitimidade ao ser associadas aos
tratamento fluxos de tratamento
de dados
 execução de estudos por
obrigação
políticas órgão de
regulatória
públicas pesquisa
consentimento

exercício
execução de proteção da
regular de
contrato vida
direito

tutela da proteção ao interesse

saúde crédito legítimo

uso do
consentimento
*serão consideradas nulas as
autorizações genéricas para o
tratamento de dados pessoais e
vedado o tratamento nos casos
de vício de consentimento
a concordância do
titular quanto ao
tratamento de seus
dados pessoais deverá
ocorrer de forma livre,
informada, inequívoca
e para uma finalidade
determinada, e em
havendo mudança de
finalidade será preciso
novo consentimento
 esta base legal é
uso do
uma novidade no
interesse legítimo arcabouço jurídico
brasileiro e ainda
sem
regulamentação
específica
término de dados pessoais
devem ser
tratamento
eliminados quando
cessar a
necessidade que
originou o
tratamento
transferência empresas que
internacional enviem dados a
outras jurisdições
que não ofereçam lei
similar precisam
introduzir outras
garantias

comunicação
obrigatória
*a Autoridade Nacional verificará
a gravidade do incidente e
poderá determinar medidas
como a ampla divulgação do fato
em meios de comunicação.
Na GDPR o prazo é de 72 horas.
o controlador deverá
comunicar, em prazo
razoável à autoridade
nacional e ao titular
sobre a ocorrência de
um incidente de
segurança que possa
acarretar risco ou
dano relevante
 o controlador e o
registro de operador devem
operações manter registro das
ROPA operações de
tratamento de dados
Record of Processing Activities

pessoais que
*desde a sua coleta até a sua realizarem
exclusão, indicando quais dados
serão coletados, sua base legal,
finalidades, tempo de retenção,
e as práticas de segurança
 documentação com as
relatório de atividades de
impacto tratamento de dados
DPIA que podem gerar
riscos aos titulares,
Data Protection Impact Assessment

bem como
informações sobre a
*ferramenta para ajudar a
identificar e minimizar os riscos
implementação de
na proteção de dados, que medidas de mitigação
poderá ser requerida pela ANPD
de danos
 os princípios gerais da
Privacy LGPD e as medidas de
by Design segurança deverão
ocorrer desde a fase de
concepção dos serviços e
produtos até sua
execução, garantindo
desde o início os direitos
de privacidade e proteção
de dados

limites de
responsabilidade
*a lei também estabelece a
possibilidade de inversão do
ônus da prova em favor do titular
dos dados
por danos patrimoniais,
morais, individuais ou
coletivos acrescentada
da responsabilidade
solidária entre os
sujeitos responsáveis,
controlador e operador,
a fim de garantir a
efetiva indenização dos
interessados

nomeação do
engarregado
DPO
*sua identidade e informações
de contato deverão ser
divulgadas publicamente, de
forma clara e objetiva
pessoa física ou
pessoa jurídica
nomeada pelo
controlador, que
atuará como um canal
de comunicação entre
o controlador, os
titulares dos dados e a
autoridade de
proteção de dados
 recomenda-se que a
posicionamento função DPO seja
do DPO exercida por área
independente, de
*a obrigatoriedade de um DPO forma a atuar sem
só se dá por empresa onde haja restrições na
alta volumetria de dados
pessoais e/ou sensíveis, e
orientação e
entidade pública, mas pode fiscalização do
representar um importante sinal
de compromisso perante a cumprimento à
ANPD legislação

tarefas
do DPO
*”O DPO há de ser livre no
desempenho de suas funções,
ainda que suas recomendações,
embora legais, sejam
desfavoráveis aos negócios da
empresa por ele assistida.
Outras funções na empresa não
podem causar conflito com sua
função como DPO.”
aceitar reclamações
prestar esclarecimentos
tomar providências
dialogar com a ANDP
orientar funcionários
orientar terceiros
cumprir normas ANDP
manter a governança
representar controlador
fiscalizar
 independente
postura e articulador
habilidades de um comunicador
bom DPO ético
consultor
*é esperado que um DPO tenha
apoio multidisciplinar de uma domínio de processos
equipe que suportará o DPO de governança de
Office, uma vez que existem
múltiplos domínios, legais e dados segurança e
técnicos, no escopo da função. conformidade
 é esperado que a
apetite empresa analise e
de risco interprete seu apetite
de risco para então
decidir que dados
continuarão tratando
para gerar valor para o
negócio

conduta
diligente
*estabelecer um DPO Office
para sistemicamente manter a
governança da privacidade é
uma boa prática
mapear ativos e fluxos
conhecer os riscos
definir políticas
estabelecer processos
registrar tratamentos
responder a incidentes
prestar contas
proteger os dados
praticar transparência
possuir um plano
aculturar privacidade
macro jornada preparação de privacidade

OBTER APOIO DA REALIZAR PROJETO PARA IMPLEMENTAR O OPERAR O MODELO DE

LIDERANÇA COM IDENTIFICAR E ANALISAR ROADMAP DE GOVERNANÇA DE
PRIORIDADE E RISCOS, E DEFINIR O CONFORMIDADE PRIVACIDADE E
ORÇAMENTO ROADMAP DE PROTEÇÃO DE DADOS
CONFORMIDADE

ESTABELECER UM ESTABELECER O DPO ESTABELECER

COMITÊ DO PROJETO OFFICE E APONTAR O PROCESSOS INTERNOS E
DE PREPARAÇÃO ENCARREGADO EXTERNOS DO MODELO
A LGPD DE GOVERNANÇA

COMITÊ DE PRIVACIDADE
estabelecer um grupo multidisciplinar
que conduzirá as discussões e
coordenará o projeto de preparação
para a conformidade com a LGPD
IDENTIFICAÇÃO DOS RISCOS
mapear os processos de negócio,
tipos de dados e volumetria para
então analisar os requerimentos e
as bases legais que aplicáveis para
legitimidade dos fluxos de
tratamento
DEFINIÇÃO DO ROADMAP
organizar e priorizar as múltiplas
atividades que compõem o plano do
programa de privacidade
IMPLEMENTAÇÃO DO ROADMAP
iniciar a execução das atividades
que compõem o programa de
privacidade já realizando ajustes de
ganho rápido como revisões
contratuais, politicas estruturantes e
os primeiros registros de ROPA
GESTÃO DE MUDANÇA
adotar processos de gestão de
educação, monitoramento,
notificação e amadurecimento
continuo de controles de privacidade
APOIO DA LIDERANÇA
estabelecer alicerces normativos
para a governança de dados
pessoais com a definição de
autonomia e responsabilidades do
DPO office e dos funcionários
DPO OFFICE
posicionar com independência e
nomeia o encarregado de dados
pessoais para relacionamento entre
a ANPD e os titulares, e forma
equipe
PRIVACY BY DESIGN
estabelecer um programa sistêmico
de conscientização interna e
processos para implementação do
privacy by design
PROCESSOS DE GOVERNANÇA
elaborar e implementar o primeiro
ciclo de processos de governança
de dados que cuide do life-cycle de
coleta até o descarte
CAIXA DE FERRAMENTAS
adotar as primeiras ferramentas
para suportar o registro dos eventos
e a operação dos processos de
governança de privacidade
IDEIA DE NOVO PRODUTO
consultar o DPO office para
recomendações de conformidade
NOVO FLUXO DE DADOS
avaliar tipos de dados coletados e as
finalidades, determinar a base legal,
o tempo de retenção, as práticas de
segurança, a política de
compartilhamento e documentar o
fluxo no ROPA e DPIA
INFRAESTRUTURA E TI
garantir a aderência dos ativos de
tecnologia que irão suportar o novo
fluxo de dados em cumprimento aos
seus requerimentos específicos
LANCAMENTO DO PRODUTO
garantir que em caso de
consentimento, este ocorra de
forma livre, informada, inequívoca e
para uma finalidade determinada
GESTÃO DE CONSENTIMENTO
registrar os pedidos de
consentimento e revogação,
respeitando o principio de
eliminação quando cessar a
necessidade que originou o
tratamento
OPERAÇÃO SISTÊMICA DO MODELO DE GOVERNANÇA DE PRIVACIDADE E PROTEÇÃO DE DADOS
operar um modelo dinâmico e adaptativo de gestão de privacidade em busca do amadurecimento continuo
TRANSFERÊNCIA INTERNACIONAL
adotar garantias adicionais caso haja
interesse em realizar a transferência
internacional de dados pessoais para
paises onde não exista lei similar
NOTIFICAÇÃO
notificar a autoridade e o titular do
dado em caso de incidente de
seguranca que possa promover risco
ou dano relevante em prazo razoável
DENÚNCIA E INVESTIGAÇÃO
mobilizar o DPO para prestação de
contas a Autoridade Nacional
especialmente através da
apresentação dos ROPAs, DPIAs e
possível walk through
DIREITOS DOS TITULARES
garantir que uma vez solicitados, os
direitos dos titulares sejam
analisados e atendidos em
plenitude com registro de evidência
de execução em ‘tempo razoável”
SEGURANÇA DE DADOS
oferecer práticas de segurança e
resposta a incidentes para mitigar
riscos de dados em uso,
movimento, nuvem e repouso e
capazes de identificar, proteger,
identificar, responder e recuperar
organograma DPO sistema de fluxos segurança
inventário de ativos controle de acesso resposta a incidentes
política do DPO office sistema consentimento análise forense
política de segurança sistema de direitos gestão de fluxos
política de privacidade pseudonimização gestão by design
política educacional anonimização gestão de tratamento
privacy by design criptografia gestão de titulares
modelo de governança DLP gestão consentimento
NDA arquitetura de dados gestão de risco
termos de uso classificação de dados gestão de denúncias
termo de cookies descarte seguro gestão de crises
contrato de trabalho RPA gestão do DPO office
contrato de terceiros ... atendimento a ANPD
contrato fornecedores ...
avisos legais
matriz de temporalidade
registro de tratamentos
análise de riscos
 on going
DPO office

ilustração: dia de privacidade evento crítico

prazo legal

RH quer lançar RH consulta o DPO aponta Legal estabelece RH registra RH verifica

campanha de DPO Office que dados impróprios, termos de uso, ROPA de conformidade da
recrutamento na avalia o risco do base legal e cookie e politica tratamento de agência terceira
web fluxo de dados tempo retencão de consentimento dados no sistema no fluxo de dados

1 2 3 4 5 6

Tentativa de Se RH demandar Pela volumetria e TI implementa TI define os

invasão é mudanças no natureza dos requerimentos ativos
detectada pelo projeto original dados um DPIA é técnicos de custodiantes e
time de security volte para casa 2 aplicável e criado segurança atualiza ROPA

11 10 9 8 7

Constatada, time DPO é informado Titular solicita Governança deve TI operacionaliza ANDP recebe
de resposta a e comunica a dados, deleção, identificar em BDs/sistemas denúncia e abre
incidentes mede ANPD bem como correção ou legitimidade do e emite recibo investigação e
extensão e dano os titulares revogação pedido e operar para o titular DOP suporta.

12 13 14 15 16 17
SOBRE A ANPD

LGPD e a GPDR
*esta condição torna o país
capacitado para o
transacionamento de dados
pessoais com países da UE
A criação de uma
autoridade nacional
independente para
fiscalizar o cumprimento
da LGPD faz com que o
Brasil esteja de acordo
com o Regulamento
Geral sobre a Proteção
de Dados da União
Europeia

o que é a
ANPD
*deverá funcionar da mesma
forma que outras agências
reguladoras, podendo
estabelecer diretrizes para a
proteção de dados pessoais no
Brasil.
Autoridade Nacional de
Proteção de Dados, é
uma autoridade pública
federal independente
estabelecida para
supervisionar e fiscalizar
a execução da Lei Geral
de Proteção de Dados
(13.709/2018)

composição da
ANPD
*o Conselho Diretor será
composto por cinco diretores
enquanto o Conselho Nacional
será composto por vinte e um
membros
composta por um
Conselho Diretor, um
Conselho Nacional de
Proteção de Dados
Pessoais e da
Privacidade,
Corregedoria, Ouvidoria,
um órgão de apoio
jurídico e unidades
especializadas para à
aplicação da LGPD
 o decreto que estrutura
enquanto a a ANPD ainda pode
ANPD não sofrer alterações. Até
estiver formada aqui, ele traz três eixos
temáticos:
normatização, educação
e articulação
institucional, e
fiscalização e
supervisão
 em virtude da natural
exemplos da limitação das agências
GDPR diante do alto volume de
empresas afetadas pela
lei de privacidade, é
esperada que sua
postura seja mais
investigativa mediante
denúncia, do que
pró-ativamente
fiscalizadora.
 correspondente bancário
GDPR

LGPD
AUTOMATIZAÇÃO
 o ganho de escala na
prós e contras governança da
da automatização privacidade de dados é
um alvo desejado, mas
antes os processos
*ferramentas de descoberta de precisam estar bem
dados, classificação da
informação, anonimização, definidos, funcionais e
pseudonimização, criptografia, suportados por um
gestão de incidentes, gestão de alicerce robusto de
consentimento, registro de
ROPA e DPIA, registro de segurança da
exercício de direito dos titulares informação.
ERROS COMUNS
 apesar de parecer o
não pense que o caminho mais fácil, o
consentimento é a consentimento só deve
única ou a melhor ser usado com critérios,
pois autorizações
base legal genéricas ou casos de
vício de consentimento
não serão tolerados
 dados processados por
não acredite que a inteligência artificial ou
lei irá acabar com robôs também estão
iniciativas de sujeitos à LGPD, mas
uma vez anonimizado,
inovação deixam de fazer parte do
escopo e podem ser
livremente tratados
 a Europa é mais madura
não ignore a na proteção e gestão de
experiência do privacidade e a lei
GDPR GDPR entrou em vigor 2
anos antes da LGPD,
por isso é fonte de
conhecimento valioso
 a LGPD tem cobertura
não escolha os multidisciplinar e requer
aspectos legais uma equipe
ou tecnológicos heterogênea para
permitir uma abordagem
integrada e capaz de
produzir uma mudança
organizacional profunda
 a mudança proposta
não conduza a pela LGPD requer o
iniciativa como estabelecimento de um
um projeto modelo sistêmico e
continuado de
governança de dados, e
ele não deve acabar
como um projeto
 o ímpeto de buscar uma
não é possível solução definitiva de
orçar a conformidade faz
implementação empresas solicitarem
orçamentos fechados
sem diagnóstico para implementação
sem os resultados do
diagnóstico, mas isso
não funciona
 em geral ferramentas
não busque promovem automação e
ferramentas no escalabilidade, mas
momento errado antes os processos
precisam estar
definidos,
documentados,
treinados e funcionais
 a lei é um instrumento
não assuma já vivo, e que por ainda
dominar a lei não ter entrado em
vigência, não nos deu
pistas sobre como a
ANDP e os magistrados
vão interpretar seus
requerimentos, e qual
será seu rigor de
investigação
 governança é algo que
não pense que a pode ganhar maturidade
data de vigência com o tempo, por isso,
é o fim considere a data de
vigência como um marco
em que deverá
demonstrar diligência e
não necessariamente
estar com todos os
controles em seu mais
alto nível de automação
 já existem decisões
não acredite na judiciais recentes no
falácia de que Brasil à respeito do trato
a lei pode à privacidade e proteção
de dados, sugerindo
‘não pegar’
existir uma consciência
coletiva na direção da
Lei Geral de Proteção
de Dados
O QUE NÃO SABEMOS
 sem a especificação das
posicionamento atribuições funcionais da
da ANPD Autoridade Nacional e a
ausência de casos com
a lei em vigor,
desconhecemos se
ANDP será reativa,
proativa, e com que rigor
irá fiscalizar, investigar e
autuar
 se seguirmos os passos
calibragem de da GDPR, a autoridade
rigor e exigência brasileira deverá calibrar
pelo tamanho do o rigor de exigência ao
tamanho e a natureza
negócio
dos dados tratados, por
exemplo cobrando ou
não o DPIA e um DPO
 ainda é incerto o
enquadramento enquadramento que a
de dados em autoridade e os
repouso coletados magistrados darão aos
dados pessoais
antes da lei
coletados antes da lei e
que encontram-se em
repouso
 é desconhecida a forma
relação entre com que parceiros da
parceiros da cadeia de valor irão se
cadeia de valor relacionar por força da
não conformidade com a
LGPD, contudo, é
esperada grande
cobrança como ocorreu
com a SoX
 como os efeitos da não
mercado paralelo conformidade podem
de privacidade ser materiais, ainda não
sabemos se a LGPD
fomentará um mercado
paralelo de ações
judiciais e crimes de
chantagem, sabotagem
e estelionato
 a função DPO surgiu
resiliência dos com entusiasmo pelo
DPOs requerimento de
competências
específicas e a alta
relevância, mas só o
tempo vai dizer se todos
estão prontos para a
pressão de uma ANPD
atuante e rigorosa
 o end-to-end da
se todos que conformidade é
declaram complexo e caro para
conformidade ser estabelecido e
mantido, por isso a
realmente terão dúvida se todos
processos realmente terão
rodando processos vivos e
capazes, por exemplo,
de cumprir um direito do
titular tempestivamente
 pode se tornar comum o
DPOs papel do DPO as a
as a service service assumindo o
custo, a volumetria, a
temporalidade e a
especificidade das
competências
necessárias para
construir e manter um
DPO Office próprio
VISÃO DE NEGÓCIO

como
interpretar a
LGPD
*impactos financeiros,
reputacionais, na confiança de
clientes e fornecedores,
negócios internacionais etc
uma vez em
inconformidade ela pode
representar uma barreira
regulatória, mas para os
que estiverem em
conformidade atua como
uma vantagem
competitiva com
potencial para criar um
nível respeitável de
confiança e reputação
LIÇÕES DA GDPR
https://ec.europa.eu/justice/smedataprotect/index_en.htm

menos é mais aos
olhos da
autoridade
*o que as autoridades esperam é
que a empresa seja capaz de
gerir os riscos e garantir os
direitos dos titulares
sistematicamente
melhor ter o processo
E2E definido e
operacional de
governança de dados e
privacidade cobrindo um
escopo pequeno, do que
mapear todos os fluxos,
documenta-los, ajustar
contratos e não
conseguir operar um
modelo funcional

mudança
cultural
*missão de proteger os direitos
das pessoas que fornecem seus
dados e onde confiança é a
palavra chave
o que as leis de
privacidade requerem
não é um projeto, mas
uma mudança cultural e
na forma de se fazer
negócio, onde a
governança de
privacidade de proteção
de dados pessoais deve
ser sistêmica, contínua e
adaptativa
hub LGPD ey.com.br/lgpd
Desconstruindo a
LGPD em 10 passos
Lei Geral de Proteção de Dados

Marcos Sêmola, Partner

sobre a visão do autor