1

Ebook | Como implementar a LGPD na sua empresa? 2

Editorial
Autor: Rafhael Camargo

Projeto gráfico e diagramação: Eder Castro

Camargo & Vieira Advogados Associados. Todos os direitos reservados. Este Ebook
ou qualquer parte dele não pode ser reproduzido ou usado de forma alguma sem
autorização expressa, por escrito, do autor ou editor, exceto para o uso de citações
breves na qual é citado o autor.

camargoevieira.adv.br
 Ebook | Como implementar a LGPD na sua empresa? 3

Sumário
Introdução 4
O que é um Programa de Privacidade ou Projeto de Conformidade? 6
Metodologia de 6 fases 8
Fase 1: Levantamento Inicial e Conscientização 10
Fase 2: Data Mapping e Avaliações de Risco 14
Envio Direto de Planilha 17
Questionários 19
Entrevistas 21
Fase 3: Relatório de Risco 25
Fase 4: Plano de Ação 27
Fase 5: Execução 29
Fase 6: Treinamento e Monitoramento 31
Conclusão 34

camargoevieira.adv.br
 4

Introdução

Com a aprovação da Lei Geral de Proteção de Dados (LGPD) em

Agosto de 2018, milhares de empresas brasileiras que tratam
dados pessoais de alguma forma em seu modelo de negócios
passaram a ter que se preocupar com a implementação de um
Programa de Privacidade que as tornasse adequadas à nova
Lei.

As obrigações trazidas pela LGPD exigem que as empresas

passem a ter uma série de preocupações relacionadas à
transparência, segurança, garantia de direitos dos titulares
e organização interna de tudo que envolva o tratamento de
dados pessoais em suas atividades.
 Ebook | Como implementar a LGPD na sua empresa?
5

Com o objetivo de mitigar riscos que possam comprometer os direitos dos titulares
dos dados sob sua responsabilidade e evitar incidentes que possam trazer prejuízos
à empresa, a implementação de um Programa de Privacidade é a principal forma de
garantir a conformidade de uma organização com a nova Lei Geral de Proteção de
Dados.

Este livro busca melhor informar as empresas brasileiras, principalmente aquelas que
ainda não começaram sua adequação, como seria a implementação de um Programa
de Privacidade.

camargoevieira.adv.br
 6

O que é um
Programa de Privacidade ou
Projeto de Conformidade?

Um Programa de Privacidade é uma estrutura de

governança que ajuda as organizações a estabelecerem
uma infraestrutura robusta de proteção de dados. Ele cobre
políticas e processos envolvendo o tratamento dos dados
pessoais e define papéis e responsabilidades relacionados
à proteção de dados pessoais para cada agente dentro da
organização.
 Ebook | Como implementar a LGPD na sua empresa? 7

Ter um Programa de Privacidade ajuda uma organização a demonstrar transparência e responsabilidade na proteção dos dados
pessoais, trazendo a confiança dos titulares de dados e parceiros de negócios e protegendo a reputação da organização em um
mundo onde a proteção de dados tem um papel cada vez mais sensível e relevante.

A construção de um Programa de Privacidade robusto pode se dar por meio de um projeto de conformidade como o que
descreveremos neste ebook. O projeto de conformidade diz respeito apenas à construção e implementação do Programa de
Privacidade, e não garante a conformidade definitiva e permanentemente uma vez estabelecido o Programa de Privacidade, ele
deve ser mantido e monitorado constantemente para garantir sua eficácia.

Este Ebook sugere uma metodologia para um projeto de conformidade que pode ser adotado por empresas de todos os tamanhos
a fim de implementar seu Programa de Privacidade, e oferece uma visão geral do que precisa ser feito e no que consiste cada
fase.

camargoevieira.adv.br
 Ebook | Como implementar a LGPD na sua empresa? 8

PAGINA INTERATIVA

Metodologia de 6 fases
Uma das formas mais comuns de conduzir um projeto de conformidade é a metodologia de 6 fases, que são:

FASE 1 FASE 2 FASE 3 FASE 4

Levantamento Data Relatório Plano

Inicial Mapping de Risco de Ação

FASE 5 FASE 6

Execução Monitoramento

camargoevieira.adv.br
 Ebook | Como implementar a LGPD na sua empresa? 9

Por meio desta metodologia, cada fase serve de base e suporte para a fase seguinte, conduzindo o projeto de conformidade de
forma fluida e coerente.

Embora a conclusão de cada fase seja pré requisito para a conclusão da fase posterior, em algumas situações (Como descreveremos
abaixo), tarefas de duas fases diferentes podem ser executadas paralelamente, a fim de garantir maior rapidez ao projeto.

Cabe aos responsáveis pela condução avaliar a possibilidade e a viabilidade de se iniciar tarefas de uma fase sem que a anterior
tenha sido plenamente concluída.

Nossa metodologia de 6 fases não é a única utilizada no mercado. Existem diversas outras metodologias igualmente válidas.
Adotamos e sugerimos a metodologia de 6 fases por acreditar que ela funciona de forma mais natural para a maioria das
empresas, por ter sido recomendada pelos tutores do Data Privacy Brasil , instituto de ensino e pesquisa em proteção de dados
de grande credibilidade no Brasil, por ter sido elaborada baseada em material de estudo oferecido pela International Association
of Privacy Professionals (IAPP) para as certificações CIPP/E e CIPM, bem como agregando orientações da Autoridade Nacional
de Proteção de Dados de Singapura.

O processo de implementação do Programa de Privacidade em uma organização pode ser conduzido por uma equipe interna,
por uma consultoria externa contratada para esta finalidade, ou pelos dois em cooperação.

camargoevieira.adv.br
 10
Fase 1: Levantamento Inicial e
Conscientização

Na fase de levantamento inicial e conscientização , a

equipe responsável pelo projeto de conformidade faz uma
avaliação geral da situação do tratamento de dados da
organização, além de, como o nome sugere, buscar começar
um trabalho de conscientização dos colaboradores da
empresa a respeito das principais questões de privacidade,
segurança e proteção de dados trazidas pela LGPD.
 Ebook | Como implementar a LGPD na sua empresa? 11

Antes de tudo, é importante que se defina a equipe responsável por conduzir o projeto de conformidade: se há uma consultoria
externa, quem serão os atores internos responsáveis por apoiá-la por exemplo agendando reuniões, cobrando outros colaboradores
e fornecendo informações relevantes; se for realizada inteiramente por um time interno, quem serão os responsáveis e qual
sua autoridade para tomar as decisões necessárias. Tudo isto pode ser definido através de uma ou mais reuniões de kick-off
envolvendo todos os potenciais membros da equipe, ou “Comitê de Implementação”. A composição ideal do Comitê deve
idealmente incluir pessoas aptas a tomar decisões e a delegar tarefas para outros colaboradores quando necessário, como por
exemplo lideranças de departamento ou processos e membros da diretoria.

Definido o comitê responsável pelo projeto de conformidade, é importante seguir adiante para o trabalho de conscientização.

A importância da conscientização não está apenas em ajudar os colaboradores a entenderem a importância e o impacto da
LGPD e da Proteção de Dados na organização, mas também em começar a capacitá-los para assistir o comitê durante todo
o projeto de conformidade. Um colaborador ou uma liderança que entende conceitos-chave da proteção de dados como
“atividade de tratamento”, “finalidade do tratamento”, e até mesmo a diferença entre “dados pessoais” e outros dados em geral
estará muito mais capacitado para auxiliar nos mapeamentos posteriores, ajudar a identificar riscos e as pessoas mais aptas
dentro da organização a apoiar o Comitê em seu trabalho.

camargoevieira.adv.br
 Ebook | Como implementar a LGPD na sua empresa? 12

A conscientização não se trata de um treinamento aprofundado, voltado a capacitar o colaborador a executar suas atividades
já em conformidade com a legislação. Este treinamento será feito apenas no fim do projeto. Concluída a conscientização e a
consolidação do Comitê de Implementação, prossegue-se para o levantamento inicial.

O levantamento inicial tem como objetivo conhecer melhor o modelo de negócios da empresa e como ele se relaciona com suas
atividades de tratamento de dados pessoais. A equipe responsável pelo projeto de conformidade deve:

1. Identificar lideranças e partes interessadas na gestão das atividades de tratamento de dados pessoais na organização;

2. Buscar conhecer como a organização funciona e como está organizada internamente;

3. Levantar departamentos ou processos-chave no que diz respeito ao tratamento de dados pessoais, quais as principais
atividades de tratamento de dados em cada um desses departamentos ou processos;

4. Identificar as principais relações com terceiros envolvendo o tratamento de dados pessoais;

5. Identificar Políticas, Manuais de Conduta, Instruções e outras normativas relacionadas às atividades de tratamento
de dados pessoais;

camargoevieira.adv.br
 Ebook | Como implementar a LGPD na sua empresa?
13

O objetivo deste levantamento nunca é de conhecer de forma aprofundada todo o

ambiente de tratamento de dados pessoais na organização, mas em vez disso, obter
uma noção geral dele: quais pontos vão exigir mais atenção num posterior momento de
mapeamento aprofundado (Fase 2), quais pontos vão exigir maior cuidado e tempo de
conscientização, e quais lideranças vão ser mais cobradas durante todo o projeto de
conformidade, por exemplo.

A importância deste levantamento é justamente a de dar à equipe responsável pela

implementação uma noção geral, uma espécie de “visão panorâmica” do ambiente de
tratamento de dados na organização.

Uma analogia útil seria a de que a fase de mapeamento é como montar um quebra-
cabeça, e a informação coletada na fase de levantamento serviria como a imagem pronta
do quebra-cabeça que vem na embalagem dele.

A documentação do levantamento deve se dar de tal forma que sua consulta no futuro
seja rápida e fácil, permitindo aos responsáveis pelo mapeamento uma navegação fácil
pelas informações que precisem buscar.

camargoevieira.adv.br
 14
Fase 2: Data Mapping e
Avaliações de Risco

Concluída a conscientização e o levantamento inicial, temos

prontas as bases que orientarão o restante do Projeto de
Conformidade. A fase seguinte, do mapeamento da dados
ou Data Mapping, entretanto, é provavelmente a fase mais
importante e trabalhosa de todo o processo.

Durante o data mapping, buscam-se levantar e documentar

informações detalhadas sobre as atividades de tratamento
de dados na empresa.
 Ebook | Como implementar a LGPD na sua empresa? 15

Estas informações serão bem mais detalhadas que as coletadas no levantamento inicial e tem finalidade dupla:

1. Oferecer inteligência de negócios que permitirá à organização uma melhor compreensão de seus próprios fluxos,
possíveis riscos envolvidos e oportunidades de otimizá-los;

2. Prestação de contas junto à Autoridade Nacional e a parceiros, podendo ser usado para construir o Registro de
Operações de Tratamento e cumprir com as obrigações do Artigo 37 da LGPD.

As informações levantadas no data mapping podem variar, mas devem estar aptas a cumprir as finalidades acima, especialmente
a de prestação de contas. Estas informações, quando agregadas, também permitirão ao comitê de implementação identificar
lacunas e riscos nos processos e atividades de tratamento de dados pessoais da organização.

camargoevieira.adv.br
 Ebook | Como implementar a LGPD na sua empresa? 16

Informações sobre asatividades de tratamento de dados que costumam constar em um data mapping incluem:

“Nome do Processo/Atividade de Tratamento (Processo Seletivo, Marketing Direcionado, etc...),

dados pessoais tratados (Nome, CPF, RG, etc...), titular dos dados tratados (Cliente, colaborador,
terceiro, etc...), quantidade de titulares que tem seus dados tratados, país onde os titulares estão
localizados, finalidade da atividade de tratamento, origem dos dados, local de armazenamento,
descrição do fluxo interno dos dados, transferências a terceiros, sistemas utilizados, período de
retenção dos dados, entre outros”.

A forma como estas informações serão coletadas e documentadas pode variar de acordo com o desejado pelo comitê de
implementação. Vamos exemplificar algumas formas de conduzir e documentar estas informações.

No que diz respeito ao formato de documentação, o mais comum é que as informações sejam armazenadas tanto em planilhas
quanto em fluxogramas. Algumas variações, mais voltadas ao cumprimento das obrigações do Artigo 37, vem no formato de
relatórios com cada atividade descrita por extenso.

camargoevieira.adv.br
 Ebook | Como implementar a LGPD na sua empresa?
17

Quanto a coleta e mapeamento, os métodos são diversos. Vamos citar os três principais:
Envio de questionários, envio de planilhas, e entrevistas.

O objetivo dos três é ter em mãos uma planilha detalhada contendo um registro de todas
as atividades de tratamento de dados da empresa, processo por processo ou atividade
por atividade. Essa planilha depois pode ser adaptada para cumprir as obrigações do
Artigo 37.

Vamos às vantagens e desvantagens de cada uma.

Envio Direto de Planilha

Enviar diretamente a planilha à liderança do setor ou ao responsável pelo processo
para que a preencha é a forma mais fácil das três. É também a mais falha, pela alta
probabilidade de erros e lacunas com a qual a planilha preenchida pode retornar à mão
dos responsáveis pelo mapeamento.

Isso acontece porque a maioria das pessoas não vai ter uma noção tão precisa do que
se espera que conste na planilha. Dúvidas surgirão e não poderão ser respondidas
imediatamente, certas informações importantes poderão passar batido, e respostas
camargoevieira.adv.br
 Ebook | Como implementar a LGPD na sua empresa? 18
genéricas poderão ser dadas.

Como consequência, será necessário devolver a planilha a quem a respondeu com revisões e comentários, resultando num
“ping-pong” de e-mails e um retrabalho que pode acabar atrasando o projeto.

Existem algumas formas de se minimizar os erros e o retrabalho envolvido.

A primeira é conduzindo um treinamento mais aprofundado de data mapping com as lideranças do setor. Não se trata de qualquer
seminário expositivo de conscientização, é preciso fazer um workshop participativo e detalhado através do qual se possa garantir
que os envolvidos saiam dele sabendo quais informações inserir e como.

Depois, deverão bastar poucas revisões para se obter um resultado satisfatório.

Não há qualquer prejuízo se este workshop for feito por videoconferência.

A segunda, é usando as informações recolhidas previamente, levantamentos iniciais mais gerais, onde terão sido levantados os
processos e atividades de um ponto de vista mais macro.

Estas informações incompletas servirão para orientar a liderança a preencher apenas alguns pontos não abordados anteriormente.

Em geral, quanto maior for a empresa e mais lideranças envolvidas, mais será preciso apelar a esse método de uma forma ou
de outra.

camargoevieira.adv.br
 Ebook | Como implementar a LGPD na sua empresa?
19

Prós
• Fácil e simples;

• Mais facilmente escalável.

Contras
• Mais propício a erros e lacunas que podem exigir muito retrabalho;

• Pode acabar demorando mais que os outros métodos, apesar de parecer mais simples.

Questionários
O envio de questionários é uma forma mais palatável e didática em relação ao envio de
planilha. Ao invés de entregar uma planilha densa e complexa, enviam-se questionários
de tom mais pessoal e didático, dos quais se extrai a informação necessária para que o
responsável pelo mapeamento possa preencher a planilha por conta própria.

camargoevieira.adv.br
 Ebook | Como implementar a LGPD na sua empresa? 20
Os questionários têm a vantagem de instruírem melhor o questionado e evitarem os erros e lacunas do envio de planilha, mas a
desvantagem de serem trabalhosos para o responsável pelo mapeamento: pode ser que múltiplos questionários precisem ser
preenchidos. Posteriormente, transportar toda a informação dos questionários para a planilha pode ser desgastante. Sem um
software como o OneTrust, que automatiza o envio, revisão e extração de informação dos questionários, o método é muito pouco
recomendável, pois o responsável pelo mapeamento terá que gerir todos os arquivos e respostas – em uma grande empresa isso
certamente gerará problemas.

É importante considerar também que o questionário é o método mais “coringa”: poderá ser utilizado em empresas de qualquer
tamanho. Ademais, os questionários também estão sujeitos a erros da mesma forma que o envio de planilhas.

Prós
• Pode ser automatizado por meio de um Software de Gestão de Privacidade;

• Mais didático e menos propício a erro do respondente.

Contras
• Propício a erro do responsável que tiver que gerir a revisão e extração de um grande número de questionários;

• Muito trabalhoso se não for automatizado.

camargoevieira.adv.br
 Ebook | Como implementar a LGPD na sua empresa?
21

Entrevistas

O data mapping por entrevista é a metodologia de data mapping ideal. Ela consiste em
entrevistas de 15 minutos a 1 hora com a liderança responsável por um determinado setor
ou processo, através da qual o responsável pelo mapeamento se dedica inteiramente a
extrair as informações necessárias para o preenchimento da planilha.

Durante a entrevista, o responsável pode conduzir o entrevistado pela planilha, sanar

dúvidas instantaneamente e até mesmo capacitá-lo para preencher outras planilhas ou
a planilha em questão sozinho.

Tudo isso exige um tempo de dedicação exclusivo por parte do consultor que pode
tornar o processo de mapeamento de uma grande empresa bastante trabalhoso.

As entrevistas funcionam muito bem em pequenas e médias empresas, ou grandes

empresas que possam pagar por um atendimento mais personalizado.

Ainda assim, é importante notar que este tempo maior necessário pode resultar em um
menor tempo total corrido para se concluir a fase de mapeamento.

camargoevieira.adv.br
 Ebook | Como implementar a LGPD na sua empresa? 22

Por meio do método de entrevistas, a planilha costuma sair pronta e sem necessidade de revisões futuras.

As entrevistas podem ser combinadas com outros métodos. Por exemplo, pode ser prático gastar alguns minutos preenchendo
parcialmente a planilha para que o entrevistado aprenda e tenha uma noção clara do que é esperado, e depois solicitar-lhe que
termine por conta própria.

Esta combinação vai funcionar melhor de acordo com a disponibilidade de tempo e a familiaridade do entrevistado com o tema.
Lembre-se, deixar que um entrevistado sobrecarregado termine a planilha sozinho é pedir para que ela demore para retornar.

Melhor, nesse caso, usar aquela janela de tempo que ele conseguiu para você para concluir o máximo de trabalho possível.

Prós
• Pouca ou quase nenhuma chance de retrabalho;
• Planilha costuma ser concluída com maior qualidade e precisão;
• Pode se tornar uma forma de capacitar o colaborador para outros preenchimentos;

Contras
• Requer muito tempo de concentração dedicada;
• Muito trabalhoso se não for automatizado.

camargoevieira.adv.br
 Ebook | Como implementar a LGPD na sua empresa?
23

Todos os métodos acima citados podem ser combinados de acordo com a necessidade
da equipe responsável. O importante é que, ao final do mapeamento, o comitê possua
em mãos um conjunto de planilhas e possivelmente também de fluxogramas e mapas
que lhe permita identificar todas as atividades de tratamento de dados da empresa e
seus possíveis riscos.

Este material será vital para a construção do Relatório de Risco na fase seguinte.

Ainda na fase de mapeamento, é interessante realizar um levantamento de ativos de

dados e de fornecedores e operadores para quem há envio de dados pessoais sob
responsabilidade da organização.

Usamos o termo “ativo de dados” para se referir a todos aqueles repositórios que
concentram dados para quaisquer finalidades, todos os “nódulos” no fluxo de dados da
empresa.

Podem ser sistemas e programas que processam dados em maior escala, espaços de
armazenamento (Digitais ou físicos) como discos rígidos, armazenamento em nuvem ou
até mesmo grandes gabinetes e pastas contendo arquivos físicos.

camargoevieira.adv.br
 Ebook | Como implementar a LGPD na sua empresa? 24

Uma planilha listando esses ativos deve conter informações relevantes e em sincronia com as planilhas de mapeamento: quais
dados pessoais estão contidos em um ativo, de quais titulares, quem tem acesso aos dados nesse ativo, quais as atividades de
tratamento a ele relacionadas.

O mapeamento de ativos pode ajudar a dar mais sentido às planilhas de data mapping, que estão focadas mais em processos.

Da mesma forma, o inventário de fornecedores e operadores mapeia as pontas externas dos fluxos de dados da organização:
todos aqueles terceiros que recebem ou tem acesso a dados pessoais da organização a fim de lhe oferecer um serviço.

Uma planilha centralizando quais fornecedores recebem quais dados para quais finalidades pode ajudar enormemente numa
fase posterior de levantamento de contratos. Com o mapeamento das atividades de tratamento, dos ativos e dos fornecedores,
o comitê de implementação terá em mãos praticamente todas as informações necessárias para prosseguir para a fase seguinte,
que é a elaboração do Relatório de Risco.

camargoevieira.adv.br
 25

Fase 3: Relatório de Risco

Uma vez compiladas todas as informações na fase anterior,

o comitê de implementação deve se debruçar sobre elas a
fim de analisá-las a fundo para identificar todos os riscos
inerente às atividades de tratamento de dados pessoais e
estrutura de governança da privacidade pela organização.

O comitê poderá, com isso, começar a elaboração do

Relatório de Risco, documento voltado a informar a diretoria
e as lideranças da organização sobre os principais riscos e
lacunas identificados durante o processo de mapeamento.

O Relatório de Riscos conterá informação detalhada sobre

cada risco, incluído:
 Ebook | Como implementar a LGPD na sua empresa?
26

a) Qual o risco;

b) Seu grau de criticidade para a organização;

c) Quais são as medidas mitigatórias sugeridas, e informações gerais sobre elas tais
quais custo/benefício, trabalho envolvido, e outras;

O Relatório de Risco ajudará todos os agentes interessados no projeto de conformidade

a terem uma melhor noção do trabalho que deverá ser feito nas fases seguintes. Todo
o trabalho feito na fase de execução, inclusive, será baseado nos riscos identificados
neste documento, salvo exceções supervenientes.

camargoevieira.adv.br
 27

Fase 4: Plano de Ação

Com todas as informações providas pelo Relatório de
Risco, o comitê de implementação deve se reunir com
outros agentes interessados para elaborar o Plano de
Ação. O Plano de Ação consiste na sistematização, em um
cronograma de todas as medidas mitigatórias sugeridas
pelo Relatório de Riscos que forem escolhidas pelos
tomadores de decisão. Para cada risco, é possível que haja
diversas medidas mitigatórias sugeridas, dentre as quais
os tomadores de decisão da organização deverão escolher
quais serão aplicadas.

Muitas vezes, um tomador de decisão pode inclusive optar

por assumir o risco sem mitigá-lo, se o considerar de baixa
gravidade e alto custo de mitigação, por exemplo.
 Ebook | Como implementar a LGPD na sua empresa?
28

É sempre importante lembrar que o objetivo de um projeto de conformidade nunca é de

adequar completamente uma organização: não existe adequação total nem mitigação
total de riscos.

A compilação de todas as medidas mitigatórias adotadas deverá ser sistematizada em

um cronograma elencando:

1) Descrição da Tarefa ou Medida Mitigatória;

2) Prioridade;

3) Responsabilidade;

4) Prazo de início;

5) Prazo de conclusão;

6) Outras informações relevantes.

O Plano de Ação permitirá dividir as responsabilidades, estabelecer prazos e prioridades,
e orientar a fase seguinte, de execução.

camargoevieira.adv.br
 29

Fase 5: Execução
Uma vez consolidado e validado o Plano de Ação, o comitê
de implementação pode finalmente por as mãos na massa
no que diz respeito à execução das medidas mitigatórias
discriminadas no Relatório de Riscos e definidas pelo Plano
de Ação.

Dado que cada organização terá um Relatório de Riscos

diferente, e, portanto, um Plano de Ação único, é impossível
precisar exatamente o que precisará será feito nesta fase
para todas as organizações. É possível prever, entretanto,
algumas medidas que são comumente executadas,
baseadas nos riscos mais frequentemente presentes
nas organizações que até então não tinham grandes
preocupações com questões de proteção de dados.

Estas ações envolvem:

 Ebook | Como implementar a LGPD na sua empresa? 30
• Elaboração e inclusão de cláusulas contratuais de proteção de dados em contratos com operadores e
fornecedores;

• Elaboração de Políticas diversas: Política de Privacidade Interna, Política de Privacidade Externa, Política
de Contingenciamento de Incidentes, Política de Atendimento aos Direitos do Titular, e outras;

• Condução de Testes de Legítimo interesse;

• Elaboração de Relatórios de Impacto à Proteção de Dados (Comumente conhecidos em inglês como

Data Protection Impact Assessment –DPIAs)

• Assessoria na revisão de processos de forma a torná-los adequados à LGPD;

• Estabelecimento de prazos de retenção de dados e rotinas de descarte apropriado;

• Assessoria em Privacy by Design e Privacy by Default para atividades de tratamento incipientes, de

forma a torná-las adequadas à LGPD;

A responsabilidade pela execução destas medidas, como já definido no plano de ação, pode ser dos membros do comitê de
implementação, de colaboradores da organização, mas também de terceiros contratados para tal, principalmente quando as
medidas envolverem a contratação, por exemplo, de softwares e hardware voltados à gestão e garantia da privacidade dos
titulares.
camargoevieira.adv.br
 31
Fase 6: Treinamento e
Monitoramento

Após a conclusão de todas as tarefas previstas no Plano de

Ação, o projeto de conformidade ainda não está completo.
Não basta que novas políticas sejam escritas, que contratos
sejam revisados e novos processos sejam criados se:

i) Os colaboradores da organização não absorveram nem

incorporaram ao seu dia-a-dia as mudanças trazidas pelo
projeto através de uma capacitação e um treinamento
apropriados; e

ii) As mudanças se revelem incompatíveis com o

funcionamento da organização.
 Ebook | Como implementar a LGPD na sua empresa?
32

A fase 6, portanto, se dedica inteiramente a endereçar estes dois pontos:

1) a capacitação do corpo de colaboradores para seguir o Programa

de Privacidade;

2) Sua adequação à realidade da empresa através do monitoramento

de seu sucesso e da realização de ajustes pontuais em medidas que
não tenham sido bem sucedidas.

As duas podem andar lado a lado e inclusive se complementar: durante o treinamento,

será possível obter feedback dos colaboradores a fim de identificar medidas que
possivelmente não se adequarão à realidade da organização.

O treinamento pode ser realizado com escopo e profundidade variáveis, dependendo

de uma decisão de custo x benefício por parte do comitê de implementação e pela
diretoria da empresa.

camargoevieira.adv.br
 Ebook | Como implementar a LGPD na sua empresa? 33
Embora o ideal sempre fossem treinamentos abrangentes com todos os colaboradores da organização, em algumas situações
isto pode ser inviável devido ao número de colaboradores e ao seu tempo disponível para participar dos treinamentos. É aceitável
portanto que se restrinja o escopo do treinamento e os colaboradores que devem participar.

É possível, por exemplo, que treinamentos profundos e abrangentes sejam dados apenas às lideranças dos departamentos e
processos, que ficam então responsáveis pela transmissão do treinamento à suas equipes; ou que um treinamento mais generalista
seja dado, mas a todos os colaboradores da organização.

É indispensável, entretanto, que o treinamento seja dado com uma frequência regular: semestralmente ou anualmente, de forma
a abarcar novos colaboradores e absorver mudanças e atualizações no Programa de Privacidade.

Algumas dessas mudanças e atualizações serão feitas pouco tempo após a conclusão da fase de execução. É raro que as medidas
adotadas em um projeto de conformidade se encaixem perfeitamente ou sejam eficazes logo de início.

Por este motivo, é importante que o comitê de implementação passe algum tempo monitorando o sucesso dessas medidas,
coletando métricas para avaliar o sucesso de sua implementação e, quando necessário, que faça alterações necessárias para
buscar uma melhor adequação das medidas mitigatórias aos processos da empresa.

O ideal almejado é o de criar uma cultura de privacidade tão arraigada na organização que a observância do Programa de
Privacidade se torne tão natural como é a observância a outras questões regulatórias diversas, como as trabalhistas, ambientais,
de segurança ou de atendimento ao consumidor.
camargoevieira.adv.br
 Ebook | Como implementar a LGPD na sua empresa?
34

Conclusão

implementação de um Programa de Privacidade e a condução de um Projeto de

Conformidade são tarefas complexas que podem levar meses ou até mesmo anos,
além de exigir mudanças profundas nos processos de uma organização e ter impactos
amplos na forma como ela se posiciona em relação aos seus parceiros de negócios.

Entretanto, também podem trazer uma série de diferenciais importantes para uma A
organização: maior conhecimento e inteligência sobre suas atividades de tratamento
de dados, melhor reputação no mercado e no setor, tranquilidade frente às autoridades
regulatórias, e principalmente ganhos de confiança por parte de titulares dos dados e
parceiros de negócio.

Todos esses fatores podem destacar uma empresa em relação as outras, e alavancá-
la a um nível de compromisso e seriedade em relação à proteção de dados que é fator
comum em todas as empresas e organizações de credibilidade internacional.

camargoevieira.adv.br
 35
PAGINA INTERATIVA

Converse com um
especialista:
(31) 3656 4007

(31) 99605 5453 (WhatsApp)

contato@camargoevieira.adv.br

camargoevieira.adv.br