Escolar Documentos
Profissional Documentos
Cultura Documentos
Editorial
Autor: Rafhael Camargo
Camargo & Vieira Advogados Associados. Todos os direitos reservados. Este Ebook
ou qualquer parte dele não pode ser reproduzido ou usado de forma alguma sem
autorização expressa, por escrito, do autor ou editor, exceto para o uso de citações
breves na qual é citado o autor.
camargoevieira.adv.br
Ebook | Como implementar a LGPD na sua empresa? 3
Sumário
Introdução 4
O que é um Programa de Privacidade ou Projeto de Conformidade? 6
Metodologia de 6 fases 8
Fase 1: Levantamento Inicial e Conscientização 10
Fase 2: Data Mapping e Avaliações de Risco 14
Envio Direto de Planilha 17
Questionários 19
Entrevistas 21
Fase 3: Relatório de Risco 25
Fase 4: Plano de Ação 27
Fase 5: Execução 29
Fase 6: Treinamento e Monitoramento 31
Conclusão 34
camargoevieira.adv.br
4
Introdução
Com o objetivo de mitigar riscos que possam comprometer os direitos dos titulares
dos dados sob sua responsabilidade e evitar incidentes que possam trazer prejuízos
à empresa, a implementação de um Programa de Privacidade é a principal forma de
garantir a conformidade de uma organização com a nova Lei Geral de Proteção de
Dados.
Este livro busca melhor informar as empresas brasileiras, principalmente aquelas que
ainda não começaram sua adequação, como seria a implementação de um Programa
de Privacidade.
camargoevieira.adv.br
6
O que é um
Programa de Privacidade ou
Projeto de Conformidade?
Ter um Programa de Privacidade ajuda uma organização a demonstrar transparência e responsabilidade na proteção dos dados
pessoais, trazendo a confiança dos titulares de dados e parceiros de negócios e protegendo a reputação da organização em um
mundo onde a proteção de dados tem um papel cada vez mais sensível e relevante.
A construção de um Programa de Privacidade robusto pode se dar por meio de um projeto de conformidade como o que
descreveremos neste ebook. O projeto de conformidade diz respeito apenas à construção e implementação do Programa de
Privacidade, e não garante a conformidade definitiva e permanentemente uma vez estabelecido o Programa de Privacidade, ele
deve ser mantido e monitorado constantemente para garantir sua eficácia.
Este Ebook sugere uma metodologia para um projeto de conformidade que pode ser adotado por empresas de todos os tamanhos
a fim de implementar seu Programa de Privacidade, e oferece uma visão geral do que precisa ser feito e no que consiste cada
fase.
camargoevieira.adv.br
Ebook | Como implementar a LGPD na sua empresa? 8
PAGINA INTERATIVA
Metodologia de 6 fases
Uma das formas mais comuns de conduzir um projeto de conformidade é a metodologia de 6 fases, que são:
FASE 5 FASE 6
Execução Monitoramento
camargoevieira.adv.br
Ebook | Como implementar a LGPD na sua empresa? 9
Por meio desta metodologia, cada fase serve de base e suporte para a fase seguinte, conduzindo o projeto de conformidade de
forma fluida e coerente.
Embora a conclusão de cada fase seja pré requisito para a conclusão da fase posterior, em algumas situações (Como descreveremos
abaixo), tarefas de duas fases diferentes podem ser executadas paralelamente, a fim de garantir maior rapidez ao projeto.
Cabe aos responsáveis pela condução avaliar a possibilidade e a viabilidade de se iniciar tarefas de uma fase sem que a anterior
tenha sido plenamente concluída.
Nossa metodologia de 6 fases não é a única utilizada no mercado. Existem diversas outras metodologias igualmente válidas.
Adotamos e sugerimos a metodologia de 6 fases por acreditar que ela funciona de forma mais natural para a maioria das
empresas, por ter sido recomendada pelos tutores do Data Privacy Brasil , instituto de ensino e pesquisa em proteção de dados
de grande credibilidade no Brasil, por ter sido elaborada baseada em material de estudo oferecido pela International Association
of Privacy Professionals (IAPP) para as certificações CIPP/E e CIPM, bem como agregando orientações da Autoridade Nacional
de Proteção de Dados de Singapura.
O processo de implementação do Programa de Privacidade em uma organização pode ser conduzido por uma equipe interna,
por uma consultoria externa contratada para esta finalidade, ou pelos dois em cooperação.
camargoevieira.adv.br
10
Fase 1: Levantamento Inicial e
Conscientização
Antes de tudo, é importante que se defina a equipe responsável por conduzir o projeto de conformidade: se há uma consultoria
externa, quem serão os atores internos responsáveis por apoiá-la por exemplo agendando reuniões, cobrando outros colaboradores
e fornecendo informações relevantes; se for realizada inteiramente por um time interno, quem serão os responsáveis e qual
sua autoridade para tomar as decisões necessárias. Tudo isto pode ser definido através de uma ou mais reuniões de kick-off
envolvendo todos os potenciais membros da equipe, ou “Comitê de Implementação”. A composição ideal do Comitê deve
idealmente incluir pessoas aptas a tomar decisões e a delegar tarefas para outros colaboradores quando necessário, como por
exemplo lideranças de departamento ou processos e membros da diretoria.
Definido o comitê responsável pelo projeto de conformidade, é importante seguir adiante para o trabalho de conscientização.
A importância da conscientização não está apenas em ajudar os colaboradores a entenderem a importância e o impacto da
LGPD e da Proteção de Dados na organização, mas também em começar a capacitá-los para assistir o comitê durante todo
o projeto de conformidade. Um colaborador ou uma liderança que entende conceitos-chave da proteção de dados como
“atividade de tratamento”, “finalidade do tratamento”, e até mesmo a diferença entre “dados pessoais” e outros dados em geral
estará muito mais capacitado para auxiliar nos mapeamentos posteriores, ajudar a identificar riscos e as pessoas mais aptas
dentro da organização a apoiar o Comitê em seu trabalho.
camargoevieira.adv.br
Ebook | Como implementar a LGPD na sua empresa? 12
A conscientização não se trata de um treinamento aprofundado, voltado a capacitar o colaborador a executar suas atividades
já em conformidade com a legislação. Este treinamento será feito apenas no fim do projeto. Concluída a conscientização e a
consolidação do Comitê de Implementação, prossegue-se para o levantamento inicial.
O levantamento inicial tem como objetivo conhecer melhor o modelo de negócios da empresa e como ele se relaciona com suas
atividades de tratamento de dados pessoais. A equipe responsável pelo projeto de conformidade deve:
1. Identificar lideranças e partes interessadas na gestão das atividades de tratamento de dados pessoais na organização;
3. Levantar departamentos ou processos-chave no que diz respeito ao tratamento de dados pessoais, quais as principais
atividades de tratamento de dados em cada um desses departamentos ou processos;
5. Identificar Políticas, Manuais de Conduta, Instruções e outras normativas relacionadas às atividades de tratamento
de dados pessoais;
camargoevieira.adv.br
Ebook | Como implementar a LGPD na sua empresa?
13
Uma analogia útil seria a de que a fase de mapeamento é como montar um quebra-
cabeça, e a informação coletada na fase de levantamento serviria como a imagem pronta
do quebra-cabeça que vem na embalagem dele.
A documentação do levantamento deve se dar de tal forma que sua consulta no futuro
seja rápida e fácil, permitindo aos responsáveis pelo mapeamento uma navegação fácil
pelas informações que precisem buscar.
camargoevieira.adv.br
14
Fase 2: Data Mapping e
Avaliações de Risco
Estas informações serão bem mais detalhadas que as coletadas no levantamento inicial e tem finalidade dupla:
1. Oferecer inteligência de negócios que permitirá à organização uma melhor compreensão de seus próprios fluxos,
possíveis riscos envolvidos e oportunidades de otimizá-los;
2. Prestação de contas junto à Autoridade Nacional e a parceiros, podendo ser usado para construir o Registro de
Operações de Tratamento e cumprir com as obrigações do Artigo 37 da LGPD.
As informações levantadas no data mapping podem variar, mas devem estar aptas a cumprir as finalidades acima, especialmente
a de prestação de contas. Estas informações, quando agregadas, também permitirão ao comitê de implementação identificar
lacunas e riscos nos processos e atividades de tratamento de dados pessoais da organização.
camargoevieira.adv.br
Ebook | Como implementar a LGPD na sua empresa? 16
Informações sobre asatividades de tratamento de dados que costumam constar em um data mapping incluem:
A forma como estas informações serão coletadas e documentadas pode variar de acordo com o desejado pelo comitê de
implementação. Vamos exemplificar algumas formas de conduzir e documentar estas informações.
No que diz respeito ao formato de documentação, o mais comum é que as informações sejam armazenadas tanto em planilhas
quanto em fluxogramas. Algumas variações, mais voltadas ao cumprimento das obrigações do Artigo 37, vem no formato de
relatórios com cada atividade descrita por extenso.
camargoevieira.adv.br
Ebook | Como implementar a LGPD na sua empresa?
17
Quanto a coleta e mapeamento, os métodos são diversos. Vamos citar os três principais:
Envio de questionários, envio de planilhas, e entrevistas.
O objetivo dos três é ter em mãos uma planilha detalhada contendo um registro de todas
as atividades de tratamento de dados da empresa, processo por processo ou atividade
por atividade. Essa planilha depois pode ser adaptada para cumprir as obrigações do
Artigo 37.
Isso acontece porque a maioria das pessoas não vai ter uma noção tão precisa do que
se espera que conste na planilha. Dúvidas surgirão e não poderão ser respondidas
imediatamente, certas informações importantes poderão passar batido, e respostas
camargoevieira.adv.br
Ebook | Como implementar a LGPD na sua empresa? 18
genéricas poderão ser dadas.
Como consequência, será necessário devolver a planilha a quem a respondeu com revisões e comentários, resultando num
“ping-pong” de e-mails e um retrabalho que pode acabar atrasando o projeto.
A primeira é conduzindo um treinamento mais aprofundado de data mapping com as lideranças do setor. Não se trata de qualquer
seminário expositivo de conscientização, é preciso fazer um workshop participativo e detalhado através do qual se possa garantir
que os envolvidos saiam dele sabendo quais informações inserir e como.
A segunda, é usando as informações recolhidas previamente, levantamentos iniciais mais gerais, onde terão sido levantados os
processos e atividades de um ponto de vista mais macro.
Estas informações incompletas servirão para orientar a liderança a preencher apenas alguns pontos não abordados anteriormente.
Em geral, quanto maior for a empresa e mais lideranças envolvidas, mais será preciso apelar a esse método de uma forma ou
de outra.
camargoevieira.adv.br
Ebook | Como implementar a LGPD na sua empresa?
19
Prós
• Fácil e simples;
Contras
• Mais propício a erros e lacunas que podem exigir muito retrabalho;
• Pode acabar demorando mais que os outros métodos, apesar de parecer mais simples.
Questionários
O envio de questionários é uma forma mais palatável e didática em relação ao envio de
planilha. Ao invés de entregar uma planilha densa e complexa, enviam-se questionários
de tom mais pessoal e didático, dos quais se extrai a informação necessária para que o
responsável pelo mapeamento possa preencher a planilha por conta própria.
camargoevieira.adv.br
Ebook | Como implementar a LGPD na sua empresa? 20
Os questionários têm a vantagem de instruírem melhor o questionado e evitarem os erros e lacunas do envio de planilha, mas a
desvantagem de serem trabalhosos para o responsável pelo mapeamento: pode ser que múltiplos questionários precisem ser
preenchidos. Posteriormente, transportar toda a informação dos questionários para a planilha pode ser desgastante. Sem um
software como o OneTrust, que automatiza o envio, revisão e extração de informação dos questionários, o método é muito pouco
recomendável, pois o responsável pelo mapeamento terá que gerir todos os arquivos e respostas – em uma grande empresa isso
certamente gerará problemas.
É importante considerar também que o questionário é o método mais “coringa”: poderá ser utilizado em empresas de qualquer
tamanho. Ademais, os questionários também estão sujeitos a erros da mesma forma que o envio de planilhas.
Prós
• Pode ser automatizado por meio de um Software de Gestão de Privacidade;
Contras
• Propício a erro do responsável que tiver que gerir a revisão e extração de um grande número de questionários;
camargoevieira.adv.br
Ebook | Como implementar a LGPD na sua empresa?
21
Entrevistas
O data mapping por entrevista é a metodologia de data mapping ideal. Ela consiste em
entrevistas de 15 minutos a 1 hora com a liderança responsável por um determinado setor
ou processo, através da qual o responsável pelo mapeamento se dedica inteiramente a
extrair as informações necessárias para o preenchimento da planilha.
Tudo isso exige um tempo de dedicação exclusivo por parte do consultor que pode
tornar o processo de mapeamento de uma grande empresa bastante trabalhoso.
Ainda assim, é importante notar que este tempo maior necessário pode resultar em um
menor tempo total corrido para se concluir a fase de mapeamento.
camargoevieira.adv.br
Ebook | Como implementar a LGPD na sua empresa? 22
Por meio do método de entrevistas, a planilha costuma sair pronta e sem necessidade de revisões futuras.
As entrevistas podem ser combinadas com outros métodos. Por exemplo, pode ser prático gastar alguns minutos preenchendo
parcialmente a planilha para que o entrevistado aprenda e tenha uma noção clara do que é esperado, e depois solicitar-lhe que
termine por conta própria.
Esta combinação vai funcionar melhor de acordo com a disponibilidade de tempo e a familiaridade do entrevistado com o tema.
Lembre-se, deixar que um entrevistado sobrecarregado termine a planilha sozinho é pedir para que ela demore para retornar.
Melhor, nesse caso, usar aquela janela de tempo que ele conseguiu para você para concluir o máximo de trabalho possível.
Prós
• Pouca ou quase nenhuma chance de retrabalho;
• Planilha costuma ser concluída com maior qualidade e precisão;
• Pode se tornar uma forma de capacitar o colaborador para outros preenchimentos;
Contras
• Requer muito tempo de concentração dedicada;
• Muito trabalhoso se não for automatizado.
camargoevieira.adv.br
Ebook | Como implementar a LGPD na sua empresa?
23
Todos os métodos acima citados podem ser combinados de acordo com a necessidade
da equipe responsável. O importante é que, ao final do mapeamento, o comitê possua
em mãos um conjunto de planilhas e possivelmente também de fluxogramas e mapas
que lhe permita identificar todas as atividades de tratamento de dados da empresa e
seus possíveis riscos.
Este material será vital para a construção do Relatório de Risco na fase seguinte.
Usamos o termo “ativo de dados” para se referir a todos aqueles repositórios que
concentram dados para quaisquer finalidades, todos os “nódulos” no fluxo de dados da
empresa.
Podem ser sistemas e programas que processam dados em maior escala, espaços de
armazenamento (Digitais ou físicos) como discos rígidos, armazenamento em nuvem ou
até mesmo grandes gabinetes e pastas contendo arquivos físicos.
camargoevieira.adv.br
Ebook | Como implementar a LGPD na sua empresa? 24
Uma planilha listando esses ativos deve conter informações relevantes e em sincronia com as planilhas de mapeamento: quais
dados pessoais estão contidos em um ativo, de quais titulares, quem tem acesso aos dados nesse ativo, quais as atividades de
tratamento a ele relacionadas.
O mapeamento de ativos pode ajudar a dar mais sentido às planilhas de data mapping, que estão focadas mais em processos.
Da mesma forma, o inventário de fornecedores e operadores mapeia as pontas externas dos fluxos de dados da organização:
todos aqueles terceiros que recebem ou tem acesso a dados pessoais da organização a fim de lhe oferecer um serviço.
Uma planilha centralizando quais fornecedores recebem quais dados para quais finalidades pode ajudar enormemente numa
fase posterior de levantamento de contratos. Com o mapeamento das atividades de tratamento, dos ativos e dos fornecedores,
o comitê de implementação terá em mãos praticamente todas as informações necessárias para prosseguir para a fase seguinte,
que é a elaboração do Relatório de Risco.
camargoevieira.adv.br
25
a) Qual o risco;
c) Quais são as medidas mitigatórias sugeridas, e informações gerais sobre elas tais
quais custo/benefício, trabalho envolvido, e outras;
camargoevieira.adv.br
27
2) Prioridade;
3) Responsabilidade;
4) Prazo de início;
5) Prazo de conclusão;
camargoevieira.adv.br
29
Fase 5: Execução
Uma vez consolidado e validado o Plano de Ação, o comitê
de implementação pode finalmente por as mãos na massa
no que diz respeito à execução das medidas mitigatórias
discriminadas no Relatório de Riscos e definidas pelo Plano
de Ação.
• Elaboração de Políticas diversas: Política de Privacidade Interna, Política de Privacidade Externa, Política
de Contingenciamento de Incidentes, Política de Atendimento aos Direitos do Titular, e outras;
A responsabilidade pela execução destas medidas, como já definido no plano de ação, pode ser dos membros do comitê de
implementação, de colaboradores da organização, mas também de terceiros contratados para tal, principalmente quando as
medidas envolverem a contratação, por exemplo, de softwares e hardware voltados à gestão e garantia da privacidade dos
titulares.
camargoevieira.adv.br
31
Fase 6: Treinamento e
Monitoramento
camargoevieira.adv.br
Ebook | Como implementar a LGPD na sua empresa? 33
Embora o ideal sempre fossem treinamentos abrangentes com todos os colaboradores da organização, em algumas situações
isto pode ser inviável devido ao número de colaboradores e ao seu tempo disponível para participar dos treinamentos. É aceitável
portanto que se restrinja o escopo do treinamento e os colaboradores que devem participar.
É possível, por exemplo, que treinamentos profundos e abrangentes sejam dados apenas às lideranças dos departamentos e
processos, que ficam então responsáveis pela transmissão do treinamento à suas equipes; ou que um treinamento mais generalista
seja dado, mas a todos os colaboradores da organização.
É indispensável, entretanto, que o treinamento seja dado com uma frequência regular: semestralmente ou anualmente, de forma
a abarcar novos colaboradores e absorver mudanças e atualizações no Programa de Privacidade.
Algumas dessas mudanças e atualizações serão feitas pouco tempo após a conclusão da fase de execução. É raro que as medidas
adotadas em um projeto de conformidade se encaixem perfeitamente ou sejam eficazes logo de início.
Por este motivo, é importante que o comitê de implementação passe algum tempo monitorando o sucesso dessas medidas,
coletando métricas para avaliar o sucesso de sua implementação e, quando necessário, que faça alterações necessárias para
buscar uma melhor adequação das medidas mitigatórias aos processos da empresa.
O ideal almejado é o de criar uma cultura de privacidade tão arraigada na organização que a observância do Programa de
Privacidade se torne tão natural como é a observância a outras questões regulatórias diversas, como as trabalhistas, ambientais,
de segurança ou de atendimento ao consumidor.
camargoevieira.adv.br
Ebook | Como implementar a LGPD na sua empresa?
34
Conclusão
Entretanto, também podem trazer uma série de diferenciais importantes para uma A
organização: maior conhecimento e inteligência sobre suas atividades de tratamento
de dados, melhor reputação no mercado e no setor, tranquilidade frente às autoridades
regulatórias, e principalmente ganhos de confiança por parte de titulares dos dados e
parceiros de negócio.
Todos esses fatores podem destacar uma empresa em relação as outras, e alavancá-
la a um nível de compromisso e seriedade em relação à proteção de dados que é fator
comum em todas as empresas e organizações de credibilidade internacional.
camargoevieira.adv.br
35
PAGINA INTERATIVA
Converse com um
especialista:
(31) 3656 4007
contato@camargoevieira.adv.br
camargoevieira.adv.br