1

03 Introdução

04 Principais obrigações que a LGPD impõe

07 Quais riscos a sua empresa está correndo agora?

09 Como estabelecer um correto programa de

privacidade e gestão de dados pessoais?

19 Camargo e Vieira - Sociedade de Advogados

Introdução
A Lei Geral de Proteção de Dados (LGPD) foi promulgada
em 2018, entrou em vigor no Brasil em 2020 e só passou
a ser efetivamente cobrada, aplicando penalidades,
um ano depois, em 2021. Esse período entre sua
promulgação e a prática de punições foi dado para que
as empresas pudessem se adequar às novas normas
— ainda mais considerando que surgiram outras
prioridades no caminho com a pandemia de Covid-19.

Entretanto, apesar desse período de adaptação, apenas

48% das organizações brasileiras se consideram prontas
para a LGPD, como mostra um levantamento feito pela
PwC, empresa internacional de consultoria, no país.
Apesar disso, ainda não é tarde para começar.

Inclusive, nessa mesma pesquisa, 31% das empresas

entrevistadas alegaram ainda estar se preparando.
Se o seu negócio está dentro desse último grupo, então
esse material vai te ajudar a entender o que precisa ser
feito.

Aproveite a leitura!
Principais obrigações que a
LGPD impõe
Antes de falar sobre as imposições da LGPD, é
importante ter em mente o porquê dessas exigências.

A Lei Geral de Proteção de Dados tem o objetivo de

garantir a privacidade dos indivíduos e dar transparência
em relação a como essas informações pessoais são
utilizadas. Uma legislação desse tipo se mostrou
necessária com o aumento da valorização e da circulação
de dados no mundo.

A fim de resguardar esse direito pessoal, a LGPD

determina algumas obrigatoriedades às organizações
que lidam com esses elementos.
 A coleta e o tratamento de dados devem ser limitados e proporcionais à necessidade de seu uso.
Ou seja, essas informações precisam ter uma finalidade e um propósito expresso e não podem ser
utilizados para nada além do que foi previamente estabelecido.

A coleta de dados deve estar fundamentada em pelo menos uma das dez bases legais que a lei
prevê para o tratamento. São elas:

1. Consentimento do titular;
2. Legítimo interesse;
3. Cumprimento de obrigação legal ou regulatória;
4. Tratamento pela administração pública;
5. Realização de estudos e de pesquisa;
6. Execução ou preparação contratual;
7. Exercício regular de direitos;
8. Proteção da vida e da incolumidade física;
9. Tutela de saúde do titular;
10. Proteção de crédito.

Principais obrigações que a LGPD impõe 5

Para tratamento dos dados considerados sensíveis, essas bases são ainda mais rigorosas, cabendo
apenas o consentimento e, nos casos em que for indispensável, nas hipóteses 3, 4, 5, 7, 8, 9 e 10 —
listadas acima.

A organização controladora precisa manter um registro de todas as operações realizadas com os

dados que coleta. Portanto, deve descrever o tipo de informação, a metodologia de tratamento,
os mecanismos de segurança adotados e até planos de ação em caso de incidentes de dados ou
vazamentos.

É preciso ter um canal de comunicação aberto com os titulares dos dados, a fim de que eles
possam tirar dúvidas, fazer reclamações e, quando for possível, se descadastrar. Essa é uma das
funções de responsabilidade do Data Protection Officer (DPO), por isso, também é necessária a
nomeação de alguém para o cargo.

Esses são só alguns dos requisitos básicos, um resumo da lei que se estende bastante e ainda está
em transformação. Mas o não cumprimento deles já pode acarretar graves problemas.

Principais obrigações que a LGPD impõe 6

Quais riscos a sua empresa
está correndo agora?
Atualmente, se a sua empresa não está em conformidade
com a LGPD, o seu negócio corre sérios riscos de
problemas judiciais, comerciais, reputacionais e
financeiros. As penalidades impostas pela lei vão desde
sanções administrativas até multas, mas também
existem as consequências “indiretas”.

Para início de conversa, as punições estabelecidas pela

legislação são as seguintes:
 - advertência: a empresa recebe um prazo
para se adequar, caso contrário, sofrerá
outras penalidades;
- multa simples: o órgão fiscalizador por
cobrar até 2% do faturamento da empresa
no ano anterior;
- multas diárias: são cobrados um
valor por dia de infração, limitados ao
percentual mencionado acima;
- notoriedade de infração: a organização
deve avisar, publicamente, sobre o
incidente ou o vazamento de dados;
- bloqueio dos dados pessoais: o negócio
fica impossibilitado de fazer o tratamento
dos dados que foram coletados;
- exclusão dos dados coletados: há a
obrigatoriedade de excluir os dados de
seu banco.
Quais riscos a sua empresa está correndo agora?
Mas, além disso, o negócio também fica com
uma péssima reputação, que se reflete na perda
de parceiros e clientes, e, consequentemente,
novas oportunidades de negócio. Por este
motivo, é sempre melhor não dar sorte ao azar.
Existe uma previsão na legislação garantindo a
aplicação de penas mais brandas às empresas
que tomem as medidas cabíveis para evitarem
os incidentes — como estabelecer programas
de governança em privacidade, registros das
atividades, nomeação de DPO, entre outras —
favorecendo justamente quem fez o “dever de
casa”.
8
Como estabelecer um correto
programa de privacidade e
gestão de dados pessoais?
Ao se deparar com as obrigações impostas pela LGPD,
diante da necessidade de criar novos processos,
contratar novos profissionais e adotar ferramentas
tecnológicas, a adequação à lei pode parecer muito
complexa.

Entretanto, há como facilitar esse processo seguindo

um passo a passo de implementação — ainda mais se
contar com uma ajuda especializada na norma. Veja
a seguir quais são as etapas principais para entrar em
conformidade com a legislação.
Conscientização sobre a lei
Antes de mais nada, é preciso que toda a sua equipe tenha ciência de como a LGPD funciona e como
se relaciona com o seu negócio, porque podem existir algumas particularidades dependendo do
nicho de atuação e do porte da empresa — por exemplo, algumas das bases legais citadas acima
só são aplicáveis em segmentos específicos, como a tutela de saúde, que só se aplica em situações
específicas.

Essa conscientização precisa ser feita em toda organização antes mesmo de dar início à adequação,
para garantir que todos entendam a sua importância e seriedade.

Como estabelecer um correto programa de privacidade e gestão de dados pessoais? 10

Criação de um comitê de
privacidade
Para dar início à adequação de fato, assim
como para qualquer outro processo dentro
de uma organização, é preciso delegar
responsabilidades. Ainda que toda empresa
deva estar conscientizada, alguns colaboradores
precisam estar à frente do processo, trabalhando
ativamente nele. Por isso, é sugerido que seja
criado um Comitê de Privacidade e Proteção de
Dados Pessoais.

Nesse grupo, para que a implementação seja

integral, é importante que haja um representante
da cada setor estratégico que lida com dados
— TI, Marketing, RH e jurídico, por exemplo.
Dessa forma, será possível ter um visão particular
de cada um e sua visão de negócios dentro da
empresa.

Como estabelecer um correto programa de privacidade e gestão de dados pessoais? 11

Nomeação de um DPO
Enquanto o comitê de privacidade é formado por
colaboradores internos de diferentes áreas da
organização, é preciso que haja um especialista
na lei em questão para guiar os esforços do
grupo. Esse é o trabalho do DPO (Data Protection
Officer), um profissional de notório saber na lei
que vai auxiliar todo esse processo, ajudando
na construção de políticas e dando opiniões
especializadas.

O DPO de uma organização pode ser interno ou

terceirizado — o que, na maior parte das vezes,
é uma opção mais viável. Contratando um DPO
as a Service, sua empresa não precisa lidar
com encargos trabalhistas na admissão de um
novo funcionário, nem custear a capacitação de
colaboradores que em algum momento podem ir
pra concorrência.

Como estabelecer um correto programa de privacidade e gestão de dados pessoais? 12

Mapeamento do fluxo de dados
Com o auxílio do DPO e do comitê de privacidade, é hora de dar os primeiros passos rumo à
conformidade. A primeira etapa é fazer o mapeamento do fluxo de dados dentro da organização,
tendo clareza de quais são essas informações sob seu controle e como é o tratamento atual que elas
recebem.

Aqui, todos os setores devem ser “cercados” por todos os lados: quais são os dados de clientes,
funcionários e parceiros que eles tratam? Após esta identificação, é importante entender qual é o
ciclo de vida deles dentro da organização, respondendo questões como:

Como os dados são coletados?

Por qual motivo essas informações são coletadas?
Onde elas são armazenadas?
Quem tem acesso a essas informações?
Esses dados são compartilhados? Se sim, como e por quê?
Por quanto tempo ficam armazenados?
Como são descartados?

Como estabelecer um correto programa de privacidade e gestão de dados pessoais? 13

 Identificação de riscos e
não-conformidades
Depois desse levantamento, conhecendo a lei, sua
empresa vai identificar o que não está de acordo
com as normas vigentes e que, portanto, deveria
mudar. Neste momento, é interessante que seja
feito um mapa de riscos.

Nesse sistema, sua equipe vai identificar quais são

as principais ameaças referentes a esse formato de
tratamento. Para isso, elas devem ser segmentadas
de duas formas: pelo nível de gravidade e pela
probabilidade de concretizar problemas.

Aqueles que forem mais graves e mais prováveis

devem ser a prioridade da sua organização.

Como estabelecer um correto programa de privacidade e gestão de dados pessoais? 14

 Elaboração de um plano de ação
Quando todos os riscos estiverem identificados e
as prioridades traçadas, é o momento de pensar
em como mitigar as ameaças, traçar planos para
que elas não se repitam futuramente e estratégias
de contenção de problema caso algo aconteça.

Nessa etapa, é fundamental que a equipe

apresente ideias para mudanças de políticas
internas e adoção de novas tecnologias que
podem ajudar nesse processo de proteção.

Como estabelecer um correto programa de privacidade e gestão de dados pessoais? 15

Documentação de privacidade
A documentação de privacidade vai oficializar esses planos de ação que foram pensados e colocá-los
de maneira clara para os titulares de dados, sejam eles colaboradores, parceiros ou clientes. Dessa
forma, cumpre-se a transparência exigida pela lei, além de garantir que todos os dados serão tratados
dentro de um processo correto.

Alguns dos documentos fundamentais são:

- Política de Privacidade: aborda ações estratégicas de proteção de dados abordadas pela

empresa como forma de guiar e orientar colaboradores.

- Aviso de Privacidade: descreve para os titulares de que forma a organização trata seus dados
com base na política de privacidade interna.

- Política de Segurança da Informação: abrange todas as medidas de segurança dos dados

adotadas pela empresa, como controles de acesso, trabalho remoto, dispositivos, senhas e
transferência de dados.

- Relatório de Impacto: específica os processos de tratamento de dados pessoais e sensíveis

que podem gerar algum risco para a liberdade e os direitos fundamentais do titular.

- Plano de Gestão de Incidentes: descreve qual deve ser o posicionamento da organização em

caso de incidentes, como vazamentos de dados.

Como estabelecer um correto programa de privacidade e gestão de dados pessoais? 16

Treinamento de equipes
Por fim, essa é a parte prática do projeto: a hora de colocar em ação tudo o que foi documentado,
organizado e pensado até então. Se a sua equipe tiver sido bem conscientizada no início de todo
processo, essa etapa com certeza será mais simples.

A ideia aqui é treinar os seus colaboradores para o dia a dia, mostrando como as mudanças de cultura
vão impactar a rotina deles, seja por conta de novos procedimentos ou novas ferramentas adotadas.

Muito embora este treinamento seja muito importante ao fim do projeto, ele deve ser realizado pelo
DPO constantemente, para que os colaboradores estejam sempre atualizados sobre as políticas.

Como estabelecer um correto programa de privacidade e gestão de dados pessoais? 17

Monitoramento contínuo
A adequação a LGPD é um processo contínuo.
A lei ainda é muito recente, então podem surgir
alterações ou até mesmo normas específicas
com origem nela. Além disso, o seu negócio é
vivo. Com o passar do tempo, podem surgir
novos serviços e produtos que demandem novos
processos, bem como novos funcionários, que
precisem de treinamentos.

O segredo para manter a conformidade é

estar sempre atualizado, atento e seguindo os
processos estabelecidos.

Como estabelecer um correto programa de privacidade e gestão de dados pessoais? 18

Camargo e Vieira -
Sociedade de Advogados
O Camargo e Vieira é um escritório de advocacia
especializado em direito empresarial, tributário e
privacidade e proteção de dados. Desde 2020, quando a
LGPD entrou em vigor, já ajudamos mais de 70 empresas
a entrarem em conformidade com a nova legislação.

O escritório oferece serviços de adequação parcial, com

consultoria pontual sobre algum tema relacionado à
proteção de dados na empresa, e de LGPD Total, que
consiste na realização de toda a adequação jurídica
e procedimental de uma empresa aos enunciados da
LGPD.
 Por fim, o escritório atua como DPO de diversas
organizações em todo o Brasil, através da solução
DPO as a service, vez que, ante sua experiência
em diversos segmentos, tanto no ramo B2B como
B2C, conseguimos entender do modelo de negócio
do cliente e ainda fornecer uma consultoria muito
mais otimizada e personalizada, com um valor até
50% abaixo do mercado.

Nossos profissionais têm as maiores e principais

especializações e capacitações do mundo e estão
prontos para atender o seu negócio.

COMECE A SUA ADEQUAÇÃO AGORA

COM O CAMARGO E VIEIRA!

Camargo e Vieira - Sociedade de Advogados 20

E-book desenvolvido por: