1

E-BOOK
DA IMPLEMENTAÇÃO EFETIVA À VERIFICAÇÃO DE
MATURIDADE DO PROGRAMA DE PRIVACIDADE E
PROTEÇÃO DE DADOS PESSOAIS

Com o avanço da Lei Geral de Proteção de Dados (LGPD)1, foi possível perceber que o mercado
está cada vez mais sendo norteado pelas diretrizes de privacidade e proteção de dados
pessoais.

Inclusive, estamos diante de titulares de dados, dia após dia, mais conscientes sobre os seus
direitos e, consequentemente, mais atentos às organizações que não demonstram de forma
transparente como estão sendo realizadas as atividades que envolvem dados pessoais.

Adicionalmente, é possível perceber o movimento das grandes organizações, no sentido

de ditar as mesmas regras que possivelmente foram submetidas por manterem relações
comerciais com outras organizações que estejam inseridas no contexto regulatório da União
Europeia, já que o tema está muito mais avançado em países que precisam cumprir a General
Data Protection Regulation (GDPR)2.

Desse modo, por um lado, o cenário econômico no Brasil tem refletido a preocupação de
organizações que buscam manter relacionamentos com quem efetivamente já possui um
Programa de Privacidade e Proteção de Dados Pessoais, mas, por outro, ainda rumina em
organizações que não entenderam a necessidade, urgente, de adequar os seus negócios às
diretrizes de privacidade e proteção de dados pessoais, ou, ainda mais preocupante, tem
aquelas que foram demandadas em algum momento e, na pressa de desenvolver algo para
demonstrar ao parceiro que já possui um Programa, acabaram fazendo uma adequação
apenas documental, sem quaisquer mudanças efetivas na prevenção dos riscos de privacidade
e segurança da informação.

Assim, se fossemos retratar em uma linha do tempo, teríamos a seguinte disposição:

A privacidade e a proteção de dados estão regendo os negócios, independentemente do

segmento ou porte das organizações, já que, inevitavelmente, sempre existe tratamento
de dados, seja dos clientes, dos representantes legais das pessoas jurídicas, dos próprios
colaboradores e entre outros.

1 Lei nº 13.709/2018.
2 Regulamento Geral de Proteção de Dados da União Europeia que está em vigor desde 25 de maio de 2018.
2
Ainda, cumpre destacar que o aumento dos incidentes de segurança tem despertado o olhar
de alguns empresários, no sentido de perceber que muitos estão relacionados com a ausência
de cultura de privacidade e proteção de dados, além de um Programa com uma maturidade
que seja compatível com os atuais riscos da organização.
É impreterível destacar que as fiscalizações estão aumentando e algumas empresas já estão
sofrendo sanções, em razão do uso indevido de dados pessoais. Desse modo, não apenas
a Autoridade Nacional de Proteção de Dados (ANPD)3, como também outros órgãos podem
aplicar medidas que impactem nos negócios, como fez, por exemplo, o Ministério da Justiça
que suspendeu as atividades de 180 empresas de telemarketing por publicidade abusiva e
uso indevido de dados pessoais de consumidores4.
As empresas não poderão fazer contato com clientes, para oferta de produtos e serviços,
sem o prévio consentimento do consumidor, que só poderá ser abordado por telefone se
expressamente tiver manifestado interesse neste sentido, sujeitas a multa diária de R$ 1
mil, podendo chegar a R$ 13 milhões, caso sejam condenadas nos processos instaurados pela
Secretaria Nacional do Consumidor (Senacon) e Procons dos estados.
A constatação, portanto, é de que para proteger os negócios e torná-los promissores, diante
dessa atual necessidade, não existe outro caminho, além da adequação efetiva à LGPD. Ou seja,
busca-se a conformidade ideal que está além de criar apenas políticas de privacidade no site
da organização ou incluir cláusulas contratuais nos instrumentos que regem relacionamentos
entre parceiros que executam atividades com compartilhamento de dados, por exemplo.
Então, como fazer uma adequação segura à LGPD? Como saber se o seu Programa possui
maturidade para prevenir os riscos? Este e-book vai te ajudar!

6 PASSOS PARA TER UM PROGRAMA DE PRIVACIDADE E PROTEÇÃO

DE DADOS EFETIVO
PASSO 01: A sua organização está inserida em qual contexto regulatório?
Antes de tudo, é preciso mapear quais legislações de privacidade e proteção de dados
pessoais podem influenciar o seu negócio. Sendo assim, é importante entender que o seu
negócio pode ter relação com outro país que possui sua própria legislação e, portanto, além
de estar adequado à LGPD é preciso identificar outros requisitos e controles que devem ser
implementados para garantir a conformidade a todos eles.
Diante dessas informações, é possível determinar, por exemplo, como deve ser realizado
o mapeamento e registro das atividades que envolvem dados pessoais, além de outros
controles de privacidade para fins de cumprimento das diretrizes legais, já que é possível
que haja distinção na forma de execução ou de demonstração de evidências.

É interessante utilizar uma planilha comparativa entre as legislações, com o objetivo de

identificar se existe uma forma específica de demonstrar a conformidade aos seus requisitos.
Assim, é possível fazer a adequação simultaneamente, apenas ajustando à forma como
cada órgão regulador exige.

3 Órgão regulador responsável por zelar pela proteção dos dados pessoais, implementar e fi scalizar o cumprimento da LGPD no
Brasil.
4 Disponível em: h� ps://sta� c.poder360.com.br/2022/07/DESPACHO-No-252022-DESPACHO-No-252022-DOU-Imprensa-Nacio-
nal.pdf
3
 DICA: caso a sua organização pretenda obter uma certificação, como por exemplo a
ISO 27001 ou 277015, é recomendado já fazer a implementação das fases do Programa
observando os seus requisitos, o que garante otimização de tempo e evita que
posteriormente seja necessário implementar novos processos para fins de conformidade.

PASSO 02: Faça uma avaliação e gestão de riscos

Sabemos que um dos requisitos principais de conformidade é a realização do mapeamento
de todas as atividades de tratamento de dados pessoais. Entretanto, além de mapear
processos e dados, é essencial que seja feita uma avaliação dos riscos de privacidade e
segurança da informação. Afinal, a materialização deles pode trazer prejuízos financeiros,
por multas e sanções, além de danos à imagem reputacional da organização, o que acarreta
perdas de oportunidades e atração de novos investimentos e negócios.
Assim, é recomendado que a organização inclua a gestão dos riscos em seus processos, de
modo que sejam continuamente monitorados. Inclusive, um dos maiores erros cometidos
é não ter uma metodologia de avaliação e gestão contínua, já que os riscos podem mudar
de nível ou, ainda, pode ocorrer a detecção de novos.

Ao realizar a avaliação de riscos, utilize uma metodologia que mensure a probabilidade

de materialização do risco e o impacto que poderá ser gerado para a organização. É
importante avaliar os riscos de todas as atividades de tratamento de dados pessoais,
além de organizá-los por setor, facilitando a execução de planos de ações.

DICA: a avaliação por setor, classificada por nível de risco, permitirá que a
organização identifique qual a área apresenta maior risco e, consequentemente,
permitirá o planejamento de planos de ações para mitigá-los, de acordo com
criticidade da área.
Os planos de ações devem ser endereçados a quem terá a responsabilidade de
executá-lo. Ademais, é preciso que o Encarregado de Proteção de Dados Pessoais6
acompanhe e monitore se a execução ocorreu corretamente.

5 ISO/IEC 27001:2013 é uma norma internacional de sistema de gestão de segurança da informação e a ISO/IEC 27701:2019 é
uma extensão da norma anterior para sistema de gestão da privacidade da informação.
6 De acordo com o Guia Orienta� vo para Defi nição dos Agentes de Tratamento de Dados Pessoais e do Encarregado elaborado
pela Autoridade Nacional de Proteção de Dados (ANPD), o Controlador deverá indicar um Encarregado para ser responsável pela
gestão do Programa de Privacidade e Proteção de Dados Pessoais, manter comunicação direta com a ANPD e com os � tulares,
orientar funcionários sobre as boas prá� cas de privacidade da organização e entre outras a� vidades.
4
PASSO 03: Crie uma equipe engajada
No tópico anterior, ficou claro que todos os riscos terão planos de ações, alguns podem ser
mais complexos, de modo a criar uma modelagem de processo, outros podem ser apenas
de monitoramento, com o intuito de mantê-los sempre no radar para que, caso necessário,
tarefas mais complexas sejam colocadas em práticas.
Todavia, apesar de todos os esforços para mapear os dados, avaliar os riscos elaborar planos
de ações, é preciso dizer que sem o engajamento das pessoas da sua equipe, dificilmente
o Programa de Privacidade será efetivo. Afinal, são as pessoas que estão, diariamente,
exercendo funções que envolvem tratamento de dados pessoais e, além disso, algumas
dessas podem ser responsáveis por executar um plano de ação para prevenção e mitigação
de riscos.
Portanto, é indispensável ter uma equipe que entenda as reais necessidades de
implementação de controles, mudanças em rotinas que envolvem dados, que antes
poderiam ser feitas de uma determinada forma e, agora, deverão ser executadas de outro
modo para garantir a conformidade com as diretrizes legais de privacidade e proteção de
dados.
Agora, imagine tantas mudanças e uma equipe pouco engajada em realmente colocá-
las em prática. O resultado, inevitavelmente, será uma quebra no ciclo de adequação e
conformidade, além de novos riscos, já que colaboradores que não entendem de privacidade
e proteção de dados, podem ser potenciais alvos de ataques hackers que buscam as
vulnerabilidades e falhas humanas para invadir sistemas e, assim, cometer atos ilícitos.

DICA: além de investir em treinamentos periódicos, capacite aqueles que

demonstram maior afinidade e engajamento, permitindo que eles assumam o
papel de PRIVACY CHAMPIONS, ou seja, embaixadores de privacidade.
Por meio de um Programa de Privacy Champions, é possível que alguns
colaboradores, preferencialmente os mais comunicativos e que estejam em áreas
que apresentam maiores riscos, disseminem os preceitos de privacidade, proteção
de dados e segurança da informação. A ideia é que eles sejam replicadores das
boas práticas que devem ser seguidas para garantir que os planos de ações sejam
executados corretamente, além de serem incentivadores e influenciadores dos
demais colegas de trabalho, sempre buscando conscientizá-los sobre o assunto.

5
PASSO 04: Esteja pronto para passar por Due Diligence e Auditorias
Com o aumento da conscientização sobre a necessidade de manter um Programa de
Privacidade e Proteção de Dados efetivo, muitas organizações já iniciaram as diligências
em seus parceiros e, muitas vezes, solicitam auditorias.
Adicionalmente, caso a sua organização deseje passar pelo processo de certificação em
alguma ISO, por exemplo, é recomendado que você tenha as evidências de como os
controles de conformidade e segurança estão implementados. Paralelo a essa demanda,
os titulares podem efetuar denúncias diretamente na ANPD ou até mesmo ajuizar ações
para requerer os seus direitos.
Sendo assim, é imprescindível estar pronto para qualquer uma das situações acima listadas.

Comece criando um planejamento de resposta a auditorias ou processos de due

diligence; de acordo com os seus potenciais parceiros, defina os critérios relevantes
do seu programa que poderão ser auditados; crie uma pasta no servidor ou em
algum lugar que facilite a busca das evidências; defina um SLA.
As perguntas mais frequentes estão relacionadas aos controles de mapeamento
e registro das atividades que envolvem dados pessoais, medidas de segurança
para prevenir incidentes, treinamento e comunicação, avaliação de riscos e
monitoramento do Programa.

DICA: normalmente, as organizações têm solicitado evidências para due diligence

com um prazo muito curto, de 48 horas. Logo, se a sua organização não possuir as
principais evidências reunidas, ou um caminho definido para coletá-las, poderá
perder o prazo.
Seguindo as dicas acima, o seu Encarregado ou qualquer outro colaborador que
seja definido como responsável, conseguirá agir com rapidez.

6
 PASSO 05: Tenha uma gestão de crise para responder aos eventuais
incidentes
Apesar das dicas anteriores serem muito relevantes para a efetividade do seu Programa,
sem dúvidas, este tópico é um dos mais importantes. Afinal, é nesse passo que a sua
organização evidenciará se realmente está pronta para evitar incidentes.
Um dos contextos que mais tem gerado incidentes é a falha humana, que permite
vulnerabilidades e portas abertas para os ataques maliciosos. Isso acontece, por exemplo,
quando um funcionário clica em um link, que normalmente pode chegar por e-mail, SMS ou
outros aplicativos de mensagens.
Essa prática é conhecida como phishing e segundo um relatório da Kroll7, empresa de
fornecimento de dados, tecnologia e insights relacionados a risco, governança e crescimento,
no primeiro trimestre de 2022, foi observado um aumento de 54% nos ataques deste tipo
comparados com o quarto trimestre de 2021. Isso evidencia que, conforme os sistemas
fiquem mais protegidos, os cibercriminosos têm buscado outros tipos de vulnerabilidades
para praticarem os seus ataques.

O primeiro passo é incluir a temática nos planos de comunicação e treinamento que

são destinados e ministrados para todos os integrantes da sua organização, inclusi-
ve para a Alta Administração.
Após um período, inclua em seu planejamento, uma simulação de ataque por
phishing. É natural que muitas pessoas caiam no golpe simulado, o que mostrará a
necessidade de continuar investindo em campanhas de conscientização. Por isso,
não adianta apenas fazer um treinamento. O assunto deve fazer parte da pauta
continuamente e, inclusive, ser avaliado como um risco interno.

DICA: constitua uma equipe que estará à frente da gestão de crise oriunda de
um eventual incidente. Esse time deve ser formalmente nomeado e previamente
treinado para situações de iminentes riscos, garantindo que as medidas de
controles sejam implementadas com agilidade e segurança.
É importante que a simulação do evento avance até a sua resolução, permitindo
que a equipe esteja treinada para responder rapidamente e evitar maiores danos
aos titulares de dados e prejuízos à organização.
Recomendados que a equipe seja composta pelo Encarregado de Proteção de
Dados Pessoais, Profissional de Segurança da Informação ou alguém da equipe
de TI com competência técnica para adotar controles de proteção aos ativos da
organização, responsáveis pelo setor Jurídico, Compliance e Comunicação ou
Marketing.
A ideia é ter uma equipe multidisciplinar, a qual poderá trabalhar em conjunto,
cada um na sua expertise, para reestabelecer o controle da operação, providenciar
respostas técnicas e jurídicas, além de responder comentários nas mídias digitais.

A SUA EQUIPE TEM QUE ESTAR PREPARADA PARA UM INCIDENTE!

7 Disponível em: h� ps://www.kroll.com/en/insights/publica� ons/cyber/q1-2022-threat-landscape-threat-actors-target-email-

-access-extor� on.
7
 PASSO 06: Monitore o seu Programa e tenha indicadores
Após uma simulação de incidente, é natural que nem tudo que estava planejado em
documentos estratégicos tenha sido cumprido efetivamente. Por isso, fazer um exercício
de identificação dos pontos que não ocorreram como deveriam, de modo a identificar
oportunidades de melhorias, é de suma importância.
Assim, é possível que a sua organização perceba que a Equipe de Gestão de Crise não
conseguiu cumprir todas as etapas do Plano de Respostas a Incidentes ou, ainda, que o nível
de colaboradores que clicou no golpe simulado foi muito alto, por exemplo. Todas essas
informações podem ser utilizadas como indicadores que permitirão avaliar a maturidade
da sua equipe e do seu Programa, além do nível de cultura de privacidade e proteção de
dados na sua organização.

Faça uma análise crítica do seu Programa, incluindo a percepção de conformidade e

adequação aos requisitos regulatórios, além de uma análise crítica dos controles de
segurança da informação. Em seguida, crie planos de ações corretivos, garantindo
que a organização mantenha controles rígidos de avaliação e detecção de oportuni-
dades de melhorias.

DICA: compartilhe o resultado das análises críticas com a Alta Administração, a

fim de demonstrar os gaps que podem ter sido detectados, já que poderá ensejar
novos investimentos ou, ainda, aumentar o budget da área de Privacidade e Pro-
teção de Dados para o ano seguinte.

O SEU PROGRAMA DE PRIVACIDADE E PROTEÇÃO DE DADOS

PESSOAIS TEM QUE SER FUNDAMENTADO EM PESSOAS,
PROCESSOS E TECNOLOGIAS

As dicas para fazer uma implementação efetiva estão todas relacionadas com o investimento
em três importantes etapas, sendo elas: pessoas, processos e tecnologias. Se uma delas não
receber a devida atenção, provavelmente a organização enfrentará problemas.
De acordo com uma pesquisa realizada8 pelo International Association of Privacy Professionals
(IAPP) e a FairWarning, que envolveu mais de 550 profissionais de privacidade de todo o
mundo, uma série de perguntas foi feita para identificar como as funções de privacidade são
suportadas pelas lentes de pessoas, processos e tecnologias, tendo sido concluído que um
dos benefícios do investimento em conscientização dos colaboradores resultou em maior
engajamento e redução de erros comuns que resultam em violação dos dados, como por
exemplo enviar um e-mail para o destinatário incorreto.

8 Disponível em: h� ps://iapp.org/resources/ar� cle/benefi ts-a� ributes-habits-of-mature-privacy-data-protec� on-programs/

8
 Avaliemos algumas situações:
Se uma empresa investe em tecnologia e nos recursos mais modernos e seguros para
prevenir invasões e atos maliciosos de hackers, mas não investe em mapear todos os
seus processos e, por consequência, acaba deixando de lado alguma atividade que
envolve dado pessoal, ou seja, não registrou essa atividade e nem avaliou os riscos
inerentes ao seu processamento. Em contrapartida, realizou um treinamento anual
para os colaboradores.
A outra situação é de uma empresa que investe em mapeamento de processos,
organiza todas as suas atividades de forma padronizada, identifica os riscos inerentes
e residuais, além de investir nas melhores tecnologias para gestão do Programa de
Privacidade e Proteção de Dados Pessoais e na sua infraestrutura de segurança da
informação. Por outro lado, não investiu em capacitação, comunicação e treinamento
das pessoas que realizam as atividades.

Em ambas as situações, é possível perceber que uma das frentes que sustenta um efetivo
Programa, não foi implementada corretamente. Logo, na primeira situação, faltou investir
em processos. Se avaliarmos com mais criticidade, é possível, ainda, concluir que investir em
um único treinamento não é suficiente para construir a cultura de privacidade e proteção
de dados pessoais. Sendo, portanto, recomendado que a organização possua um Plano de
Comunicação e Treinamento, envolvendo a Alta Administração e demais colaboradores que
exercem atividades de tratamento de dados pessoais.
O mesmo ocorre na segunda situação, já que ter as melhores tecnologias e processos não
significa prevenção ou mitigação de todos os riscos, já que a falha humana é um fator que
pode ensejar altos impactos para qualquer organização. Mais uma vez, é possível constatar
que faltou levar em consideração que são as pessoas que operarão as tecnologias e que
conduzirão os processos.

9
Por isso, para ter sucesso na implementação do seu Programa, garantindo que ele esteja
compatível com as particularidades da sua organização e com o cenário regulatório, é preciso
entender que a adequação não deve ocorrer como se estivéssemos em busca de uma dúzia
de documentos e controles que nos atendam, minimamente, como fins de demonstração de
conformidade com a lei.
É preciso pensar nos procedimentos que são efetivos na prática, trazendo segurança real
para o seu negócio. Desse modo, o investimento em uma cultura de privacidade e proteção
de dados é um grande indicador de que sua organização não está pensando apenas em
construir um Programa para o presente, e sim para atender, inclusive, demandas futuras,
novos riscos, novas fiscalizações e diligências, afinal, o cenário econômico estará, dia após
dia, mais fortalecido e exigente.
Portanto, ter um Programa, mas não ser capaz de demonstrar o seu nível de maturidade, não
significará praticamente nada e, ainda, colocará a sua organização em desvantagem diante de
outras que tenham entendido que privacidade e proteção de dados é prioridade e, assim, deve
permear todas as áreas de negócio, fazendo parte da sua cultura organizacional.

A CULTURA DE PRIVACIDADE E PROTEÇÃO DE DADOS PESSOAIS

5 BENEFÍCIOS DE INVESTIR NA IMPLEMENTAÇÃO EFETIVA DE UM

PROGRAMA DE PRIVACIDADE E PROTEÇÃO DE DADOS PESSOAIS

1) Prevenção de incidentes de segurança envolvendo dados pessoais, por meio do

investimento contínuo no tripé: pessoas, processos e tecnologias;

2) Detecção de novos riscos e oportunidades, internas e externas, por meio dos controles
de avaliação e gestão de riscos que estão continuamente observando novos eventos
que podem culminar em situações indesejáveis ou melhoria organizacionais.

3) Fortalecimento da confiança dos seus clientes, pois eles perceberão o seu compromisso
com os princípios de transparência e boa-fé no tratamento dos dados pessoais que lhe
foram confiados;

4) Facilidade em responder aos processos de due diligence e auditorias realizadas por seus
parceiros de negócios;

5) Ter um Programa que foi construído para observar não apenas a conformidade legal,
mas para ser um sistema vivo que integra a cultura organizacional e está em constante
evolução da sua maturidade.

10
SE A SUA ORGANIZAÇÃO JÁ TEM UM PROGRAMA DE PRIVACIDADE
E PROTEÇÃO DE DADOS PESSOAIS, É POSSÍVEL AFIRMAR QUE A SUA
MATURIDADE É ALTA?
Até então, apresentamos dicas de como implementar um Programa efetivo, mas sabemos
que algumas organizações já passaram por essa fase e, agora, começam a enfrentar situações
práticas que colocam em dúvida o seu nível de adequação e a sua maturidade sobre privacidade
e proteção de dados pessoais.
Já mencionamos que as organizações que possuem um alto nível de maturidade em seus
Programas, buscam outras que também tenham mais do que apenas uma adequação
documental à LGPD. Por essa razão, os processos de diligências antes da formalização de
contratos viraram rotina. Ou seja, não existe contratação de um parceiro, que executará
atividades de tratamento de dados pessoais, sem antes verificar o seu nível de adequação.
Essa busca por mais segurança, é refletida em diligências mais robustas e, caso a organização
não consiga demonstrar, por meio de evidências, as respostas sobre o seu Programa,
dificilmente permanecerá na lista de potenciais parceiros.
Sendo assim, caso a sua organização ainda não tenha passado por um processo de due
diligence, saiba que isso pode acontecer a qualquer momento! Além do que, alguns parceiros
estão exigindo cláusulas contratuais que permitam a realização, recíproca, de auditorias nos
Programas de Privacidade e Proteção de Dados Pessoais, sendo essa mais uma iniciativa para
prevenir os riscos que os terceiros podem trazer para os negócios.
Por isso, é primordial que você realize um diagnóstico e gap analysis para verificar a maturidade
do seu Programa, permitindo que novos planos de ações sejam criados para cada um dos
eventuais gaps identificados.

AS ORGANIZAÇÕES PRECISAM TER MAIS AÇÕES PREVENTIVAS DO QUE AÇÕES

CORRETIVAS.
Ao fazermos essa afirmação, estamos sugerindo que as empresas optem por agir
proativamente na adequação, na construção de cultura, avaliação de riscos e criação
de planos de ações que buscam prevenir os mais diversos riscos de privacidade e
segurança.
Claro que, durante o dia a dia do negócio, novos riscos podem surgir e, portanto,
algumas ações corretivas serão necessárias.
Entretanto, o cenário ideal é que as organizações não esperem apenas a materialização
do risco para só então executar ações corretivas.
Afinal, prevenir é sempre mais barato do que corrigir o erro que poderia ter sido evitado!

4 DICAS PARA AVALIAR A MATURIDADE DO SEU PROGRAMA DE

PRIVACIDADE E PROTEÇÃO DE DADOS PESSOAIS

1 Avalie se a organização possui os documentos mínimos de conformidade com as

1)
legislações que estão mapeadas em seu contexto. Por exemplo:
• A organização registrou todas as atividades de tratamento de dados pessoais e
mantém esse documento atualizado?
• A organização dispõe de um canal de comunicação para atendimento das solicitações
de direitos dos titulares de dados?
11
 • A organização executou avaliação e gestão dos seus riscos de privacidade e segurança?
• A organização possui um Relatório de Impacto de Proteção de Dados (RIPD) das suas
atividades que apresentem um alto risco para o titular?
• A organização investiu em boas práticas para garantir a instituição de uma governança
de dados?
• A organização investiu em medidas de segurança para prevenir incidentes?
• A organização possui um Plano de Respostas a Incidentes?

2
2) Caso a organização tenha estabelecido indicadores, é importante fazer uma avaliação
crítica dos seus resultados. Os indicadores permitem identificar a maturidade do
Programa. Por exemplo:
• Houve algum incidente de segurança envolvendo dados pessoais? Foi preciso
comunicar aos titulares e à ANPD?
• A organização possui mapeado o número de solicitações que recebeu dos seus
titulares? Foi mensurado quantas versavam sobre reclamações?
• A organização conseguiu atender todos os titulares e respeitou o prazo de 15 dias?
• Quantos colaboradores caíram no golpe simulado de phishing ou qualquer outro
que tenha sido criado?

3) Caso a organização tenha passado por uma due diligence ou auditoria, foi possível
3
responder satisfatoriamente todas as perguntas? Por exemplo:
• Potenciais clientes solicitaram o envio de evidências da maturidade e do seu nível de
adequação à LGPD, você conseguiu reunir todas as evidências?
• Algum parceiro ou cliente deixou de contratar a sua organização por ter avaliado o
seu Programa como inefetivo para o nível de risco que você possui?

4
4) Faça uma avaliação SWOT9 do seu Programa:

9 A avaliação SWOT é uma técnica de planejamento que permite auxiliar as organizações na iden� fi cação de suas forças, fraque-
zas, oportunidades ou ameaças relacionadas à projetos ou ao contexto do negócio diante dos seus concorrentes.
12
Com essas informações, é possível compreender como está o nível da sua adequação e a
maturidade do seu Programa, permitindo, inclusive, identificar as oportunidades de melhorias
de controles que já tenham sido implementados anteriormente, bem como de identificar
novos riscos que merecem a criação de novos planos de ações.

É recomendado que o diagnóstico do seu Programa seja realizado por

profissional independente e imparcial, garantindo que as avaliações
estejam livres de conflitos de interesses e, por conseguinte, com uma
visão externa dos controles existentes para garantir a conformidade
e adequação dos processos organizacionais aos princípios de
privacidade, proteção de dados e segurança da informação.

CONCLUSÕES:
O objetivo não é apenas ter um Programa de Privacidade e Proteção de Dados que, muitas vezes
foi criado da noite para o dia, em tempos recordes, pois a organização carecia da necessidade
de demonstrar publicamente a sua adequação.
Agora, estamos vivendo uma nova fase da cultura de privacidade e proteção de dados no Brasil.
Logo, a avaliação do website da empresa, com o objetivo de identificar se possui um banner de
cookies e um Aviso de Privacidade não demonstra qualquer valor para fins de comprovação de
uma efetiva adequação à LGPD.
Inclusive, um dos motivos foi a banalização da importância da adequação e do que realmente
ela significava. Por um período, algumas organizações acreditaram que ajustando o seu website
seria suficiente para demonstrar, aos seus parceiros e clientes, que já existia uma adequação.
Entretanto, com o avanço da conscientização sobre a real importância do correto tratamento
dos dados, além do significativo avanço das demais legislações por todo o mundo, em especial
das autoridades reguladoras da União Europeia que já demonstram que a fase atual é de
mensurar a maturidade dos Programas, percebemos que o Brasil já sente a influência de todas
essas práticas que, inevitavelmente, inspiram a nossa autoridade reguladora – ANPD.
Portanto, as empresas que continuarem insistindo em manter Programas inefetivos, poderão,
em breve, perder oportunidades de negócios e, ainda, serem responsabilizadas por não
garantirem o atendimento do princípio da boa-fé para o correto tratamento dos dados pessoais.
O caminho é investir em uma implementação segura e, caso já tenha passado pela fase de
adequação, é primordial prosseguir com a evolução desse Programa, permitindo que os
eventuais gaps sejam solucionados por meio de novos controles.

13
REFERÊNCIAS BIBLIOGRÁFICAS

Benefits, Attributes and Habits of Mature Privacy and Data Protection Programs. Disponível
em: <https://iapp.org/resources/article/benefi
https://iapp.org/resources/article/benefits-attributes-habits-of-mature-privacy-data-
protection-programs/> Acesso em: 15 jul. de 2022.
BRASIL. Ministério da Justiça. Secretaria Nacional do Consumidor. Despacho nº 25/2022.
Brasília, DF: Ministério da Justiça, 18 jul. 2022>Disponível em: https://static.poder360.com.
br/2022/07/DESPACHO-No-252022-DESPACHO-No-252022-DOU-Imprensa-Nacional.pdf>
Acesso em 19 jul. de 2022.
Building a Culture of Privacy: Legal Compliance as a result, not a goal. Disponível em: <https://
iapp.org/news/a/building-a-culture-of-privacy-legal-compliance-as-a-result-not-a-goal/>
Acesso em 18 de jul. de 2022.
Guia Orientativo para Definição dos Agentes de Tratamento de Dados Pessoais e do
Encarregado. Disponível em: <https://www.gov.br/anpd/pt-br/documentos-e-publicacoes/
Segunda_Versao_do_Guia_de_Agentes_de_Tratamento_retificada.pdf> acesso em: 14 jul. de
2022.
Q1 2022 Threat Landscape: Threat Actors Target Email for Access and Extorsion. Disponível
em: <https://www.kroll.com/en/insights/publications/cyber/q1-2022-threat-landscape-threat-
actors-target-email-access-extortion> Acesso em: 10 jul. de 2022
Measuring Privacy Programs: The Role of Metrics. Disponível em: <https://iapp.org/news/a/
measuring-privacy-programs-the-role-of-metrics/> Acesso em: 19 jul. de 2022.

14
CLIQUE E NOS SIGA NAS REDES

Instagram Linkedin Youtube

15