Escolar Documentos
Profissional Documentos
Cultura Documentos
E-BOOK
DA IMPLEMENTAÇÃO EFETIVA À VERIFICAÇÃO DE
MATURIDADE DO PROGRAMA DE PRIVACIDADE E
PROTEÇÃO DE DADOS PESSOAIS
Com o avanço da Lei Geral de Proteção de Dados (LGPD)1, foi possível perceber que o mercado
está cada vez mais sendo norteado pelas diretrizes de privacidade e proteção de dados
pessoais.
Inclusive, estamos diante de titulares de dados, dia após dia, mais conscientes sobre os seus
direitos e, consequentemente, mais atentos às organizações que não demonstram de forma
transparente como estão sendo realizadas as atividades que envolvem dados pessoais.
Desse modo, por um lado, o cenário econômico no Brasil tem refletido a preocupação de
organizações que buscam manter relacionamentos com quem efetivamente já possui um
Programa de Privacidade e Proteção de Dados Pessoais, mas, por outro, ainda rumina em
organizações que não entenderam a necessidade, urgente, de adequar os seus negócios às
diretrizes de privacidade e proteção de dados pessoais, ou, ainda mais preocupante, tem
aquelas que foram demandadas em algum momento e, na pressa de desenvolver algo para
demonstrar ao parceiro que já possui um Programa, acabaram fazendo uma adequação
apenas documental, sem quaisquer mudanças efetivas na prevenção dos riscos de privacidade
e segurança da informação.
1 Lei nº 13.709/2018.
2 Regulamento Geral de Proteção de Dados da União Europeia que está em vigor desde 25 de maio de 2018.
2
Ainda, cumpre destacar que o aumento dos incidentes de segurança tem despertado o olhar
de alguns empresários, no sentido de perceber que muitos estão relacionados com a ausência
de cultura de privacidade e proteção de dados, além de um Programa com uma maturidade
que seja compatível com os atuais riscos da organização.
É impreterível destacar que as fiscalizações estão aumentando e algumas empresas já estão
sofrendo sanções, em razão do uso indevido de dados pessoais. Desse modo, não apenas
a Autoridade Nacional de Proteção de Dados (ANPD)3, como também outros órgãos podem
aplicar medidas que impactem nos negócios, como fez, por exemplo, o Ministério da Justiça
que suspendeu as atividades de 180 empresas de telemarketing por publicidade abusiva e
uso indevido de dados pessoais de consumidores4.
As empresas não poderão fazer contato com clientes, para oferta de produtos e serviços,
sem o prévio consentimento do consumidor, que só poderá ser abordado por telefone se
expressamente tiver manifestado interesse neste sentido, sujeitas a multa diária de R$ 1
mil, podendo chegar a R$ 13 milhões, caso sejam condenadas nos processos instaurados pela
Secretaria Nacional do Consumidor (Senacon) e Procons dos estados.
A constatação, portanto, é de que para proteger os negócios e torná-los promissores, diante
dessa atual necessidade, não existe outro caminho, além da adequação efetiva à LGPD. Ou seja,
busca-se a conformidade ideal que está além de criar apenas políticas de privacidade no site
da organização ou incluir cláusulas contratuais nos instrumentos que regem relacionamentos
entre parceiros que executam atividades com compartilhamento de dados, por exemplo.
Então, como fazer uma adequação segura à LGPD? Como saber se o seu Programa possui
maturidade para prevenir os riscos? Este e-book vai te ajudar!
3 Órgão regulador responsável por zelar pela proteção dos dados pessoais, implementar e fi scalizar o cumprimento da LGPD no
Brasil.
4 Disponível em: h� ps://sta� c.poder360.com.br/2022/07/DESPACHO-No-252022-DESPACHO-No-252022-DOU-Imprensa-Nacio-
nal.pdf
3
DICA: caso a sua organização pretenda obter uma certificação, como por exemplo a
ISO 27001 ou 277015, é recomendado já fazer a implementação das fases do Programa
observando os seus requisitos, o que garante otimização de tempo e evita que
posteriormente seja necessário implementar novos processos para fins de conformidade.
DICA: a avaliação por setor, classificada por nível de risco, permitirá que a
organização identifique qual a área apresenta maior risco e, consequentemente,
permitirá o planejamento de planos de ações para mitigá-los, de acordo com
criticidade da área.
Os planos de ações devem ser endereçados a quem terá a responsabilidade de
executá-lo. Ademais, é preciso que o Encarregado de Proteção de Dados Pessoais6
acompanhe e monitore se a execução ocorreu corretamente.
5 ISO/IEC 27001:2013 é uma norma internacional de sistema de gestão de segurança da informação e a ISO/IEC 27701:2019 é
uma extensão da norma anterior para sistema de gestão da privacidade da informação.
6 De acordo com o Guia Orienta� vo para Defi nição dos Agentes de Tratamento de Dados Pessoais e do Encarregado elaborado
pela Autoridade Nacional de Proteção de Dados (ANPD), o Controlador deverá indicar um Encarregado para ser responsável pela
gestão do Programa de Privacidade e Proteção de Dados Pessoais, manter comunicação direta com a ANPD e com os � tulares,
orientar funcionários sobre as boas prá� cas de privacidade da organização e entre outras a� vidades.
4
PASSO 03: Crie uma equipe engajada
No tópico anterior, ficou claro que todos os riscos terão planos de ações, alguns podem ser
mais complexos, de modo a criar uma modelagem de processo, outros podem ser apenas
de monitoramento, com o intuito de mantê-los sempre no radar para que, caso necessário,
tarefas mais complexas sejam colocadas em práticas.
Todavia, apesar de todos os esforços para mapear os dados, avaliar os riscos elaborar planos
de ações, é preciso dizer que sem o engajamento das pessoas da sua equipe, dificilmente
o Programa de Privacidade será efetivo. Afinal, são as pessoas que estão, diariamente,
exercendo funções que envolvem tratamento de dados pessoais e, além disso, algumas
dessas podem ser responsáveis por executar um plano de ação para prevenção e mitigação
de riscos.
Portanto, é indispensável ter uma equipe que entenda as reais necessidades de
implementação de controles, mudanças em rotinas que envolvem dados, que antes
poderiam ser feitas de uma determinada forma e, agora, deverão ser executadas de outro
modo para garantir a conformidade com as diretrizes legais de privacidade e proteção de
dados.
Agora, imagine tantas mudanças e uma equipe pouco engajada em realmente colocá-
las em prática. O resultado, inevitavelmente, será uma quebra no ciclo de adequação e
conformidade, além de novos riscos, já que colaboradores que não entendem de privacidade
e proteção de dados, podem ser potenciais alvos de ataques hackers que buscam as
vulnerabilidades e falhas humanas para invadir sistemas e, assim, cometer atos ilícitos.
5
PASSO 04: Esteja pronto para passar por Due Diligence e Auditorias
Com o aumento da conscientização sobre a necessidade de manter um Programa de
Privacidade e Proteção de Dados efetivo, muitas organizações já iniciaram as diligências
em seus parceiros e, muitas vezes, solicitam auditorias.
Adicionalmente, caso a sua organização deseje passar pelo processo de certificação em
alguma ISO, por exemplo, é recomendado que você tenha as evidências de como os
controles de conformidade e segurança estão implementados. Paralelo a essa demanda,
os titulares podem efetuar denúncias diretamente na ANPD ou até mesmo ajuizar ações
para requerer os seus direitos.
Sendo assim, é imprescindível estar pronto para qualquer uma das situações acima listadas.
6
PASSO 05: Tenha uma gestão de crise para responder aos eventuais
incidentes
Apesar das dicas anteriores serem muito relevantes para a efetividade do seu Programa,
sem dúvidas, este tópico é um dos mais importantes. Afinal, é nesse passo que a sua
organização evidenciará se realmente está pronta para evitar incidentes.
Um dos contextos que mais tem gerado incidentes é a falha humana, que permite
vulnerabilidades e portas abertas para os ataques maliciosos. Isso acontece, por exemplo,
quando um funcionário clica em um link, que normalmente pode chegar por e-mail, SMS ou
outros aplicativos de mensagens.
Essa prática é conhecida como phishing e segundo um relatório da Kroll7, empresa de
fornecimento de dados, tecnologia e insights relacionados a risco, governança e crescimento,
no primeiro trimestre de 2022, foi observado um aumento de 54% nos ataques deste tipo
comparados com o quarto trimestre de 2021. Isso evidencia que, conforme os sistemas
fiquem mais protegidos, os cibercriminosos têm buscado outros tipos de vulnerabilidades
para praticarem os seus ataques.
DICA: constitua uma equipe que estará à frente da gestão de crise oriunda de
um eventual incidente. Esse time deve ser formalmente nomeado e previamente
treinado para situações de iminentes riscos, garantindo que as medidas de
controles sejam implementadas com agilidade e segurança.
É importante que a simulação do evento avance até a sua resolução, permitindo
que a equipe esteja treinada para responder rapidamente e evitar maiores danos
aos titulares de dados e prejuízos à organização.
Recomendados que a equipe seja composta pelo Encarregado de Proteção de
Dados Pessoais, Profissional de Segurança da Informação ou alguém da equipe
de TI com competência técnica para adotar controles de proteção aos ativos da
organização, responsáveis pelo setor Jurídico, Compliance e Comunicação ou
Marketing.
A ideia é ter uma equipe multidisciplinar, a qual poderá trabalhar em conjunto,
cada um na sua expertise, para reestabelecer o controle da operação, providenciar
respostas técnicas e jurídicas, além de responder comentários nas mídias digitais.
As dicas para fazer uma implementação efetiva estão todas relacionadas com o investimento
em três importantes etapas, sendo elas: pessoas, processos e tecnologias. Se uma delas não
receber a devida atenção, provavelmente a organização enfrentará problemas.
De acordo com uma pesquisa realizada8 pelo International Association of Privacy Professionals
(IAPP) e a FairWarning, que envolveu mais de 550 profissionais de privacidade de todo o
mundo, uma série de perguntas foi feita para identificar como as funções de privacidade são
suportadas pelas lentes de pessoas, processos e tecnologias, tendo sido concluído que um
dos benefícios do investimento em conscientização dos colaboradores resultou em maior
engajamento e redução de erros comuns que resultam em violação dos dados, como por
exemplo enviar um e-mail para o destinatário incorreto.
Em ambas as situações, é possível perceber que uma das frentes que sustenta um efetivo
Programa, não foi implementada corretamente. Logo, na primeira situação, faltou investir
em processos. Se avaliarmos com mais criticidade, é possível, ainda, concluir que investir em
um único treinamento não é suficiente para construir a cultura de privacidade e proteção
de dados pessoais. Sendo, portanto, recomendado que a organização possua um Plano de
Comunicação e Treinamento, envolvendo a Alta Administração e demais colaboradores que
exercem atividades de tratamento de dados pessoais.
O mesmo ocorre na segunda situação, já que ter as melhores tecnologias e processos não
significa prevenção ou mitigação de todos os riscos, já que a falha humana é um fator que
pode ensejar altos impactos para qualquer organização. Mais uma vez, é possível constatar
que faltou levar em consideração que são as pessoas que operarão as tecnologias e que
conduzirão os processos.
9
Por isso, para ter sucesso na implementação do seu Programa, garantindo que ele esteja
compatível com as particularidades da sua organização e com o cenário regulatório, é preciso
entender que a adequação não deve ocorrer como se estivéssemos em busca de uma dúzia
de documentos e controles que nos atendam, minimamente, como fins de demonstração de
conformidade com a lei.
É preciso pensar nos procedimentos que são efetivos na prática, trazendo segurança real
para o seu negócio. Desse modo, o investimento em uma cultura de privacidade e proteção
de dados é um grande indicador de que sua organização não está pensando apenas em
construir um Programa para o presente, e sim para atender, inclusive, demandas futuras,
novos riscos, novas fiscalizações e diligências, afinal, o cenário econômico estará, dia após
dia, mais fortalecido e exigente.
Portanto, ter um Programa, mas não ser capaz de demonstrar o seu nível de maturidade, não
significará praticamente nada e, ainda, colocará a sua organização em desvantagem diante de
outras que tenham entendido que privacidade e proteção de dados é prioridade e, assim, deve
permear todas as áreas de negócio, fazendo parte da sua cultura organizacional.
2) Detecção de novos riscos e oportunidades, internas e externas, por meio dos controles
de avaliação e gestão de riscos que estão continuamente observando novos eventos
que podem culminar em situações indesejáveis ou melhoria organizacionais.
3) Fortalecimento da confiança dos seus clientes, pois eles perceberão o seu compromisso
com os princípios de transparência e boa-fé no tratamento dos dados pessoais que lhe
foram confiados;
4) Facilidade em responder aos processos de due diligence e auditorias realizadas por seus
parceiros de negócios;
5) Ter um Programa que foi construído para observar não apenas a conformidade legal,
mas para ser um sistema vivo que integra a cultura organizacional e está em constante
evolução da sua maturidade.
10
SE A SUA ORGANIZAÇÃO JÁ TEM UM PROGRAMA DE PRIVACIDADE
E PROTEÇÃO DE DADOS PESSOAIS, É POSSÍVEL AFIRMAR QUE A SUA
MATURIDADE É ALTA?
Até então, apresentamos dicas de como implementar um Programa efetivo, mas sabemos
que algumas organizações já passaram por essa fase e, agora, começam a enfrentar situações
práticas que colocam em dúvida o seu nível de adequação e a sua maturidade sobre privacidade
e proteção de dados pessoais.
Já mencionamos que as organizações que possuem um alto nível de maturidade em seus
Programas, buscam outras que também tenham mais do que apenas uma adequação
documental à LGPD. Por essa razão, os processos de diligências antes da formalização de
contratos viraram rotina. Ou seja, não existe contratação de um parceiro, que executará
atividades de tratamento de dados pessoais, sem antes verificar o seu nível de adequação.
Essa busca por mais segurança, é refletida em diligências mais robustas e, caso a organização
não consiga demonstrar, por meio de evidências, as respostas sobre o seu Programa,
dificilmente permanecerá na lista de potenciais parceiros.
Sendo assim, caso a sua organização ainda não tenha passado por um processo de due
diligence, saiba que isso pode acontecer a qualquer momento! Além do que, alguns parceiros
estão exigindo cláusulas contratuais que permitam a realização, recíproca, de auditorias nos
Programas de Privacidade e Proteção de Dados Pessoais, sendo essa mais uma iniciativa para
prevenir os riscos que os terceiros podem trazer para os negócios.
Por isso, é primordial que você realize um diagnóstico e gap analysis para verificar a maturidade
do seu Programa, permitindo que novos planos de ações sejam criados para cada um dos
eventuais gaps identificados.
2
2) Caso a organização tenha estabelecido indicadores, é importante fazer uma avaliação
crítica dos seus resultados. Os indicadores permitem identificar a maturidade do
Programa. Por exemplo:
• Houve algum incidente de segurança envolvendo dados pessoais? Foi preciso
comunicar aos titulares e à ANPD?
• A organização possui mapeado o número de solicitações que recebeu dos seus
titulares? Foi mensurado quantas versavam sobre reclamações?
• A organização conseguiu atender todos os titulares e respeitou o prazo de 15 dias?
• Quantos colaboradores caíram no golpe simulado de phishing ou qualquer outro
que tenha sido criado?
3) Caso a organização tenha passado por uma due diligence ou auditoria, foi possível
3
responder satisfatoriamente todas as perguntas? Por exemplo:
• Potenciais clientes solicitaram o envio de evidências da maturidade e do seu nível de
adequação à LGPD, você conseguiu reunir todas as evidências?
• Algum parceiro ou cliente deixou de contratar a sua organização por ter avaliado o
seu Programa como inefetivo para o nível de risco que você possui?
4
4) Faça uma avaliação SWOT9 do seu Programa:
9 A avaliação SWOT é uma técnica de planejamento que permite auxiliar as organizações na iden� fi cação de suas forças, fraque-
zas, oportunidades ou ameaças relacionadas à projetos ou ao contexto do negócio diante dos seus concorrentes.
12
Com essas informações, é possível compreender como está o nível da sua adequação e a
maturidade do seu Programa, permitindo, inclusive, identificar as oportunidades de melhorias
de controles que já tenham sido implementados anteriormente, bem como de identificar
novos riscos que merecem a criação de novos planos de ações.
CONCLUSÕES:
O objetivo não é apenas ter um Programa de Privacidade e Proteção de Dados que, muitas vezes
foi criado da noite para o dia, em tempos recordes, pois a organização carecia da necessidade
de demonstrar publicamente a sua adequação.
Agora, estamos vivendo uma nova fase da cultura de privacidade e proteção de dados no Brasil.
Logo, a avaliação do website da empresa, com o objetivo de identificar se possui um banner de
cookies e um Aviso de Privacidade não demonstra qualquer valor para fins de comprovação de
uma efetiva adequação à LGPD.
Inclusive, um dos motivos foi a banalização da importância da adequação e do que realmente
ela significava. Por um período, algumas organizações acreditaram que ajustando o seu website
seria suficiente para demonstrar, aos seus parceiros e clientes, que já existia uma adequação.
Entretanto, com o avanço da conscientização sobre a real importância do correto tratamento
dos dados, além do significativo avanço das demais legislações por todo o mundo, em especial
das autoridades reguladoras da União Europeia que já demonstram que a fase atual é de
mensurar a maturidade dos Programas, percebemos que o Brasil já sente a influência de todas
essas práticas que, inevitavelmente, inspiram a nossa autoridade reguladora – ANPD.
Portanto, as empresas que continuarem insistindo em manter Programas inefetivos, poderão,
em breve, perder oportunidades de negócios e, ainda, serem responsabilizadas por não
garantirem o atendimento do princípio da boa-fé para o correto tratamento dos dados pessoais.
O caminho é investir em uma implementação segura e, caso já tenha passado pela fase de
adequação, é primordial prosseguir com a evolução desse Programa, permitindo que os
eventuais gaps sejam solucionados por meio de novos controles.
13
REFERÊNCIAS BIBLIOGRÁFICAS
Benefits, Attributes and Habits of Mature Privacy and Data Protection Programs. Disponível
em: <https://iapp.org/resources/article/benefi
https://iapp.org/resources/article/benefits-attributes-habits-of-mature-privacy-data-
protection-programs/> Acesso em: 15 jul. de 2022.
BRASIL. Ministério da Justiça. Secretaria Nacional do Consumidor. Despacho nº 25/2022.
Brasília, DF: Ministério da Justiça, 18 jul. 2022>Disponível em: https://static.poder360.com.
br/2022/07/DESPACHO-No-252022-DESPACHO-No-252022-DOU-Imprensa-Nacional.pdf>
Acesso em 19 jul. de 2022.
Building a Culture of Privacy: Legal Compliance as a result, not a goal. Disponível em: <https://
iapp.org/news/a/building-a-culture-of-privacy-legal-compliance-as-a-result-not-a-goal/>
Acesso em 18 de jul. de 2022.
Guia Orientativo para Definição dos Agentes de Tratamento de Dados Pessoais e do
Encarregado. Disponível em: <https://www.gov.br/anpd/pt-br/documentos-e-publicacoes/
Segunda_Versao_do_Guia_de_Agentes_de_Tratamento_retificada.pdf> acesso em: 14 jul. de
2022.
Q1 2022 Threat Landscape: Threat Actors Target Email for Access and Extorsion. Disponível
em: <https://www.kroll.com/en/insights/publications/cyber/q1-2022-threat-landscape-threat-
actors-target-email-access-extortion> Acesso em: 10 jul. de 2022
Measuring Privacy Programs: The Role of Metrics. Disponível em: <https://iapp.org/news/a/
measuring-privacy-programs-the-role-of-metrics/> Acesso em: 19 jul. de 2022.
14
CLIQUE E NOS SIGA NAS REDES
15