2021

2021

GUIA
GUIA
ESTRATÉGICO
ESTRATÉGICO
PARA A LGPD
PARA A LGPD
MENU
INTRODUÇÃO 1

5 DO’S: AS BOAS PRÁTICAS PARA LIDERAR NA ERA DOS DADOS. 5

1: Minimize o tratamento de dados pessoais do seu consumidor e posicione 6
o valor de sua marca
2: Aproveite o momento: apresente as regras do jogo com clareza 7
3: Integre as experiências de usuário: consistência e privacidade desde a 9
concepção do produto/serviço
4: Fuja da transparência burocrática e gere engajamento 12
5: Transforme seus dados em serviços e produtos (e vice-versa) 14

5 DON’TS: AS ARMADILHAS MAIS PERIGOSAS DA ERA DOS 16

DADOS E COMO EVITÁ-LAS.
1: Coletar dados pessoais sensíveis como se fossem dados pessoais comuns 17
2: Operar um único banco de dados ou silos informacionais que não se integram 18
3: Tomar decisões sem analisar dados 19
4: Achar que a estrutura das equipes da sua organização pode continuar igual 20
5: Ficar preso ao consentimento 22

SOBRE AS ORGANIZAÇÕES 24
TEMPLO.cc 24
ETAD 25
INTRODUÇÃO
Com o passar dos anos, os negócios se tornaram data intensive
e as metodologias de desenvolvimento de produtos e serviços
se tornaram extremamente efetivas. Em todas as indústrias
é possível mensurar a integralidade da jornada do usuário
e otimizá-la em um curto espaço de tempo para aumentar
conversões e performance geral. No entanto, essa prática
acabou sendo marcada por escândalos de proteção de dados
pessoais, composto, mas não limitado à privacidade.1 Cumpre
esclarecer, a privacidade como o “direito de estar só” não é
mais capaz de atender às demandas protetivas da sociedade
contemporânea, fazendo emergir a necessidade da proteção de
dados pessoais como um direito da personalidade autônomo.
Destacam-se os seguintes casos de proporções globais: (i)
Cambridge Analytica, em que o tratamento dados pessoais
de 87 milhões de usuários do facebook influenciaram
indevidamente as eleições de diversos países, incluindo os
EUA; (ii) hack dos hotéis Marriot, que afetou mais de 500
milhões de pessoas; e (iii) o incidente do sistema AADHAAR,
que revelou dados biométricos de mais de 1 bilhão de indianos
e o vazamento de dados de mais de 200 milhões de brasileiros
no início de 2021.
Um dos efeitos desse período é o crescente debate público
internacional sobre a necessária agenda regulatória sobre
proteção de dados pessoais, tema amplamente exposto por
Yuval Harari em sua obra “21 lições para o século 21”2 e último
Fórum Econômico Mundial.3 Essa preocupação se desdobrou,
por um lado, em leis gerais de proteção de dados pessoais, e,
por outro, na percepção do consumidor sobre a importância
da privacidade e o valor de seus dados.

1 Em poucas palavras, as principais diferenças entre os dois conceitos podem ser extraídas
(i) diante do foco da proteção de dados pessoais ser a liberdade positiva no exercício de
direitos como os de retificação de dados, explicação sobre o tratamento, portabilidade, etc.,
o que se contrapõe à noção de privacidade pautada pela liberdade negativa de resguardo
do privado contra público; e (ii) como reflexo da relação entre o avanço tecnológico e as
demandas de natureza difusa e coletiva que a proteção de dados se propõe a assegurar,
contrapondo-se à natureza individual do direito à privacidade.

2 HARARI, Yuval Noah. 21 lições para o século 21. São Paulo: Companhia das Letras, 2018.

3 HARARI, Yuval. Read Yuval Harari’s blistering warning to Davos in full. 2020. World
Economic Forum, 24 jan. 2020 1
Em 2019 e 2020, o Índice de Segurança da Unisys apontou
a crescente sensação de insegurança no Brasil, motivada,
principalmente: (i) pelo roubo de identidade, caracterizado
pelo acesso não autorizado ou uso indevido de informações
pessoais, (ii) pela fraude bancária, com utilização indevida de
informações de cartões de crédito e débito; e (iii) pelos ataques
cibernéticos, como campanhas de phishing, ataque de negação
de serviço (DDoS) e ransomware.4
Outra pesquisa relevante é a “Salesforce State of the Connected
Customer Report 2020”5, que afirma o seguinte sobre os
entrevistados:
. 86% querem mais transparência sobre como suas informações são usadas;
. 61% sentem que perderam o controle de como suas informações são usadas;
· 63% dizem que empresas não são transparentes quanto ao uso de seus dados;
· 47% dizem que as empresas não utilizam seus dados de forma a beneficiá-los.
A privacidade se tornou fator de decisão de compra e
fidelização para o consumidor. Com a entrada em vigor da Lei
13.709 de 2018, a Lei Geral de Proteção de Dados (LGPD), se
torna mandatório que empresas implementem mecanismos
de proteção e boa utilização dos dados. Tão importante quanto
isso é saber comunicar as medidas de modo a valorizar a
relação de confiança e a autodeterminação informativa do
cliente.
A LGPD chegou para dar clareza e segurança às empresas que
tratam dados pessoais no Brasil, impactando praticamente
todos os setores econômicos. Cumpre esclarecer, “tratamento”
é toda a operação que pode ser feita com dados pessoais
– da coleta ao descarte da informação, incluindo o mero
armazenamento.
Em 2019, o cenário regulatório mais se parecia com um
velho-oeste: existiam mais de 40 leis setoriais que ditavam
as regras de diferentes ecossistemas competitivos. Agora, a
LGPD é soberana e, por isso, traz mais segurança jurídica para
empresas tratarem dados pessoais, e monetizá-los.

4 Disponíveis em: https://www.unisys.com/unisys-security-index-2019/brazil; <https://

www.unisys.com/unisys-security-index/brazil>. Acessados em: 04/05/2021

5 Disponível em: https://www.salesforce.com/content/dam/web/en_us/www/documents/

research/salesforce-state-of-the-connected-customer-4th-ed.pdf . Acessado em 05/05/2021
2
Em empresas menores, a lei ajudará a nivelar a atuação dos
novos entrantes, reduzindo barreiras à entrada. Quando
autorizadas pelo consumidor no exercício do direito de
portabilidade, os negócios que ainda não estruturaram
interfaces ou operações de coleta de dados, por exemplo,
podem solicitar do concorrente todos os dados mantidos
sobre o cliente. Grandes empresas, que detinham enormes
quantidades de dados, podem ver, com um simples clique,
uma grande fonte de vantagem competitiva desaparecer, o
que fomenta o aumento das plenas condições de competição
no mercado. É o que se observa nos modelos de regulação
open data, no Brasil implementados até o momento no setor
financeiro (Open Banking) e ainda em fase de audiência
pública, no setor de seguros privados (Open Insurance).
Empresas com enormes volumes de dados também verão o
custo de suas operações subir, bem como a necessidade de
descartar (de maneira segura) dados que não estão diretamente
atrelados à finalidade comercial desta. Caso a prática não seja
seguida ou haja vazamento de dados, a mesma empresa poderá
sofrer uma punição financeira onerosa, de 2% do faturamento
total até R$ 50 milhões.
Antes da LGPD, o pilar jurídico de proteção à privacidade era
o consentimento. Empresas redigiam enormes termos de uso,
prevendo as práticas de tratamento dos dados do usuário.
O usuário, por sua vez, deveria ler os termos e marcar sua
aceitação opt-in, autorizando as previsões. Sabe-se que a
leitura dos termos, por parte dos usuários, era virtualmente
inexistente. Uma pesquisa empírica com métodos rigorosos
sugere que 98% dos usuários não lê de forma relevante os
termos de uso .6

Conforme as plataformas na web se difundiram, a aceitação

ao modelo do consentimento aos termos de uso passou a ser
encarada como uma falácia jurídica. A LGPD adota uma postura
contemporânea e concordante com modelos internacionais
para amenizar esse problema.

6 Disponível em: https://papers.ssrn.com/sol3/papers.cfm?abstract_id=2757465.

3
7 MAGRANI, Eduardo. Entre dados e robôs: ética e privacidade da era da
hiperconectividade. 2. ed. Porto Alegre: Arquipélogo Editorial, 2019.
Uma das tendências mais constantes do mercado é a
transparência e a prestação de contas. A hiperconectividade
trouxe mais transparência às práticas e à cultura de empresas
dos mais diversos segmentos7. No passado, quando empresas
conseguiam controlar a informação de maneira mais efetiva,
marcas poderiam ser esculpidas livremente. Lideranças
tinham alto grau de controle sobre a imagem pública da
empresa. Isso mudou. A partir do momento em que a difusão
da informação e dispositivos se acelerou, as empresas se
tornaram mais e mais transparentes. A marca se tornou
o todo. O colaborador, o processo e as práticas internas. Na
atualidade, o posicionamento público precisa ser resultado da
realidade cotidiana da organização. As prioridades públicas
são prioridades privadas.
O imperativo da transparência e da prestação de contas chega
à LGPD na forma de princípios. Empresas engajadas com seus
consumidores têm a chance de dar um passo a mais e utilizar
a transparência e prestação de contas como mecanismos
de confiança, engajamento e participação, fomentando
comunidades em torno de sua marca.

7 MAGRANI, Eduardo. Entre dados e robôs: ética e privacidade da era da

hiperconectividade. 2. ed. Porto Alegre: Arquipélogo Editorial, 2019.

4
5 DO’s
As boas práticas para liderar na era dos dados.

5
DO 1: MINIMIZE O TRATAMENTO DE
DADOS PESSOAIS DO SEU CONSUMIDOR E
POSICIONE O VALOR DE SUA MARCA

Fundamento legal:
O princípio da necessidade (art. 6º, inciso III, LGPD) é um
importante elemento para o setor empresarial, pois exige a
utilização apenas de dados estritamente necessários. A ideia
trazida com esse princípio é a de limitar o tratamento do dado
pessoal apenas àqueles mínimos pertinentes à finalidade do
tratamento e, portanto, não excessivos.
Ou seja, coletar dados excessivos, desvinculados da
declarada finalidade do tratamento, caracteriza-se como uma
desconformidade à lei.

Recomendação:
Adote mecanismos de minimização do tratamento de dados
pessoais do seu consumidor, por meio de um mapeamento
e inventário de dados que compatibilize os dados pessoais
coletados com a finalidade do tratamento; e o preenchimento
de RIPDs para a gestão do risco de desconformidade, por
exemplo.
Depois de implementar as medidas, comunique sua
preocupação como diferencial de marca através de uma nota
de privacidade e política de cookies, no sentido de fortalecer
a confiança do consumidor sobre suas operações. Essa é
uma grande oportunidade, que ganha relevância a partir da
constatação de que há uma crise histórica na confiança de
indivíduos em organizações.
No Brasil, o Banco Santander já veicula uma série de
propagandas que objetivam informar e educar o consumidor
sobre o valor dos seus dados, além de posicionar o banco como
parceiro do consumidor ao buscar medidas de proteção da
privacidade.

6
DO 2: APROVEITE O MOMENTO: APRESENTE
AS REGRAS DO JOGO COM CLAREZA

Fundamento legal:
Toda empresa precisa avaliar a necessidade legal de colher
o consentimento do consumidor ao longo do processo de
negócio, levando em consideração as demais bases legais que
podem autorizar o tratamento de dados pessoais “comuns”
(art. 7º, LGPD) e sensíveis (art. 11, LGPD).
Por essa razão, é indispensável mapear, mesmo que de forma
geral, os principais fluxos de dados das empresas e definir as
bases legais que serão utilizadas para justificar o tratamento.
Este diagnóstico é imprescindível para uma correta avaliação
de riscos e construção de uma arquitetura de proteção de
dados em qualquer empresa.
Destaca-se a obrigatoriedade de a empresa controladora (art.
5º, inciso VI, LGPD) criar um relatório de impacto à proteção
de dados (RIPD) quando o tratamento de informações gerar
potenciais riscos às liberdades civis e direitos fundamentais
(art. 5º, inciso XVII, LGPD).
O RIPD busca descrever os processos de tratamento de dados
pessoais levados a cabo no âmbito de determinada organização
e os riscos oriundos desses processos, bem como medidas,
salvaguardas e mecanismos de mitigação de riscos. Assim,
cumpre o papel de refletir a atividade de avaliação dos riscos
de violações aos direitos do titular, pelo controlador, ao longo
da atividade de tratamento. Dentre essas atividades, incluem-
se medidas decorrentes do uso do sistema de gestão de
segurança da informação preconizado na ABNT NBR ISO/IEC
27001:2013, mesmo que para uso interno do controlador. Este
documento, por conseguinte, é mais do que uma ferramenta:
é um processo que começa nos estágios mais iniciais possíveis
de uma iniciativa de conformidade em proteção de dados.

7
Dentre os direitos dos titulares de dados, destaca-se que
uma das principais inovações da LGPD foi prever o direito à
“portabilidade dos dados a outro fornecedor de serviço ou
produto, mediante requisição expressa e observados os segredos
comercial e industrial, de acordo com a regulamentação do
órgão controlador” (art. 18, inciso V, LGPD). Assim, a lei torna
práticas e seguras as previsões de compartilhamento de dados
já em discussão nos mais diferentes setores.
O Open Banking, por exemplo, é iniciativa fundamental para
vitalizar o emergente ecossistema das fintechs no país. A atual
burocracia do setor financeiro criou barreiras enormes para
quem deseja mudar de banco, o que facilita a estratificação
do setor e a manutenção do problema dos “desbancarizados”.
Hoje, um em cada três brasileiros não têm acesso a bancos. A
portabilidade facilita a entrada de novos players no mercado
e gera oportunidades de acesso a públicos que ainda não são
atendidos.
Uma das principais startups do cenário Open Banking é
o Guiabolso, que acessa dados financeiros de clientes de
variados bancos para oferecer recomendações. O Guiabolso é
a maior plataforma de finanças pessoais do Brasil, com quase
6 milhões de clientes. Em um ecossistema cada vez mais
amparado em segurança jurídica e padrões abertos, veremos
mais empresas do tipo em consolidação, transformando o
mercado positivamente.
Destaca-se que, em sintonia com o setor financeiro, o setor
de seguros privados está dando os primeiros passos rumo ao
Sistema de Seguros Aberto (Open Insurance), entendido como
um ambiente de compartilhamento padronizado de dados
e serviços por meio da abertura e integração de sistemas no
âmbito dos mercados de seguros, previdência complementar
aberta e capitalização Dentre seus objetivos, destaca-se a
regulamentação dos compartilhamentos de dados pessoais
previstos na LGPD e a compatibilidade com o Open Banking.
Dentre os princípios, a interoperabilidade e a compatibilidade
com o Open Banking.

8
Recomendação:
Realize um mapeamento do fluxo de dados pessoais nos
principais processos de negócio da empresa, identificando o
ciclo de vida do dado, otimizações no processo e as bases legais
que autorizam o tratamento. Na prática, este mapeamento será
uma premissa para organizações, oportunizando geração de
insights de negócio e minimizando o risco de desconformidade
à LGPD.
Produza um RIPD quando o tratamento de informações gerar
potenciais riscos às liberdades civis e direitos fundamentais.
Priorize processos técnicos capazes de operacionalizar o direito
à portabilidade de dados para consumidores de produtos
concorrentes.

DO 3: INTEGRE AS EXPERIÊNCIAS DE
USUÁRIO: CONSISTÊNCIA E PRIVACIDADE
DESDE A CONCEPÇÃO DO PRODUTO/SERVIÇO

Fundamento legal:
Embora a disciplina da proteção de dados seja ampla e possua
intersecção com diversos direitos e garantias constitucionais,
o respeito à privacidade (art. 2º, inciso I LGPD) destaca-se como
um relevante fundamento dessa legislação.
Por isso, quando se fala no desenvolvimento de um novo
produto/serviço, a ideia de privacy by design, criada por
Cavoukian (2010)8, se apresenta com uma análise mínima para
a proteção de dados do consumidor. O privacy by design pode
ser melhor compreendido analisando os sete pilares que o
formam. São eles:

8 CAVOUKIAN, Ann. Privacy by Design The 7 Foundational Principles Implementation and

Mapping of Fair Information Practices. Information and Privacy Commissioner of Ontario,

9
Toronto, may. 2010. Disponível em: https://iapp.org/media/pdf/resource_center/pbd_
implement_7found_principles.pdf Acesso em: 29 out. 2020.
1. Proativo não reativo; preventivo não corretivo: considera-se a privacidade como uma
premissa da arquitetura do produto/serviço, tendo como o objetivo antecipar problemas
e promover ações que minimizem o risco de sua ocorrência. Este princípio refere-se
ao momento ex ante do dano, não se confundindo com os planos de gerenciamento de
crises ou de respostas a incidentes de violação de privacidade e proteção de dados;
2. Privacidade como configuração padrão (privacy by default): essa é uma garantia
dentro do desenho do produto voltada a sua configuração com os padrões de privacidade
desde o início da experiência do usuário. Nesse sentido, o consumidor não precisaria
habilitar ou configurar opções que lhe garantiriam a sua privacidade antes de iniciar o
uso do produto/serviço;
3. Privacidade incorporada ao design: refere-se a ideia de que o usuário deve ter sua
privacidade assegurada pelo produto/serviço. Um exemplo em que isso não ocorreu
foi no desenvolvimento dos mictórios masculinos públicos de Amsterdam, que cobrem
apenas as partes íntimas de quem está urinando;
4. Funcionalidade completa – soma positiva, não soma zero: o produto/serviço deve ser
desenhado de modo que o direito à privacidade não atrapalhe as suas funcionalidades,
evitando uma situação de tradeoff entre funcionalidade e privacidade. Nesse sentido, o
produto/serviço deve ser plenamente utilizável independentemente das configurações de
privacidade alteradas pelo usuário. Ou seja, não deve haver alguma vantagem adicional
ou penalização ao usuário caso altere a configuração de privacidade;
5. Segurança de ponta a ponta: refere-se à proteção total do ciclo de vida do dado, da sua
coleta até a sua eliminação. A proteção da privacidade não se limita à configuração do
produto/serviço isoladamente, devendo considerar mecanismos de segurança e controle
ao longo de toda a cadeia de tratamento daquele dado pessoal;
6. Visibilidade e transparência: o produto/serviço não deve ser construído de modo a que
o exercício dos direitos de transparência e informação dos consumidores sejam abafados
por limitações de códigos fechados, segredos industriais; e
7. Respeito pela privacidade do usuário: a privacidade do consumidor deve ser
sempre levada em consideração para garantir a segurança dos seus dados, ao longo
do cumprimento das diretrizes de segurança da informação e dos mecanismos
confidencialidade, integridade e disponibilidade dos dados e informações durante todo
seu ciclo de vida.

10
O princípio da prevenção (art. 6º, inciso VIII, LGPD) e da
segurança (art. 6º, inciso VII, LGPD) dialogam diretamente
com o conceito de privacy by design. Objetivam, assim, que
sejam adotadas medidas técnicas e administrativas prévias
para evitar a ocorrência de danos em virtude do tratamento
de dados pessoais. Trata-se de uma exigência transversal que
envolve múltiplas áreas da empresa, como as de: (i) tecnologia
da informação; (ii) legal; (iii) governança corporativa; (iv) gestão
de riscos; e (V) conformidade. Aqui, objetivamente, pode-se
mencionar o investimento em treinamento corporativo de
todos os colaboradores, o desenvolvimento de uma cultura de
conformidade com a LGPD e a construção de um programa de
proteção de dados pessoais.
Em 2018, um acordo judicial firmado por procuradores gerais
de diversos estados americanos com a Uber, que sofrera
vazamento de dados de passageiros e motoristas parceiros,
demandou que a empresa adotasse ao longo de dez anos o
modelo privacy by design para avaliar suas operações9.
Outra prática que sofrerá influência da LGPD é conhecida como
Dark Patterns. Pelo conceito, descreve-se as empresas que
projetam interfaces com o intuito de induzir o usuário a tomar
decisões que ele não deseja, em prol do benefício do próprio
negócio. Essa prática irá tensionar a legislação e abrirá maior
insegurança jurídica para empresas, como aponta estudo
realizado a partir da experiência da GDPR, a Regulamento
Geral sobre Proteção de Dados da União Europeia10.

Recomendação:
Reduza custos e riscos de operação criando interfaces
confiáveis e padrões “privacy by design” para o tratamento
de dados pessoais, combinado com o processo de gestão de
risco proposto pela ISO 31000, pela avaliação de impacto de
privacidade da ISO 29134 e pela elaboração de RIPDs.
Como resultado, crie ou revise os seguintes documentos:
política de segurança da informação, política de governança
para soluções em nuvem, política de gestão de acesso, política
de conscientização em proteção de dados e política de
preservação e descarte, dentre outros.
9 A Lei completa está disponível em:

11
https://oag.ca.gov/system/files/attachments/press-docs/uber-final-judgmentscanned_0.pdf

10 Disponível em: https://arxiv.org/abs/2001.02479.

DO 4: FUJA DA TRANSPARÊNCIA
BUROCRÁTICA E GERE ENGAJAMENTO

Fundamento legal:
O princípio da transparência (art. 6º, inciso VI, LGPD) se refere à
possibilidade de todas as informações passadas pela empresa,
em todos os meios de comunicação, serem claras, precisas e
verdadeiras. Além disso, a empresa não pode compartilhar
dados pessoais com outras pessoas sem o consentimento
explícito do titular. Ou seja, se uma empresa repassa dados
pessoais para terceiros, inclusive para operadores que sejam
essenciais para a execução do serviço, o titular precisa saber.
A figura do titular do dado é elemento crucial para compreender
a lei. Não há mais brecha para que a empresa se anuncie
proprietária do dado pessoal. O consumidor é o proprietário
de seus dados e a empresa apenas o trata. Nesse sentido, é
importante enxergar na transparência uma oportunidade de
tornar o consumidor central e engajado na governança de seus
dados pessoais. Felizmente, hoje existem recomendações e
metodologias de padrão internacional para ajudar a balizar
nossas ações, como a International Association for Public
Participation (IAP2). No Espectro de Participação da IAP2
vemos cinco níveis distintos de participação: (1) informar, (2)
consultar, (3) envolver, (4) colaborar e (5) empoderar.
Tendo em vista que o engajamento com consumidores é
sempre um processo de mão dupla, nota-se que o primeiro
nível do espectro não corresponde a um engajamento ativo,
pois demanda apenas um fluxo unidirecional de informações:
da empresa ao público. O nível “informar” no espectro não
oferece a oportunidade de participação pública, porém fornece
as bases para tal. Este nível é a base do espectro, pois a IAP2
compreende que a participação necessita da informação para
a tomada de decisão. Seria então papel da empresa oferecer
o que o consumidor necessita para compreender a questão e
chegar a suas próprias conclusões. Já o nível da consulta é a

12
oportunidade básica para contribuição do consumidor para
uma decisão. Essencialmente, envolve o envio de feedback sobre
planos, ideias, opções ou desafios. A promessa aqui é ouvir e
reconhecer as questões levantadas, mas não necessariamente
atuar sobre elas. A consulta pode envolver pouca interação
(por exemplo, pesquisas ou envios escritos) ou pode ser mais
interativa (por exemplo, grupos de foco, reuniões públicas).
A consulta diz respeito, em grande parte, à comunicação
unidirecional - o feedback da comunidade - embora ainda
exista um elemento de comunicação bidirecional através da
promessa de “fornecer respostas sobre como a contribuição do
público influenciou a decisão”.
O terceiro nível do espectro é o envolvimento. O objetivo é atuar
em conjunto com o consumidor durante todo o processo para
garantir que este seja compreendido e considerado na tomada
de decisão. No nível da colaboração, o quarto do espectro,
temos foco na capacidade mútua de compartilhamento
com o objetivo de incorporar recomendações da sociedade.
Isso implica um processo interativo, com ênfase em trocas
de mão dupla. Embora a tomada de decisão ainda esteja na
organização, há muito mais contribuições da comunidade. Por
fim, no quinto nível temos o “empoderamento”, onde a decisão
final é de fato colocada nas mãos do público.
O Alan é um unicórnio francês de seguro saúde com um caso
bem interessante que pode ilustrar esse fundamento. Em 2020,
a CNIL, Comissão Nacional de Informática e das Liberdades da
França, concentrou suas ações de controle nos dados sensíveis
de saúde, que são objeto de proteção específica. Em novembro
do mesmo ano, o Alan recebeu uma notificação e seria
auditado por esta comissão. Em um artigo bem transparente, o
Co-Fundador e CTO, Charles Gorintin, discorre sobre todos os
passos e acontecimentos dessa audição desde sua notificação, e,
em dado momento, admite que a startup não estava aplicando
as regras que ela mesma estabeleceu em termos de período
de retenção de dados de contas criadas por usuários que, em
última análise, não tinham seguro. A partir disso, a startup se
comprometeu em resolver essa irregularidade, sabendo que a
CNIL poderia contatá-la a qualquer momento para fiscalização.
No artigo, o CTO reconhece as falhas do processo e explica o

13
passo a passo de como a startup está resolvendo o problema:
1. consideração de todos os erros; 2. apresentação de um novo
contrato para todos os clientes com as mudanças no produto;
3. Adicionar as novas medidas em novos contratos; 4. continuar
a pesquisar as possíveis melhoras de tratamento de dados no
produto. Além de ter exposto abertamente todos os problemas
dessa ação, a startup tem uma versão muito simples dos seus
termos de privacidade de forma clara, precisa e verdadeira;
com um espaço especial usuários enviarem feedbacks e
reclamações.

Recomendação:
Implemente e torne pública no site da empresa uma política
de privacidade e política de cookies seguindo princípios
consolidados que objetivam colocar o consumidor no centro
da governança dos dados.

DO 5: TRANSFORME SEUS DADOS EM

SERVIÇOS E PRODUTOS (E VICE-VERSA)

Fundamento legal:
A percepção de que dados pessoais têm valor está
transformando a indústria e a legislação. A LGPD prevê como
titular dos dados o usuário, não as empresas. De agora em
diante, e para efeitos de lei, o proprietário dos dados é toda
“pessoa natural a quem se referem os dados pessoais que são
objeto de tratamento” (art. 5º, inciso V, LGPD).
Esse shift na percepção pública tem reverberações
interessantes para o mundo dos negócios. Muitas
empresas começam a investigar maneiras de monetizar
seu negócio a partir do dado do usuário. Uma dessas
empresas é a Scroll, por exemplo, que se baseia no
reconhecimento do valor de seus dados. O método da

14
Scroll acaba com anúncios em sites de notícias parceiros
a partir de um redirecionamento de cookies de terceiros. O
usuário faz login no Scroll, define um cookie e, em seguida,
os sites que você visita vêem esse cookie especial e não
veiculam anúncios. Não é nem um bloqueio de anúncios, eles
simplesmente não são veiculados.
O Scroll é uma solução simples para que sites ganhem direito
sem a necessidade de veicular anúncios ou por assinatura
própria. A empresa rastreia os sites que você visitou e divide
automaticamente o pagamento entre esses sites parceiros.
Outra aplicação de dados de usuários é para a análise preditiva,
técnica analítica avançada que usa inteligência artificial
para fazer projeções que impactam negócios. O cross selling,
estratégia para estimular clientes a acrescentar produtos e
serviços complementares à compra, é prática central nessa
lógica.

Recomendação:
Implemente metodologias para que os dados sejam aplicados
no desenvolvimento de produtos e serviços. Inversamente, crie
também produtos e serviços com objetivo de coletar dados
necessários para a evolução da operação.

15
5 DON’Ts
As armadilhas mais perigosas da era dos dados e como evitá-las.

16
DON’T 1: COLETAR DADOS PESSOAIS
SENSÍVEIS COMO SE FOSSEM DADOS
PESSOAIS COMUNS

Fundamento legal:
Na LGPD, dados pessoais são “informações relacionadas à
pessoa natural identificada ou identificável” (art. 5º, inciso I,
LGPD). Como exemplo de dado pessoal identificado temos o
CPF, RG, nome completo e assim por diante. Dados com os
quais é possível identificar unicamente o consumidor. Os dados
pessoais identificáveis dizem respeito a nomes genéricos,
tatuagens, geolocalização gerada por dispositivos móveis,
endereço IP da conexão usada e afins. Ou seja, informações
com as quais é possível identificar um usuário, mas onde há
necessidade de cruzamento com outros dados.
Já os dados pessoais sensíveis são aqueles potencialmente
discriminatórios, identificados como “origem racial ou étnica,
convicção religiosa, opinião política, filiação a sindicato
ou a organização de caráter religioso, filosófico ou político,
dado referente à saúde ou à vida sexual, dado genético ou
biométrico, quando vinculado a uma pessoa natural” (art. 5º,
inciso II, LGPD). Nesse sentido, dados pessoais jamais podem
ser usados para discriminar ou promover abusos contra os
seus titulares (art. art. 6º, inciso IX, LGPD).
Surge, então, o problema da tomada de decisão automatizada
baseada na geração de padrões a partir de bancos de dados
enormes que criam decisões classificatórias nas empresas
de mais variados portes. A Amazon, por exemplo, descobriu
recentemente que sua Inteligência Artificial para contratação
de equipe vinha demonstrando viés contra mulheres. O
motivo? No passado, a empresa contratava mais homens do
que mulheres e esse padrão informou o resultado do algoritmo.

17
O meio mais barato de se evitar esse tipo de problema é evitar
a coleta de dados sensíveis desnecessários à finalidade do
tratamento. Assim, as informações que irão alimentar os
algoritmos se tornam mais confiáveis e resilientes a operações
complexas.

Recomendação:
Reduza a coleta de dados pessoais sensíveis ao mínimo para
evitar custos de operação e prejuízo. Reveja os fluxos de dados
pessoais sensíveis nos principais processos de negócio da
empresa com o objetivo de substituir o tratamento de um dado
sensível por um dado pessoal “comum”. Por exemplo, para fins
do estabelecimento de uma dieta de pacientes em hospital, ao
invés de se coletar a informação de religiosidade, optar pela
coleta de informações relacionadas à restrição alimentar.
Além disso, crie mecanismos para garantir que a tomada de
decisão não considere os dados sensíveis, como os que tratam
sobre origem racial ou étnica, convicção religiosa, opinião
política, filiação a sindicato ou a organização de caráter
religioso, filosófico ou político, dado referente à saúde ou à
vida sexual e dado genético ou biométrico.

DON’T 2: OPERAR UM ÚNICO BANCO DE

DADOS OU SILOS INFORMACIONAIS QUE
NÃO SE INTEGRAM

Fundamento legal:
Os princípios da prevenção (art. 6º, inciso VIII, LGPD) e da
segurança (art. 6º, inciso VII, LGPD) fundamentam a necessidade
de as empresas adotarem processos voltados a proteger os
dados pessoais de incidentes de privacidade. Esta orientação
legal deve ser entendida sob duas perspectivas. A primeira é
evitar a ocorrência em si dos incidentes, a segunda perspectiva
é reduzir os danos ao titular na hipótese da manifestação do
incidente.
18
Em janeiro de 2021 foi descoberto pelo dfndr lab, laboratório de
cibersegurança da Psafe, o maior vazamento de dados pessoais
da história do Brasil, afetando 220 milhões de brasileiros. Um
grande problema que contribuiu para a magnitude do dano
aos titulares causado por esse incidente de privacidade refere-
se a equivocada determinação legal da Lei do Cadastro Positivo
(Lei 12.414/11) em concentrar os dados de consumidores em
poucas empresas detentoras de grandes bancos de dados
centralizados.
Nesse sentido, apresenta-se como uma boa prática de
segurança da informação fragmentar uma base dados única
em diferentes silos informacionais para que em caso de
vazamento de um silo, os demais não sejam afetados. Como o
petróleo, os dados podem vazar, por isso, assim como os navios
petroleiros fragmentam em diferentes compartimentos o óleo
transportado, as empresas devem fragmentar em diferentes
silos informacionais os dados armazenados.

Recomendação:
Priorize a integração de múltiplas bases ao invés da criação de
uma única base de dados. Dados centralizados concentram
o risco, atraem ataques e vazamentos, enquanto a falta de
integração entre múltiplos silos de informação é receita para
ineficiência e burocracia.

19
DON’T 3: TOMAR DECISÕES SEM
ANALISAR DADOS

Fundamento legal:
O princípio da qualidade dos dados (art.6º, inciso V, LGPD) se
refere à precisão dos dados, o quão claros eles estão diante
do tratamento e se estão atualizados (art. 43, § 1º, CDC). Esse
princípio é especialmente importante para assegurar que as
decisões que sejam tomadas com base nos dados do titular
sejam assertivas e o representem corretamente, evitando
decisões equivocadas em razão de, por exemplo, um banco de
dados desatualizado.
Pode-se dizer que este princípio é uma faca de dois gumes, pois
reflete e fundamenta o direito de o titular exigir a atualização
de seus dados, assim como opera como uma justificativa
para a empresa manter sua base atualizada e enriquecê-la
coletando mais informações. De todo modo, uma empresa que
atue com um banco de dados de qualidade, tende a ganhar
competitividade estratégica no mercado.
A manutenção de banco de dados pode ser necessária ao longo
da execução dos contratos, devendo a empresa garantir o seu
armazenamento seguro e de acordo com as finalidades do
tratamento (art. 6º, VII e 46) dos dados.
Ademais, podem existir justificativas para a manutenção de
banco de dados após o término do tratamento, a saber: para o
controlador cumprir obrigações legais/regulatórias (art. 16, I,
LGPD); (ii) para o estudo por órgão de pesquisa, anonimizando
os dados, sempre que possível (art. 16, II, LGPD); (iii) para uso
exclusivo do controlador, vedado seu acesso por terceiro, e
desde que anonimizados os dados (art. 16, IV, LGPD).

20
Destaca-se que, enquanto a ANPD não estabelecer o regime
de adequação progressiva dos bancos de dados constituídos
até a data de entrada em vigor da legislação (art. 63, LGPD), é
possível sustentar que eventuais desconformidades não sejam
submetidas à incidência das sanções previstas no art. 52 da
LGPD.

Recomendação:
Priorize a tomada de decisão baseada em dados, tendo em
vista a melhora significativa na confiabilidade da sua base a
partir da adoção dos princípios da LGPD.
Nesse contexto, o processo de tomada de decisão também
precisa sofrer um shift. Se tornar menos exaustivo, mais
iterativo. Menos impositivo, mais responsivo. Não à toa,
dados se tornaram a bússola crucial para lideranças. Ainda
assim, um estudo da Deloitte com mais de 1000 executivos
de grandes corporações indica que há ainda hoje uma lacuna
impressionante entre as lideranças que desejam usar dados
para tomar decisões e as que realmente usam. 64% dos
entrevistados disseram que é importante ou muito importante
tomar decisões orientadas por dados, mas apenas 34% colocam
suas empresas nas duas categorias principais da escala de
maturidade da IDO e, dessas, apenas 10% se enquadram na
categoria mais alta. Os 63% restantes estão cientes da análise,
mas carecem de infraestrutura, ainda estão trabalhando em
silos ou expandindo os recursos de ad hoc analytics para além
dos silos11.

11 Disponível em:
https://www2.deloitte.com/us/en/insights/topics/analytics/insight-driven-organization.

21
html.
DON’T 4: ACHAR QUE A ESTRUTURA DAS
EQUIPES DA SUA ORGANIZAÇÃO PODE
CONTINUAR IGUAL

Fundamento legal:
A adequação empresarial à LGPD diz respeito antes de tudo ao
estabelecimento de um conjunto consistente de mecanismos
de comunicação interna – entre os diversos departamentos
e áreas das empresas envolvidas – e externa – com vistas a
operacionalizar o diálogo informado com o público a respeito
do tratamento de dados pessoais.
Nos termos do inciso VIII do art. 5º da LGPD, o encarregado é a
“pessoa indicada pelo controlador e operador para atuar como
canal de comunicação entre o controlador, os titulares dos
dados e a Autoridade Nacional de Proteção de Dados (ANPD)”.
O papel do encarregado (DPO) é o de servir como ponto
centralizador de todas as demandas – internas e externas
– relacionadas à proteção de dados, razão pela qual deve
coordenar e supervisionar os departamentos envolvidos no
âmbito da resposta às solicitações recebidas, das atividades
de mapeamento e auditoria de tratamento de dados, das
atividades de treinamento e formação de pessoal, dentre
outros processos e tarefas relacionados à aplicação da LGPD.
Por conseguinte, é necessário introduzir na estrutura
organizacional um DPO, bem como recomenda-se a constituição
de um comitê interdisciplinar interno que promova a interação
entre os diversos departamentos da empresa. A indicação
desses sujeitos é determinante mesmo diante do incipiente
trabalho da Autoridade Nacional de Proteção de Dados (ANPD).

Recomendação:
Nomeie um DPO e crie mecanismos de governança entre
equipes para facilitar o cumprimento das previsões da área
jurídica e de segurança da informação.

22
DON’T 5: FICAR PRESO AO CONSENTIMENTO

Fundamento legal:
A LGPD foi construída com a racionalidade de se precisar
enquadrar todo e qualquer tratamento em uma hipótese
autorizada pela lei. Considerando que a legislação define dados
pessoais e tratamento de maneira bastante ampla, as diversas
bases legais para o tratamento de dados representam a grande
novidade que a norma traz e, talvez, o seu grande desafio em
termos de estruturação jurídica e estratégica.
O instituto mais conhecido e utilizado até o momento é o
consentimento, talvez em razão de esta ter sido a única forma
prevista para tratar dados pelos incisos VII e IX do art. 7º do
Marco Civil da Internet (Lei 12.965/14).
De todo modo, é certo que, se exigido o consentimento para todo
e qualquer tratamento, haveria uma exagerada burocratização
das atividades na sociedade contemporânea. Por isso, a LGPD
autoriza outras hipóteses de tratamento, considerando que a
base legal mais adequada deve ser definida a partir da categoria
do dado pessoal e da finalidade do tratamento.
Assim, pode-se dizer que, ao todo, existem 10 possibilidades
para o tratamento de dados “comuns” (art. 7º, incisos I a X,
LGPD) e 8 para dados sensíveis (art. 11, incisos I e II, LGPD), que
devem ser consideradas ao longo do processo de adequação da
empresa à lei - em especial na fase de mapeamento de dados.
Nos casos em que o consentimento for a opção mais adequada
aos tratamentos, cumpre esclarecer que termos de uso
genéricos não são mais suficientes e que o consentimento
pode ser revogado a qualquer momento (art. 8º, parágrafo
5º, LGPD). Assim, mediante manifestação expressa, o titular
poderá, por um procedimento gratuito e facilitado, revogar seu
consentimento. Destaca-se que isso não afeta o tratamento
realizado antes da revogação – a não ser que o titular peça a
eliminação.

23
Uma empresa que já facilita operações de exclusão de dados
para sua base de usuários é a Mine, que permite que usuários
descubram quais dados as empresas têm sobre seus clientes e
facilita o controle de sua pegada digital. Com a Mine, o usuário
decide onde seus dados devem ou não estar. Não quer que a
empresa X tenha seu dado? Avise à Mine e deixe que ela entre
em contato com a empresa para pedir a remoção.

Recomendação:
Avalie todas as hipóteses que legitimam o tratamento de
dados pessoais na LGPD e aplique a que melhor se adequar
às finalidades da sua operação - esta ação normalmente é
feita na fase de mapeamento de dados, seguido da construção
de um plano de adequação da empresa à LGPD. Lembre-se
que na maior parte dos casos, o consentimento pode ser uma
armadilha, por ser revogável e exigir investimentos no controle
de sua sua coleta, gestão e em mecanismos para o exercício de
direitos do titular.

24
SOBRE AS
ORGANIZAÇÕES
TEMPLO.cc

TEMPLO.cc é uma rede de inovação com o foco em trazer

para o presente o futuro do trabalho e dos negócios. A partir
de serviços como consultoria, educação e corporate venture,
olha para a necessidade de cada cliente, se adapta para
ajudar a prosperar na transformação e crescer frente às
mudanças de mercado, novas tecnologias e novos hábitos de
consumo. Estruturado em 2012 como coworking e escola de
inovação e empreendedorismo pioneiros no país, o Templo.cc
atuou ao longo da última década no acolhimento e apoio ao
crescimento de quase 2 mil startups, tendo sido responsável
por projetos como a MALHA.CC, o JOURNEY e a gestão do
RJ Criativo (programa de incentivo a inovação do Estado do
Rio incluindo incubadora, escola e coworking). O TEMPLO.cc
mistura os conhecimentos sólidos em consultoria de negócios
com a vivência dentro do ecossistema de startups para trazer
agilidade, transformação e inovação acionável para grandes
organizações como brMalls, Globosat, Mongeral Aegon,
Arezzo&Co e Banco Modal.

comunidade@templo.cc | Tel: (21) 99195-6031

25
ERNESTO TZIRULNIK ADVOCACIA

Fundado em 1984, Ernesto Tzirulnik Advocacia (ETAD) é

reconhecido pelos principais guias internacionais como um
dos mais importantes serviços de advocacia especializada em
direito do seguro. Além da liderança como butique de direito
do seguro, ETAD atua em casos de grande complexidade
que envolvem responsabilidade civil, contratos em geral,
societário, ambiental e concorrencial. Presta serviços de
contencioso judicial e administrativo e arbitragens, consultoria
e assessoria para a elaboração e revisão de contratos,
formulação de estratégias, solução e prevenção de posições
de responsabilidades e conflitos. Seus clientes são sociedades
dos mais diversos setores da atividade econômica (siderurgia,
química, farmacêutica, energia, construção civil, têxtil, logística,
indústria aeronáutica e automobilística, alimentação etc.),
assim como bancos, seguradoras, resseguradoras, corretoras
de seguro e de resseguro. O escritório fomenta a pesquisa
científica e políticas públicas junto ao Instituto Brasileiro de
Direito do Seguro – IBDS e incentiva a cultura com o Projeto
Ceará 202.

etad@etad.com.br |Tel: (11) 3829-0202

GOSTOU DESTE CONTEÚDO?

PRESSIONE O ÍCONE PARA ACESSAR

ETAD

WWW.ETAD.COM.BR

TEMPLO

COMUNIDADE@TEMPLO.CC
WWW.TEMPLO.CC