LGPD PAR A EMPRES A S

30 anos

LGPD PARA
EMPRESAS

www.atheniense.com
www.atheniense.com
2 LGPD PA R A EMPRES A S

SÃO PAULO

Avenida Paulista 1079,

Torre João Salem, 8º andar
São Paulo - SP
55 11 99901-8128

BELO HORIZONTE

Avenida Afonso Pena,

4273, 4º andar
Belo Horizonte - MG
55 31 3318-1414

BRASÍLIA

SCS, Quadra 09, Bloco C,

Torre C, 10º andar
Comercial Sul, Brasília
55 61 99622-8128

www.atheniense.com
 LGPD PAR A EMPRES A S
3

www.atheniense.com
Photo by Sean Pollock on Unsplash
4 LGPD PA R A EMPRES A S

Sobre o Alexandre Atheniense Advogados

Com a sanção da Lei Geral de Proteção de Dados, o que antes era considerado boas prá-
ticas agora passará a ser obrigação. A equipe de Alexandre Atheniense Advogados está
preparada para guiar empresas de todos os tamanhos no processo de adequação à LGPD.

A seguir, algumas competências envolvidas:

Proteção de dados pessoais:

Avaliação das lacunas e riscos jurídicos e operacionais sobre a proteção de dados pessoais,
elaboração de um plano de ação para implantação de medidas visando a conformidade
legal, revisão de contratos, regulamentação interna, relativa à privacidade e proteção de
dados, medidas de enfrentamento dos incidentes, consultoria junto a desenvolvedores
de softwares para adequações sistêmicas e de processos internos necessárias à confor-
midade com a LGPD, GDPR e outras normas de proteção de dados.

Segurança cibernética
Avaliação e elaboração de um plano de ação para suprir as lacunas jurídicas, sistêmicas
e estratégicas quanto à segurança da informação, tais como: elaboração de regulamen-
tação interna, obrigações legais, políticas e procedimentos internos quanto ao uso das
informações digitais que revelem fatores de risco jurídico, e a necessidade de adoção de
medidas para enfrentamento de incidentes de segurança da informação.

Reputação digital
Análise e preservação de provas em conformidade legal de conteúdos gerados por tercei-
ros como comentários, críticas falsas, fake news, perfis falsos e ataques ofensivos que fo-
rem divulgados e indexados com relevância nas principais ferramentas de busca e redes
sociais, que revelem fatores de risco e necessidade de adoção de medidas extrajudiciais
ou judiciais para proteger a reputação da organização na maior brevidade possível.

Compliance
Elaboração e implantação de um conjunto de medidas para fazer cumprir as normas le-
gais e regulamentares, políticas, regras e diretrizes estabelecidas para o negócio e para
as atividades da organização, bem como, evitar, detectar e tratar qualquer desvio ou des-
conformidade.

Governança Digital Corporativa

O somatório das consultorias jurídicas anteriores forma o escopo da Governança Digital
Corporativa. Em outras palavras, trata-se de assessoria jurídica contínua para mutuamen-
te fiscalizar os mecanismos de controle sobre todas as atividades da organização envol-
vendo o tratamento de dados pessoais, segurança cibernética, incidentes de reputação
digital e compliance, bem como, o breve enfrentamento jurídico de incidentes nessas
áreas para reduzir os danos inerentes.

www.atheniense.com
 LGPD PAR A EMPRES A S
5

O que você vai

aprender neste guia
Sobre o Alexandre Atheniense Advogados 4

O que você vai aprender neste guia? 5

LGPD para empresas 6

1. Os termos mais importantes para entender a LGPD 8

2. O que os empresários precisam saber sobre a LGPD 10

3. Proteção de dados pessoais agora tem

um valor e a irresponsabilidade tem um preço 12

4. O que vai mudar na rotina das empresas 15

5. O que as pessoas podem fazer com os seus

dados pessoais tratados pela empresa? 16

6. O espírito da lei: a LGPD e seus princípios 17

7. Os fundamentos legais do tratamento dos dados pessoais 20

8. Mãos à obra: 10 passos para executar um plano

para começaro trabalho de adequação à LGPD 23

9. A proteção de dados pessoais como pilar

da Governança Digital Corporativa 30

10. Conclusão 34

www.atheniense.com
6 LGPD PA R A EMPRES A S

LGPD para empresas

Alexandre Atheniense
Sócio fundador de Alexandre Atheniense Advogados1

E mpresários precisam estar atentos aos menores detalhes da sua

organização e da vida de seus colaboradores e fornecedores so-
bre assuntos societários, financeiros, negócios e outros mais.

Nessas atividades, a empresa deve resguardar sigilo. A ética profissio-

nal é uma questão de sobrevivência.

O problema é que guardar um segredo nem sempre é uma escolha.

Uma empresa não pode ser forçada a revelar seus segredos de negócio,
mas não se pode dizer o mesmo dos computadores.

Google, Visa, o Pentágono, o Tribunal Superior Eleitoral no Brasil, além

de vários bancos e bases de dados públicas protegidas com sistemas
considerados extremamente seguros já foram invadidos, expondo in-
formações pessoais de centenas de milhões de pessoas.

Isso sem mencionar a extensa lista de personalidades que já tiveram

sua intimidade exposta online. Quem pode dizer que está seguro neste
mundo?

Empresários também estão na mira. Já foi há muito tempo a era ro-

mântica dos hackers, quando garotos invadiam computadores pelo
prazer de superar o desafio de acessar ambientes protegidos.

O cybercrime tornou-se uma atividade extremamente lucrativa e em

franco crescimento, porque ainda encontra um mundo desprotegido,
que guarda tesouros digitais com cadeados frágeis e senhas previsí-
veis.

1 Colaboraram neste guia Lucas Balsemão, Pedro Resende, Alexandre Secco e Gabriel Attuy

www.atheniense.com

Embora não se trate do assunto
abertamente, aqui mesmo no
Brasil já tivemos vários casos
de empresas que tiveram seus
computadores acessados sem
autorização, dados sequestrados
mediante pedidos de resgate,
sob ameaça de destruição das in-
formações e divulgação de docu-
mentos sigilosos na internet.
Qualquer empresa é um grande
depósito de informações sensí-
veis e de grande valor, seja nos
emails trocados internamente
pelos sócios ou na documenta-
ção arquivada: detalhes sobre a
esfera privada de clientes e cola-
boradores, patentes, contratos
comerciais, preços e valores, etc.
O potencial de dano decorren-
te da exposição pública dessas
informações é incalculável. É
nesse contexto a enorme im-
portância para os empresários a
Lei Geral de Proteção de Dados
(LGPD), Lei nº 13.709, sanciona-
da em agosto de 2018 no Brasil
e com vigência a partir de 14 de
agosto de 2020.
O período de adequação pode pa-
recer longo, mas não é. O “dever
de casa” é complexo e precisa co-
meçar desde já, sobretudo, para
as empresas que sejam alvo da
GDPR - General Data Protection
www.atheniense.com
LGPD PAR A EMPRES A S
7
Regulation, vigente desde 25 de
maio de 2018, ou de outras leis
de proteção de dados interna-
cionais, em decorrência do tra-
tamento de dados pessoais de
colaboradores ou clientes es-
trangeiros.
A LGPD dita normas sobre tra-
tamento de dados pessoais,
de pessoas físicas, o que atin-
ge diretamente advogados que
atuam em qualquer área do Di-
reito onde ocorra a necessidade
de lidar com informações des-
ta natureza. Além disso, coloca
em evidência a necessidade de
seguir várias obrigações legais,
que antes eram apenas boas prá-
ticas no trato da informação. As
punições em caso de desconfor-
midade legal são pesadíssimas...
Podem variar entre punições ad-
ministrativas, condenações judi-
ciais, multas contratuais e, a pior
delas, um considerável impacto
na reputação profissional. As
multas são pesadíssimas poden-
do chegar a 50 milhões de reais
por infração.
O cumprimento das regras é
obrigatório e vale para empre-
sas de todos os tamanhos, de
uma microempresa numa cidade
do interior, a uma grande e lu-
8 LGPD PA R A EMPRES A S

crativa sociedade anônima.

A proposta deste guia é apresentar de forma dirigida especialmente

para empresários ou colaboradores das empresas que estarão envolvi-
dos sobre o tema, um roteiro com dez pontos de atenção, para execu-
ção passo a passo, de forma prática, concisa, com base na nossa expe-
riência profissional em diversas consultorias jurídicas em andamento.

1. Os termos mais importantes

para entender a LGPD
Agentes de tratamento
O controlador da base de dados: pessoa física ou jurídica, de direito pú-
blico ou privado, responsável pelas decisões referentes ao tratamento
de dados pessoais.

O operador da base de dados: pessoa física ou jurídica que realiza o

tratamento de dados pessoais estritamente conforme as obrigações e
finalidades definidas pelo controlador.

Anonimização
A lei define o que são dados anonimizados e também o processo de
anonimização. Um dado anonimizado é aquele que não permite identi-
ficar o titular, por ter sido tratado de alguma forma, como criptografia,
ou quando são excluídas informações de modo a impedir associação
direta ou indireta a uma pessoa. A lei define que dado anonimizado é:
“dado relativo a titular que não possa ser identificado, considerando a
utilização de meios técnicos razoáveis e disponíveis na ocasião de seu
tratamento”.

www.atheniense.com
 LGPD PAR A EMPRES A S
9

Autoridade Nacional de Proteção de Dados

Órgão da administração pública responsável por zelar, implementar e
fiscalizar o cumprimento desta Lei.

Dados pessoais
Segundo a lei, é uma “informação relacionada à pessoa natural identi-
ficada ou identificável”. Tudo que possa identificar direta ou indireta-
mente uma pessoa como nome, números de documentos, fotografias,
registros biométricos, etc; ou, indiretamente, dados que podem ser
cruzados, ou que podem levar a informações, como um email corpora-
tivo, ou um endereço IP.

Dados sensíveis
Aqueles que podem resultar em danos imediatos caso sejam divulga-
dos indevidamente, Seu tratamento requer cuidados especiais e eles
só podem ser solicitados para finalidades específicas. Entre eles, estão
os dados sobre: origem racial ou étnica, convicção religiosa, opinião po-
lítica, filiação a sindicato, filiação religiosa, sobre a saúde, sobre a vida
sexual, dados genéticos, informações biométricas.

Dados de crianças e adolescentes

O tratamento de dados de crianças e adolescentes também requer cui-
dados especiais e só pode ser realizado com o consentimento específi-
co de um responsável.

Encarregado de
tratamento de dados pessoais
Pessoa indicada pelo controlador para atuar como canal de comunica-

www.atheniense.com
10 LGPD PA R A EMPRES A S

ção entre o controlador, os titulares dos dados e a Autoridade Nacional

de Proteção de Dados.

Titular dos dados pessoais

O titular dos dados é sempre uma pessoa física. Nos termos da lei: “pes-
soa natural a quem se referem os dados pessoais que são objeto de trata-
mento” (leia a seguir o significado de “tratamento”).

Tratamento de dados pessoais

Uma das definições mais importantes preceituadas na lei é a do tra-
tamento de dados. Tratamento é a expressão usada na lei que serve
como um guarda-chuva para uma série de procedimentos envolvendo
dados. Exemplos de ações de tratamento:

.. .. ..
.. .. ..
Coleta Transmissão Controle
Produção Distribuição Modificação

.. .. ..
Recepção Processamento Comunicação
Classificação Arquivamento Transferência

. .
Utilização Armazenamento Difusão
Acesso Eliminação Extração
Reprodução Avaliação

2. O que os empresários
precisam saber sobre a LGPD
Toda longa jornada começa com um primeiro passo. O processo de ade-
quação à LGPD será mais fácil se todos os escritórios estiverem familia-
rizados com os conceitos da lei, seus objetivos e peculiaridades. Lista-
mos 13 pontos essenciais sobre a lei, que dizem respeito diretamente
as empresas.

www.atheniense.com
 LGPD PAR A EMPRES A S
11

1. A adequação à LGPD não é “só um problema do pessoal de

informática”. Como dizem os especialistas, é transversal, envol-
ve todos os níveis de decisão e operação, em todas as áreas da
empresa, da base ao topo.

2. A LGPD é obrigatória para todas empresa de todos os ta-

manhos.

3. As penalidade são muito pesadas para quem cometer infra-

ções. As multas,conforme a gravidade, podem chegar a 2% do
faturamento líquido anual, limitadas a 50 milhões de reais por
infração, podendo ser aplicadas cumulativamente.

4. O processo de adequação é relativamente complexo e envol-

ve uma ampla revisão das políticas de segurança e adoção de
novos procedimentos.

5. A lei já foi aprovada e entra em vigor em agosto de 2020.

6. A lei tem uma abrangência ampla, vale para o tratamento de

dados realizado no Brasil ou quando os dados forem coletados
de pessoas no Brasil.

7. A LGPD vale para tratamento de dados digitais, ou não, fora,

ou dentro da internet.

8. A lei abrange apenas dados de pessoas físicas.

9. Em caso de vazamento, ou quando for solicitado, cabe ao

controlador demonstrar que os dados foram obtidas segundo
as regras da LGPD.

10. O titular tem o direito de ter acesso aos dados, exigir corre-
ções e revogar o consentimento de uso.

11. Em caso de vazamento ou uso indevido dos dados é obri-

gação do controlador da base de dados pessoais tomar as me-

www.atheniense.com
12 LGPD PA R A EMPRES A S

didas para mitigar os danos, informar sobre o vazamento e res-

ponder pelo prejuízo causado.

12. O objetivo da lei é assegurar a titularidade de dados pes-

soais e garantir os direitos fundamentais de liberdade, intimi-
dade e privacidade, além dos demais previstos na LGPD.

13. Caberá às empresas, ou aos chamados “agentes de trata-

mento” um inventário detalhado de como a lei interfere em
suas atividades.

3. Proteção de dados
pessoais agora tem um valor e a
irresponsabilidade tem um preço
A economia de dados pessoais tem tomado proporções cada vez maio-
res no mundo contemporâneo. Chamados de “O Novo Petróleo”, os da-
dos pessoais têm enorme potencial para aumentar a produtividade de
atividades já existentes e de criar modelos de negócios completamente
novos. Para muitos especialistas, estamos entrando na era da economia
de dados.

Dados sobre reservas de passagens e hotéis revelam para onde vamos;

pagar o supermercado com cartão permite saber como nos alimenta-
mos; uma ficha de atendimento médico mostra nosso estado de saúde.
Há vários exemplos de uso indevido desses tipos de dados. Na esfera
pública, a coleta de informações de perfis pessoais em redes sociais per-
mitiu a interferência no plebiscito que decidiu pela saída do Reino Uni-
do da Comunidade Europeia e na campanha pela eleição do presidente
Donald Trump, nos Estados Unidos.

No âmbito pessoal, já se sabe que empresas de seguros e instituições

financeiras cruzam dados pessoais para recusar pedidos de crédito e ne-

www.atheniense.com

gar reembolso de despesas com
saúde. Candidatos são eliminados
de processos de seleção a partir
de informações que eles próprios
forneceram em suas redes so-
ciais. A cada dia, aparecem novos
detalhes de como o Google, o Fa-
cebook e outras empresas de tec-
nologia vêm atravessando todos
os limites éticos para transformar
nossos dados pessoais em negó-
cios.
É equivocado pensar que o
projeto de adequação à LGPD
é mais uma atividade da área
de TI. Trata-se, na verdade, de
um dos pilares da Governança
Digital Corporativa.
Portanto, é obrigação dos mem-
bros do board participar direta-
mente das decisões sobre o as-
sunto pois, caso ocorram sanções,
as responsabilidades ou even-
tuais multas não recairão sobre
os colaboradores da área ope-
racional, mas na figura daqueles
que exercem o poder diretivo.
Engana-se quem compreende
que o processo de adequação ou
a gestão corporativa digital de-
vam ser exercidos apenas como
meio de reduzir riscos relaciona-
www.atheniense.com
LGPD PAR A EMPRES A S
13
dos ao tratamento de dados. A
abordagem deve ser ampla, pois
sabemos que se trata de uma mu-
dança cultural e multidisciplinar
nas empresas envolvendo a parti-
cipação direta de setores estraté-
gicos como recursos humanos, ju-
rídico, tecnologia e segurança da
informação, marketing, controla-
doria, compliance entre outros.
A Lei Geral de Proteção de Dados
pode ser comparada, em vários
aspectos, ao Código de Defesa do
Consumidor. São criados uma sé-
rie de direitos e deveres para pes-
soas e empresas que podem ter
consequências profundas no mo-
delo e organização corporativa
de um negócio. Assim como toda
nova regulação, traz desafios e
oportunidades para as empresas
que se adequarem de imediato.
Com a vigência da LGPD, a pro-
teção de dados será encarada
como um bem imaterial valioso e
quantificável. Os dados pessoais
adquiriram valor próprio. Por con-
sequência, o risco e a responsabi-
lidade serão compartilhados com
colaboradores e fornecedores
que tratam dados pessoais, mas
as penalidades recairão sobre o
board.
Pense nisso! É hora de começar...
14 LGPD PA R A EMPRES A S

3.1. Aspectos positivos: diferencial de

mercado, competitividade, confiança,
transparência
As leis de proteção de dados pessoais já estão presentes em mais de cem
países. A GDPR e a LGPD são leis transnacionais, ou seja, para que uma
empresa brasileira possa expandir seus negócios destinados à União Eu-
ropéia, é necessário estar em conformidade com ambas legislações. Por-
tanto, a adequação imediata das empresas brasileiras às leis de proteção
de dados é mandatória e se torna vantagem competitiva de mercado, seja
ele externo ou interno.

3.2. Aspectos negativos: incidentes e

penalidades
Vivemos na era dos negócios nas plataformas digitais. Vazamentos de
dados são noticiados continuamente. As bases de dados pessoais das
empresas são atrativos tanto para o mercado lícito quanto para o mer-
cado ilícito de informações, os quais lucram a partir da obtenção e re-
venda de tais bases de dados para finalidades distintas daquelas para
as quais os cidadãos cederam as informações.

Nesse contexto, um incidente de segurança pode acarretar diversas

penalidades aplicáveis mesmo antes da vigência da LGPD, mediante a
atuação do Ministério Público. No contexto de vigência da LGPD, quem
ficará encarregado de fiscalizar e aplicar as sanções administrativas
será a Autoridade Nacional de Proteção de Dados. Essas sanções admi-
nistrativas compreendem a aplicação de multas, entre outras medidas,
veja:

. Advertência, com
indicação de prazo para
adoção de medidas
corretivas;
. Multa simples, de até 2%
do faturamento da empresa
ou conglomerado no Brasil,
limitada, no total, a R$ 50
milhões por infração;

www.atheniense.com
 LGPD PAR A EMPRES A S
15

. Multa diária, observado o . Bloqueio dos dados

.
limite acima; pessoais a que se refere
a infração até a sua

.
Publicização da infração regularização;
após devidamente apurada e
confirmada a sua ocorrência, Eliminação dos dados
o que pode acarretar severos pessoais a que se refere a
danos reputacionais; infração.

Além das penalidades administrativas, existem os riscos judiciais de-

correntes de ações indenizatórias como consequência do uso indevido
dos dados, que podem ser movidas pelo Ministério Público e pelos titu-
lares dos dados tratados.

Por último e, talvez a pior consequência, está o dano reputacional.

Toda reputação empresarial é construída ao longo de anos de atuação
e qualquer abalo a essa reputação pode ter efeitos catastróficos nas
vendas e no faturamento. Nesse sentido, a empresa que estiver em
conformidade, terá todas as obrigações legais atendidas, o que evitará
aplicações de sanções mais pesadas, além de contar com o acompanha-
mento de uma equipe especializada e treinada, pronta para responder
a esses desafios e evitar uma exposição indevida e negativa do nome
da empresa.

4. O que vai mudar

na rotina das empresas
Será necessário abandonar velhos hábitos e adquirir outros novos. O
caminho da conformidade à LGPD não tem uma reta de chegada. É um
processo contínuo, portanto, não espere encerrar a questão do dia para
noite. Tão importante quanto estar conforme é se manter conforme . A
lei preceitua a necessidade de construir uma cultura de valoração dos

www.atheniense.com
16 LGPD PA R A EMPRES A S

dados pessoais, a exemplo do que ocorreu no passado em relação aos

direitos individuais relativos às relações de consumo.

Será necessário abandonar velhos hábitos e adquirir outros novos. Ta-

refas rotineiras como solicitar informações a um cliente por e-mail exi-
girão alguma camada extra de proteção. Portanto, paciência.

Para tornar as coisas ainda mais desafiadoras existem muitos dispositi-

vos que ainda precisam ser regulamentados e já deixam margem para
dúvidas. Por isso, além de paciência será preciso manter a atenção e
percorrer o caminho da adequação com segurança, pois é possível que
durante o processo alguns incidentes venham a acontecer e necessita-
rão ser enfrentados na maior brevidade possível.

Esse guia tem a ambição de ajudar a introduzir a discussão dentro dos

escritórios de advocacia de todos os tamanhos, para ajudá-los a dar os
primeiros passos em segurança.

5. O que as pessoas podem

fazer com os seus dados pessoais
tratados pela empresa?
Segundo a LGPD, toda pessoa “tem assegurada a titularidade de seus
dados pessoais e garantidos os direitos fundamentais de liberdade, de
intimidade e de privacidade” (artigo 17 da LGPD). Diz ainda: “O titular
dos dados pessoais tem direito a obter do controlador, em relação aos
dados do titular por ele tratados, a qualquer momento e mediante re-
quisição” (artigo 18 da LGPD). São direitos dos titulares:

. Confirmação da existência de
tratamento.
. Acesso aos seus dados
pessoais.

www.atheniense.com
 LGPD PAR A EMPRES A S
17

. Correção de dados
incompletos, inexatos ou
. Portabilidade dos
dados a outro fornecedor

.
desatualizados. de serviço ou produto,
mediante requisição expressa
Anonimização, bloqueio e observados os segredos
ou eliminação de dados comercial e industrial, de
desnecessários, excessivos ou acordo com a regulamentação

.
tratados em desconformidade do órgão controlador.

.
com o disposto na lei.
Revogação do
Opor-se a tratamento consentimento para
realizado. tratamento.

6. O espírito da lei:
a LGPD e seus princípios
A LGDP preceitua dez princípios aos quais todo empresário deve estar
alerta.

QUALIDADE NÃO
FINALIDADE DOS DADOS DISCRIMINAÇÃO

NECESSIDADE SEGURANÇA

TRANSPARÊNCIA PRESTAÇÃO
ADEQUAÇÃO
DE CONTAS

LIVRE PREVENÇÃO
ACESSO

www.atheniense.com
18 LGPD PA R A EMPRES A S

Finalidade
Tratamento de dados pessoais para propósitos legítimos, específicos,
explícitos e informados ao titular, sem a possibilidade de tratamento
posterior de forma incompatível com essas finalidades;

Adequação
Tratamento compatível com as finalidades informadas ao titular, de
acordo com o contexto do tratamento;

Necessidade
Tratamento limitado ao mínimo necessário para a realização de suas
finalidades, com abrangência dos dados pertinentes, proporcionais e
não excessivos em relação às finalidades do tratamento de dados;

Livre acesso
Garantia aos titulares de consulta facilitada e gratuita sobre a forma
e a duração do tratamento, bem como, sobre a integralidade de seus
dados pessoais;

Qualidade dos dados

Garantir aos titulares a exatidão, clareza, relevância e atualização dos
dados, de acordo com a necessidade e para o cumprimento da finalida-
de de seu tratamento;

www.atheniense.com
 LGPD PAR A EMPRES A S
19

Transparência
Assegurar aos titulares quanto às informações claras, precisas e facil-
mente acessíveis sobre a realização do tratamento e os respectivos
agentes de tratamento, observados os segredos comerciais e indus-
triais;

Segurança
Utilizar medidas técnicas e administrativas aptas a proteger os dados
pessoais de acessos não autorizados e de situações acidentais ou ilíci-
tas de destruição, perda, alteração, comunicação ou difusão;

Prevenção
Adotar medidas para prevenir a ocorrência de danos em virtude do tra-
tamento de dados pessoais;

Não discriminação
Impossibilidade de realização do tratamento de dados pessoais para
fins discriminatórios ilícitos ou abusivos;

Responsabilização e prestação de contas

Demonstrar por meio da elaboração de relatórios previstos em lei de-
monstração, pelo agente, da adoção de medidas eficazes e capazes de
comprovar a observância e o cumprimento das normas de proteção de
dados pessoais e, inclusive, da eficácia dessas medidas.

www.atheniense.com
20 LGPD PA R A EMPRES A S

7. Os fundamentos legais do
tratamento dos dados pessoais
A lei define dez bases legais para o processamento válido de dados
pessoais. Para cada finalidade atribuída ao uso de um dado pessoal, o
controlador deverá indicar uma base legal como justificativa . Conheça
as hipóteses:

EXERCÍCIO
OBRIGAÇÃO REGULAR DE CONSENTIMENTO
LEGAL DIREITO

PESQUISA TUTELA DA
SAÚDE

POLÍTICAS PROTEÇÃO LEGÍTIMO

PÚBLICAS DA VIDA INTERESSE

EXECUÇÃO DE
CONTRATOS PROTEÇÃO AO
CRÉDITO

Consentimento
O consentimento é o ato de coleta da permissão junto ao titular de da-
dos pessoais onde existe a previsão quanto a finalidade determinada
do tratamento, bem como os nomes dos operadores da base de dados
e suas respectivas atividades. O consentimento só será considerado vá-
lido quando ele for dado de forma livre, mediante informação clara e
inequívoca.

www.atheniense.com
 LGPD PAR A EMPRES A S
21

Obrigação Legal
Os dados pessoais poderão ser tratados nos casos em que a empresa
esteja atendendo a obrigação legal ou em regulações emitidas pelas
autoridades competentes.

Políticas Públicas
A administração pública poderá se valer dessa base legal para realizar o
tratamento de dados pessoais necessários para a execução de políticas
públicas, sempre prevalecendo o interesse público.

Pesquisa
Os dados pessoais poderão ser tratados para realização de estudos por
órgão de pesquisa, sendo recomendada a garantia da anonimização
desses dados, quando for possível.

Execução de Contrato
Muitos contratos só terão eficácia mediante o tratamento de dados
pessoais. Por exemplo, uma empresa de entrega à domicílio, somente
poderá prestar seu serviço de forma efetiva se tiver acesso ao endere-
ço, nome e contato do titular destinatário.

Exercício regular de direito

A lei estabelece uma série de casos em que é necessário haver o trata-
mento de dados pessoais É o caso do Direito Processual que exige das
partes a qualificação dos dados pessoais e documentos necessários
para a instrução do processo.

www.atheniense.com
22 LGPD PA R A EMPRES A S

Proteção da Vida
Uma vez identificado o estado de perigo ou risco de vida do titular,
alguns dados deverão ser coletados para que o socorro seja efetivado.
Por exemplo, em casos onde uma pessoa está inconsciente e perdendo
sangue, o médico necessita coletar os dados sanguíneos dessa pessoa
para poder fazer a transfusão e salvar a sua vida.

Tutela da Saúde
O serviço de saúde necessita de dados pessoais essenciais para presta-
ção de serviço.. Sendo assim, o legislador previu que para esses casos
os dados do paciente poderão ser tratados por profissionais da área da
saúde ou por entidades sanitárias.

Legítimo Interesse
O dado pessoal poderá ser tratado com base no legítimo interesse do
controlador ou de terceiro. Contudo, esse legítimo interesse não é um
cheque em branco, pois precisa ser devidamente fundamentado. Uma
importante metodologia para realizar a validação do tratamento com
base nessa hipótese é o teste dos quatro passos. Esse teste consiste
em: (i) analisar se o tratamento do dado pessoal está sendo feito com
base em uma finalidade legítima; (ii) se estão sendo coletados apenas
os dados necessários ao objetivo da empresa; (iii) se está sendo obser-
vada a legítima expectativa do titular; e (iv) quais as salvaguardas estão
sendo adotadas. Por exemplo: transparência, mecanismo de oposição
do titular, uso de instrumentos de redução de riscos e respeito aos di-
reitos e liberdades fundamentais dos titulares.

Proteção de crédito
Essa hipótese visa garantir as entidades que trabalham com banco de
dados visando a proteção do crédito tenham uma base legal para legi-
timar o tratamento de dados pessoais, diminuindo os riscos de inadim-

www.atheniense.com
 LGPD PAR A EMPRES A S
23

plência e os custos de financiamento. Cabe mencionar que essa base

legal é uma peculiaridade da nossa legislação, não havendo nada simi-
lar no mundo em leis de proteção de dados. Dessa forma, sua aplicação
deve ser feita com cautela para evitar abusos e insegurança jurídica.

8. Mãos à obra: 10 passos para

executar um plano para começar o
trabalho de adequação à LGPD
1. Decisão Top Down
A decisão de colocar em prática o projeto de adequação à LGPD deve
ser uma medida “Top Down”, ou seja, deve partir da iniciativa daque-
les que exercem o poder diretivo. Esses devem estar conscientizados
de que o orçamento para o projeto deve ser da Diretoria e não de um
setor operacional, pois são os gestores que exercem a governança que
serão os responsáveis por eventuais incidentes futuros.

2. Criação de comitê multidisciplinar

Diante disso, o passo primordial é a criação de um comitê multidisci-
plinar, envolvendo setores de uma empresa que sejam estratégicos
quanto ao tratamento de dados pessoais, ou seja: negócios, produ-
tos, jurídico, RH, segurança, infraestrutura, comunicação, marke-
ting, desenvolvimento e, sobretudo, um membro que seja do board
da organização para exercer o poder decisório com maior brevidade.

Esse comitê deve ter a função de: apurar informações e compreen-

der com celeridade vários aspectos estratégicos que se relacionam
com o tratamento de dados pessoais; as normas vigentes que regu-
lamentam o tema, os processos internos e externos e os requisitos

www.atheniense.com
24 LGPD PA R A EMPRES A S

sistêmicos relacionados.

Além disso, o Comitê terá as seguintes atribuições: exercer o poder de-

cisório para executar o plano de ação e aprovar as medidas corretivas
quanto aos incidentes que irão surgir com relação ao tratamento de
dados pessoais; dar suporte para a consultoria elaborar um diagnósti-
co e avaliação de riscos e gravidade adequada e decidir mutuamente
quais são os melhores caminhos a serem trilhados para a execução do
plano de ação a fim de alcançar a conformidade antes da vigência da
Lei Geral de Proteção de Dados em agosto de 2020.

A execução das medidas corretivas se desdobrará em três frentes de

trabalho para a efetivação da revisão dos mecanismos de controle
quanto aos riscos jurídicos envolvidos.

3. Análise e revisão normativa

3.1. Levantamento, leitura e análi- 3.3. Revisão de todos os

se de todas as normas internas em contratos em vigor que se
uso na empresa sobre tratamento relacionam com o tratamen-
de dados; to de dados pessoais;

3.2. Apuração de todas as partes 3.4. Elaboração ou revisão

envolvidas com as quais a empresa de políticas, relatórios e ou-
se relaciona a partir do tratamento tros documentos exigidos
de dados pessoais, seja no ambiente por lei.
interno ou externo;

4. Análise e revisão dos

processos internos e externos

www.atheniense.com
 LGPD PAR A EMPRES A S
25

4.1. Mapeamento de todos os pro- 4.3. Assessoria na revisão

cessos internos e externos que tra-
tam dados pessoais da organização;
4.2. Identificação das lacunas rela-
tivas a riscos quanto a privacidade
e proteção de dados pessoais nos
processos mapeados;
dos processos envolvidos
para adequá-los de acor-
do com a política de pri-
vacidade e outras obriga-
ções legais.

5. Análise e revisão dos Sistemas

5.1. Identificação de lacunas 5.2. Assessoria e cooperação com

nos sistemas que possam re-
presentar risco de vazamen-
to ou de uso indevido de da-
dos pessoais;
o time de tecnologia da informação
para promover alterações e mudan-
ças nos sistemas utilizados de forma
a adequá-los à política de privacida-
de e às obrigações legais.

6. Utilizar software específico

para execução do plano de adequação
Diante do volume e especificações das informações coletadas e anali-
sadas, e a necessidade de verificação constante dos mapas de riscos e
gravidade, além da emissão de relatórios, é indispensável o uso de um
software específico de DPMS - Data Protection Management System.

As funcionalidades essenciais que este software deve apresentar são:

possuir uma plataforma para centralizar toda a operação de coleta,
análise e emissão de relatórios, geração de mapas de riscos, elabora-
ção de relatórios exigidos por lei, desburocratização da execução das
atividades com a desnecessidade de operar simultaneamente diversas
planilhas e documentos.

www.atheniense.com
26 LGPD PA R A EMPRES A S

7. Nomear um Encarregado
de Proteção de Dados
A lei também obriga todas as empresas a nomear um Encarregado de
Proteção de Dados (DPO – Data Protection Officer). Sua principal obri-
gação é zelar pela aplicação e disseminar boas práticas em relação ao
tratamento de dados.

Além disso, ele será a interface com a Autoridade Nacional de Prote-

ção de Dados (ANPD). O EPD também será responsável por receber
reclamações e informes dos titulares e órgãos competentes e prestar
esclarecimentos, além de adotar providências e orientar funcionários
sobre as boas práticas A identidade e as informações de contato do
EPD precisam ser divulgadas publicamente, com clareza e objetividade
no site do controlador.

No caso de EPD, DPO e ANPD, por enquanto temos apenas siglas, que
ainda dependem de regulamentação. Nossa sugestão é que as empre-
sas comecem a se habituar a essas exigências.

Um plano para começar o trabalho de adequação à LGPD já está ex-

presso em procurações. O importante é identificar as várias situações
para tomar as medidas adequadas.

O cargo de DPO poderá ser exercido por um grupo de pessoas estra-

tegicamente nomeadas que unam os seus talentos para atuarem neste
encargo.

8. Mapear o fluxo de dados

Entender como os dados circulam pela empresa, quem lida com eles e
para onde são encaminhados é uma das etapas mais importantes desse
trabalho.

www.atheniense.com
 LGPD PAR A EMPRES A S
27

Daí ser fundamental o envolvimento de todos os níveis hierárquicos e

uma ideia clara de quantas pessoas diferentes têm acesso a informa-
ções sensíveis. Note que a lei fala em dados, aplicando-se tanto aos
que circulam em formato digital e pela internet, como os que estão em
arquivos de papel.

Em que forma circulam Quem são as pessoas

os dados pessoais que tratam esses dados
dentro da empresa? pessoais?
Contratos Colaboradores da área de
Fichas cadastrais Recursos Humanos
Emails Equipe de Marketing
Boletos de pagamento Assistentes
Documentos Recepcionistas
Processos Colaboradores
Formulários online Advogados
Arquivos de imagem, vídeo Prestadores de serviços
e áudio Fornecedores

Que tipos de Onde ficam esses

tratamentos de dados dados?
pessoais são realizados?
Contas pessoais de email
Envio de mensagens Sistemas Especialistas
Arquivamento de conteúdos Bases de dados na nuvem
Anexação Servidores locais
Consulta Discos rígidos de desktops
Relatórios e notebooks
Cópias em dispositivos Pendrives, CDs e DVDs
informáticos Backups
Currículos
Fichas Cadastrais
Prontuários médicos

www.atheniense.com
28 LGPD PA R A EMPRES A S

9. Mapear os fatores de risco e

executar um plano de ação imediato
Depois de compreender a lógica de circulação dos dados pela empresa,
chega a hora de mapear os riscos e definir as providências a ser toma-
das. Aqui, a noção de risco está associada, especialmente, às chances
de uma informação vazar, ou de ser conhecida por quem não deveria.
Existem vários fatores de riscos, que normalmente giram em torno de
quatro pontos:

9.1. Equipamentos e sistemas

A rede, computadores e demais equipamentos estão protegidos ade-
quadamente com firewall, armazenamento em nuvem e outros dispo-
sitivos de segurança? Aqui, naturalmente, o nível de segurança exigido
varia de empresa para empresa. Porém, é consenso entre especialistas
que, hoje, nenhuma empresa deve prescindir de algum nível de prote-
ção envolvendo uso de softwares que propiciem maior controle sobre
os riscos de segurança da informação e tratamento de dados pessoais
para repelir invasões, antivírus e manutenção periódica dos equipa-
mentos e atualização de softwares. É extremamente recomendável a
contratação de profissional especializado, que poderá sugerir um nível
de segurança adequado.

9.2. Políticas e procedimentos

Um dos aspectos mais importantes da LGPD é quanto à exigência de
se manter registros escritos, trilhas para auditoria e procedimentos
operacionais claros. Começa do nível mais básico, como a adoção de
critérios para geração de senhas seguras e outros procedimentos. Por
exemplo: o que uma recepcionista deve fazer se receber, por engano,
informações de um cliente? Onde deve ser mantido um arquivo de no-
tas tomadas em uma reunião? Que informações devem ser destruídas?
Além disso, as escritórios deverão produzir ou revisar seus próprios

www.atheniense.com
 LGPD PAR A EMPRES A S
29

termos de procedimentos operacionais para obter consentimento para

uso de dados pessoais. No caso das empresas com seus colaboradores,
o recomendado é anexar e formalizar o termo de consentimento ao
contrato de trabalho. O importante é identificar as várias situações em
que os dados pessoais circulam para tomar as medidas adequadas.

9.3. Pessoas
As pessoas são os elos mais frágeis de uma cadeia de segurança. A
melhor forma de lidar com isso é mantê-las devidamente informadas
sobre os procedimentos, treinadas para lidar com eles e sistematica-
mente avaliadas. A LGPD é extremamente exigente em relação a es-
ses pontos. Mais do que um sistema de direitos e responsabilidades, a
LGPD quer estimular o desenvolvimento de uma cultura de proteção
de dados pessoais e, por essa razão, valorizar a adoção de medidas nes-
se sentido, inclusive como critério para redução de eventuais punições.
Por isso, é fundamental manter a equipe sempre treinada e informada
a respeito.

9.4. Tipos de dados pessoais tratados

A lei define a existência de dados considerados sensíveis, que podem
resultar em danos imediatos caso sejam divulgados. Eles requerem cui-
dados especiais e só podem ser solicitados para finalidades específicas.
Entre eles, dados sobre: origem racial ou étnica, convicção religiosa,
opinião política, filiação a sindicato, filiação religiosa, sobre a saúde,
sobre a vida sexual, dados genéticos, informações biométricas. O trata-
mento de dados de crianças e adolescentes requer cuidados especiais
e só pode ser realizado com consentimento específico de responsável.

10. Implementar um registro de

tratamento de dados, processos e sistemas
A lei determina a adoção de uma metodologia de data mapping que

www.atheniense.com
30 LGPD PA R A EMPRES A S

consiste em manter registros da coleta até a exclusão em toda e qual-

quer atividade de tratamento de dados pessoais, indicando quais da-
dos serão coletados, a base legal que autoriza seu uso, às suas finali-
dades, o tempo de retenção, as práticas de segurança de informação
implementadas no armazenamento, e com quem os dados podem ser
eventualmente compartilhados. Ou seja, o trabalho consiste em deta-
lhar, organizar e manter registros dessas operações.

11. Verificações periódicas e treinamentos in

company
A garantia de eficiência da efetivação e manutenção das mudanças e
revisões operacionais demandam que a organização execute verifica-
ções periódicas de modo a assegurar sempre o menor risco jurídico
quanto ao tratamento de dados pessoais. Essas auditorias visam man-
ter normas, processos e sistemas em nível adequado de conformidade
com as leis de proteção de dados.

Capacitar e formalizar continuamente esta atividade com todos os co-

laboradores e fornecedores envolvidos com o tratamento de dados
pessoais é indispensável para dar legitimidade a empresa em inciden-
tes e, sobretudo, para dar continuidade ao programa de governança
digital corporativo.

9. A proteção de dados pessoais

como pilar da Governança Digital
Corporativa
Além da proteção de dados pessoais, a gestão da Governança Digital
Corporativa compreende outros três pilares essenciais para fechar um
ciclo virtuoso: Segurança Cibernética, Reputação Digital e Compliance.
A partir da nossa experiência profissional, inovamos ao criar o conceito

www.atheniense.com
 LGPD PAR A EMPRES A S
31

de Governança Digital Corporativa para definir um serviço abrangente

e de suma relevância estratégica para as empresas . Percebemos que
tudo o que se lia sobre Governança Digital se conectava ao exercício
exclusivo do Poder Estatal de exercer sua atividade de governar. Por
outro lado, o termo Governança Corporativa não é novidade no meio
empresarial, mas as práticas difundidas estavam essencialmente liga-
das ao mundo analógico. Ao percebermos essa lacuna, compreende-
mos a necessidade de levar ao mercado uma solução de consultoria
jurídica contextualizada que se refere ao exercício do poder decisório
corporativo no mundo digital mitigando os riscos envolvidos.

É necessário que o board mantenha sempre amplo controle sobre as

atividades relacionadas ao tratamento de dados, pessoais ou não, se-
gurança cibernética, reputação digital e compliance do seu negócio in-
clusive nas plataformas digitais.

O exercício da governança não é uma tarefa isolada de qualquer área

operacional da organização. É atribuição exclusiva do board, pois esse
tem a necessidade de envolver-se com o tema e de ter agilidade na to-
mada de decisões para evitar que um fato se torne uma crise.

Sabemos que o enfrentamento dos incidentes ocorre, em média, de

forma tardia e desordenada. Com o advento da lei e a aplicação de
penalidades pesadas, é mandatório que o poder diretivo se aproxime
mais da área operacional e aprove as medidas corretivas necessárias
para abreviar o tempo de resposta a fim de mitigar os riscos jurídicos
envolvidos.

Quem governa deve continuamente exercer ou fiscalizar os mecanis-

mos de controle sobre todas as atividades da organização envolvendo
tratamento de dados pessoais, segurança da informação, incidentes de
reputação digital e compliance. Os eventuais ônus das sanções serão
de sua exclusiva responsabilidade.

www.atheniense.com
32 LGPD PA R A EMPRES A S

SEGURANÇA REPUTAÇÃO
CIBERNÉTICA DIGITAL

COMPLIANCE PROTEÇÃO DE DADOS

Em síntese, os pilares das governança digital corporativa são:

Segurança cibernética
São diversas medidas para avaliação de riscos operacionais e elabora-
ção de um plano de ação para suprir as lacunas jurídicas, sistêmicas e
estratégicas quanto à segurança da informação tais como: elaboração
ou revisão de regulamentação interna, obrigações legais, políticas e
procedimentos internos quanto ao uso das informações digitais que
revelem fatores de risco, análise e preservação de provas dos inciden-
tes em conformidade legal e a necessidade de adoção de medidas jurí-
dicas ou não, para enfrentamento de incidentes com a maior brevidade
possível.

www.atheniense.com
 LGPD PAR A EMPRES A S
33

Reputação digital
O perfil de uma empresa no mundo digital não é construído apenas
por informações que a própria organização divulgue a seu respeito. As
informações ou comentários gerados por terceiros possuem também
grande relevância e riscos. A internet guarda surpresas que precisam
ser monitoradas e enfrentadas para que um fato não se transforme
numa crise. Por este motivo, o contingenciamento de problemas para
este assunto é mandatório. Será necessário definir atribuições como
análise e preservação de provas em conformidade legal dos conteú-
dos impróprios gerados por terceiros como: comentários, críticas fal-
sas, fake news, perfis falsos e ataques ofensivos que forem divulgados
publicamente, alcançando grande relevância nas pesquisas do Google
e redes sociais.

A possível remoção desses conteúdos, judicialmente ou não, ou a

adoção de outras estratégias equivalentes, devem ser executadas na
maior brevidade possível, pois os mesmos representam graves fatores
de risco quanto à reputação da organização, de seus gestores ou cola-
boradores.

Compliance
Elaboração e implantação de um conjunto de medidas para fazer cum-
prir as normas legais, regulamentares e políticas, com a finalidade de
evitar a aplicação de sanções anticorrupção, bem como, detectar e tra-
tar qualquer desvio ou desconformidade.

www.atheniense.com
34 LGPD PA R A EMPRES A S

10. Conclusão
A LGPD é uma conquista da sociedade brasileira e coloca o Brasil num
patamar alinhado com mais de cem países, onde se valoriza o respeito
à privacidade.

As empresas terão problemas para se adequar por conta própria. Por

isso, dependendo da complexidade do tratamento de dados pessoais,
será necessária a ajuda de profissionais especializados.

É chegada a hora de dar início nesta caminhada!

Bom trabalho.

Julho / 2019

www.atheniense.com
 LGPD PAR A EMPRES A S
35

São Paulo .
FALE COM A GENTE
Belo Horizonte . Brasília

www.atheniense.com
facebook.com/alexandreathenienseadvogados
contato@alexandreatheniense.com.br
Av. Afonso Pena, 4273, 4º andar - Belo Horizonte, MG

Alexandre Atheniense é
advogado formado pela
Universidade Federal de
Minas Gerais (UFMG), es-
pecializado em Internet
Law na Berkman Center –
Harvard Law School e só-
cio-fundador do Alexandre
Atheniense Advogados.

Com experiência profissio-

nal de 32 anos é um dos
precursores do Direito Di-
gital no Brasil. Possui vasta
experiência acadêmica e
institucional, tendo exer-
cido por oito anos (2002-
2010) a presidência da Co-
missão de Tecnologia da
Informação da OAB Federal, representando a entidade na discussão de
projetos de lei no Congresso Nacional sobre os temas relacionados a
Tecnologia da Informação. Coordenador da Comissão de Direito Digital
do CESA - Centro de Estudos das Sociedade de Advogados. Árbitro em
questões relacionadas à Propriedade Intelectual e Tecnologia da Infor-
mação na Camarb, CAMINAS e ABPI e autor de diversas obras sobre
Direito Digital no Brasil e no exterior.

www.atheniense.com
36 LGPD PA R A EMPRES A S

30 anos

SÃO PAULO BELO HORIZONTE BRASÍLIA

Avenida Paulista 1079, Avenida Afonso Pena, SCS, Quadra 09, Bloco C,
Torre João Salem, 8º andar 4273, 4º andar Torre C, 10º andar
São Paulo - SP Belo Horizonte - MG Comercial Sul, Brasília
55 11 99901-8128 55 31 3318-1414 55 61 99622-8128

www.atheniense.com
www.atheniense.com