Escolar Documentos
Profissional Documentos
Cultura Documentos
30 anos
LGPD PARA
EMPRESAS
www.atheniense.com
www.atheniense.com
2 LGPD PA R A EMPRES A S
SÃO PAULO
BELO HORIZONTE
BRASÍLIA
www.atheniense.com
LGPD PAR A EMPRES A S
3
www.atheniense.com
Photo by Sean Pollock on Unsplash
4 LGPD PA R A EMPRES A S
Segurança cibernética
Avaliação e elaboração de um plano de ação para suprir as lacunas jurídicas, sistêmicas
e estratégicas quanto à segurança da informação, tais como: elaboração de regulamen-
tação interna, obrigações legais, políticas e procedimentos internos quanto ao uso das
informações digitais que revelem fatores de risco jurídico, e a necessidade de adoção de
medidas para enfrentamento de incidentes de segurança da informação.
Reputação digital
Análise e preservação de provas em conformidade legal de conteúdos gerados por tercei-
ros como comentários, críticas falsas, fake news, perfis falsos e ataques ofensivos que fo-
rem divulgados e indexados com relevância nas principais ferramentas de busca e redes
sociais, que revelem fatores de risco e necessidade de adoção de medidas extrajudiciais
ou judiciais para proteger a reputação da organização na maior brevidade possível.
Compliance
Elaboração e implantação de um conjunto de medidas para fazer cumprir as normas le-
gais e regulamentares, políticas, regras e diretrizes estabelecidas para o negócio e para
as atividades da organização, bem como, evitar, detectar e tratar qualquer desvio ou des-
conformidade.
www.atheniense.com
LGPD PAR A EMPRES A S
5
10. Conclusão 34
www.atheniense.com
6 LGPD PA R A EMPRES A S
Uma empresa não pode ser forçada a revelar seus segredos de negócio,
mas não se pode dizer o mesmo dos computadores.
1 Colaboraram neste guia Lucas Balsemão, Pedro Resende, Alexandre Secco e Gabriel Attuy
www.atheniense.com
LGPD PAR A EMPRES A S
7
www.atheniense.com
8 LGPD PA R A EMPRES A S
Anonimização
A lei define o que são dados anonimizados e também o processo de
anonimização. Um dado anonimizado é aquele que não permite identi-
ficar o titular, por ter sido tratado de alguma forma, como criptografia,
ou quando são excluídas informações de modo a impedir associação
direta ou indireta a uma pessoa. A lei define que dado anonimizado é:
“dado relativo a titular que não possa ser identificado, considerando a
utilização de meios técnicos razoáveis e disponíveis na ocasião de seu
tratamento”.
www.atheniense.com
LGPD PAR A EMPRES A S
9
Dados pessoais
Segundo a lei, é uma “informação relacionada à pessoa natural identi-
ficada ou identificável”. Tudo que possa identificar direta ou indireta-
mente uma pessoa como nome, números de documentos, fotografias,
registros biométricos, etc; ou, indiretamente, dados que podem ser
cruzados, ou que podem levar a informações, como um email corpora-
tivo, ou um endereço IP.
Dados sensíveis
Aqueles que podem resultar em danos imediatos caso sejam divulga-
dos indevidamente, Seu tratamento requer cuidados especiais e eles
só podem ser solicitados para finalidades específicas. Entre eles, estão
os dados sobre: origem racial ou étnica, convicção religiosa, opinião po-
lítica, filiação a sindicato, filiação religiosa, sobre a saúde, sobre a vida
sexual, dados genéticos, informações biométricas.
Encarregado de
tratamento de dados pessoais
Pessoa indicada pelo controlador para atuar como canal de comunica-
www.atheniense.com
10 LGPD PA R A EMPRES A S
.. .. ..
.. .. ..
Coleta Transmissão Controle
Produção Distribuição Modificação
.. .. ..
Recepção Processamento Comunicação
Classificação Arquivamento Transferência
. .
Utilização Armazenamento Difusão
Acesso Eliminação Extração
Reprodução Avaliação
2. O que os empresários
precisam saber sobre a LGPD
Toda longa jornada começa com um primeiro passo. O processo de ade-
quação à LGPD será mais fácil se todos os escritórios estiverem familia-
rizados com os conceitos da lei, seus objetivos e peculiaridades. Lista-
mos 13 pontos essenciais sobre a lei, que dizem respeito diretamente
as empresas.
www.atheniense.com
LGPD PAR A EMPRES A S
11
10. O titular tem o direito de ter acesso aos dados, exigir corre-
ções e revogar o consentimento de uso.
www.atheniense.com
12 LGPD PA R A EMPRES A S
3. Proteção de dados
pessoais agora tem um valor e a
irresponsabilidade tem um preço
A economia de dados pessoais tem tomado proporções cada vez maio-
res no mundo contemporâneo. Chamados de “O Novo Petróleo”, os da-
dos pessoais têm enorme potencial para aumentar a produtividade de
atividades já existentes e de criar modelos de negócios completamente
novos. Para muitos especialistas, estamos entrando na era da economia
de dados.
www.atheniense.com
LGPD PAR A EMPRES A S
13
www.atheniense.com
14 LGPD PA R A EMPRES A S
. Advertência, com
indicação de prazo para
. Multa simples, de até 2%
do faturamento da empresa
adoção de medidas ou conglomerado no Brasil,
corretivas; limitada, no total, a R$ 50
milhões por infração;
www.atheniense.com
LGPD PAR A EMPRES A S
15
.
limite acima; pessoais a que se refere
a infração até a sua
.
Publicização da infração regularização;
após devidamente apurada e
confirmada a sua ocorrência, Eliminação dos dados
o que pode acarretar severos pessoais a que se refere a
danos reputacionais; infração.
www.atheniense.com
16 LGPD PA R A EMPRES A S
. Confirmação da existência de
tratamento.
. Acesso aos seus dados
pessoais.
www.atheniense.com
LGPD PAR A EMPRES A S
17
. Correção de dados
incompletos, inexatos ou
. Portabilidade dos
dados a outro fornecedor
.
desatualizados. de serviço ou produto,
mediante requisição expressa
Anonimização, bloqueio e observados os segredos
ou eliminação de dados comercial e industrial, de
desnecessários, excessivos ou acordo com a regulamentação
.
tratados em desconformidade do órgão controlador.
.
com o disposto na lei.
Revogação do
Opor-se a tratamento consentimento para
realizado. tratamento.
6. O espírito da lei:
a LGPD e seus princípios
A LGDP preceitua dez princípios aos quais todo empresário deve estar
alerta.
QUALIDADE NÃO
FINALIDADE DOS DADOS DISCRIMINAÇÃO
NECESSIDADE SEGURANÇA
TRANSPARÊNCIA PRESTAÇÃO
ADEQUAÇÃO
DE CONTAS
LIVRE PREVENÇÃO
ACESSO
www.atheniense.com
18 LGPD PA R A EMPRES A S
Finalidade
Tratamento de dados pessoais para propósitos legítimos, específicos,
explícitos e informados ao titular, sem a possibilidade de tratamento
posterior de forma incompatível com essas finalidades;
Adequação
Tratamento compatível com as finalidades informadas ao titular, de
acordo com o contexto do tratamento;
Necessidade
Tratamento limitado ao mínimo necessário para a realização de suas
finalidades, com abrangência dos dados pertinentes, proporcionais e
não excessivos em relação às finalidades do tratamento de dados;
Livre acesso
Garantia aos titulares de consulta facilitada e gratuita sobre a forma
e a duração do tratamento, bem como, sobre a integralidade de seus
dados pessoais;
www.atheniense.com
LGPD PAR A EMPRES A S
19
Transparência
Assegurar aos titulares quanto às informações claras, precisas e facil-
mente acessíveis sobre a realização do tratamento e os respectivos
agentes de tratamento, observados os segredos comerciais e indus-
triais;
Segurança
Utilizar medidas técnicas e administrativas aptas a proteger os dados
pessoais de acessos não autorizados e de situações acidentais ou ilíci-
tas de destruição, perda, alteração, comunicação ou difusão;
Prevenção
Adotar medidas para prevenir a ocorrência de danos em virtude do tra-
tamento de dados pessoais;
Não discriminação
Impossibilidade de realização do tratamento de dados pessoais para
fins discriminatórios ilícitos ou abusivos;
www.atheniense.com
20 LGPD PA R A EMPRES A S
7. Os fundamentos legais do
tratamento dos dados pessoais
A lei define dez bases legais para o processamento válido de dados
pessoais. Para cada finalidade atribuída ao uso de um dado pessoal, o
controlador deverá indicar uma base legal como justificativa . Conheça
as hipóteses:
EXERCÍCIO
OBRIGAÇÃO REGULAR DE CONSENTIMENTO
LEGAL DIREITO
PESQUISA TUTELA DA
SAÚDE
EXECUÇÃO DE
CONTRATOS PROTEÇÃO AO
CRÉDITO
Consentimento
O consentimento é o ato de coleta da permissão junto ao titular de da-
dos pessoais onde existe a previsão quanto a finalidade determinada
do tratamento, bem como os nomes dos operadores da base de dados
e suas respectivas atividades. O consentimento só será considerado vá-
lido quando ele for dado de forma livre, mediante informação clara e
inequívoca.
www.atheniense.com
LGPD PAR A EMPRES A S
21
Obrigação Legal
Os dados pessoais poderão ser tratados nos casos em que a empresa
esteja atendendo a obrigação legal ou em regulações emitidas pelas
autoridades competentes.
Políticas Públicas
A administração pública poderá se valer dessa base legal para realizar o
tratamento de dados pessoais necessários para a execução de políticas
públicas, sempre prevalecendo o interesse público.
Pesquisa
Os dados pessoais poderão ser tratados para realização de estudos por
órgão de pesquisa, sendo recomendada a garantia da anonimização
desses dados, quando for possível.
Execução de Contrato
Muitos contratos só terão eficácia mediante o tratamento de dados
pessoais. Por exemplo, uma empresa de entrega à domicílio, somente
poderá prestar seu serviço de forma efetiva se tiver acesso ao endere-
ço, nome e contato do titular destinatário.
www.atheniense.com
22 LGPD PA R A EMPRES A S
Proteção da Vida
Uma vez identificado o estado de perigo ou risco de vida do titular,
alguns dados deverão ser coletados para que o socorro seja efetivado.
Por exemplo, em casos onde uma pessoa está inconsciente e perdendo
sangue, o médico necessita coletar os dados sanguíneos dessa pessoa
para poder fazer a transfusão e salvar a sua vida.
Tutela da Saúde
O serviço de saúde necessita de dados pessoais essenciais para presta-
ção de serviço.. Sendo assim, o legislador previu que para esses casos
os dados do paciente poderão ser tratados por profissionais da área da
saúde ou por entidades sanitárias.
Legítimo Interesse
O dado pessoal poderá ser tratado com base no legítimo interesse do
controlador ou de terceiro. Contudo, esse legítimo interesse não é um
cheque em branco, pois precisa ser devidamente fundamentado. Uma
importante metodologia para realizar a validação do tratamento com
base nessa hipótese é o teste dos quatro passos. Esse teste consiste
em: (i) analisar se o tratamento do dado pessoal está sendo feito com
base em uma finalidade legítima; (ii) se estão sendo coletados apenas
os dados necessários ao objetivo da empresa; (iii) se está sendo obser-
vada a legítima expectativa do titular; e (iv) quais as salvaguardas estão
sendo adotadas. Por exemplo: transparência, mecanismo de oposição
do titular, uso de instrumentos de redução de riscos e respeito aos di-
reitos e liberdades fundamentais dos titulares.
Proteção de crédito
Essa hipótese visa garantir as entidades que trabalham com banco de
dados visando a proteção do crédito tenham uma base legal para legi-
timar o tratamento de dados pessoais, diminuindo os riscos de inadim-
www.atheniense.com
LGPD PAR A EMPRES A S
23
www.atheniense.com
24 LGPD PA R A EMPRES A S
sistêmicos relacionados.
www.atheniense.com
LGPD PAR A EMPRES A S
25
www.atheniense.com
26 LGPD PA R A EMPRES A S
7. Nomear um Encarregado
de Proteção de Dados
A lei também obriga todas as empresas a nomear um Encarregado de
Proteção de Dados (DPO – Data Protection Officer). Sua principal obri-
gação é zelar pela aplicação e disseminar boas práticas em relação ao
tratamento de dados.
No caso de EPD, DPO e ANPD, por enquanto temos apenas siglas, que
ainda dependem de regulamentação. Nossa sugestão é que as empre-
sas comecem a se habituar a essas exigências.
www.atheniense.com
LGPD PAR A EMPRES A S
27
www.atheniense.com
28 LGPD PA R A EMPRES A S
www.atheniense.com
LGPD PAR A EMPRES A S
29
9.3. Pessoas
As pessoas são os elos mais frágeis de uma cadeia de segurança. A
melhor forma de lidar com isso é mantê-las devidamente informadas
sobre os procedimentos, treinadas para lidar com eles e sistematica-
mente avaliadas. A LGPD é extremamente exigente em relação a es-
ses pontos. Mais do que um sistema de direitos e responsabilidades, a
LGPD quer estimular o desenvolvimento de uma cultura de proteção
de dados pessoais e, por essa razão, valorizar a adoção de medidas nes-
se sentido, inclusive como critério para redução de eventuais punições.
Por isso, é fundamental manter a equipe sempre treinada e informada
a respeito.
www.atheniense.com
30 LGPD PA R A EMPRES A S
www.atheniense.com
LGPD PAR A EMPRES A S
31
www.atheniense.com
32 LGPD PA R A EMPRES A S
SEGURANÇA REPUTAÇÃO
CIBERNÉTICA DIGITAL
Segurança cibernética
São diversas medidas para avaliação de riscos operacionais e elabora-
ção de um plano de ação para suprir as lacunas jurídicas, sistêmicas e
estratégicas quanto à segurança da informação tais como: elaboração
ou revisão de regulamentação interna, obrigações legais, políticas e
procedimentos internos quanto ao uso das informações digitais que
revelem fatores de risco, análise e preservação de provas dos inciden-
tes em conformidade legal e a necessidade de adoção de medidas jurí-
dicas ou não, para enfrentamento de incidentes com a maior brevidade
possível.
www.atheniense.com
LGPD PAR A EMPRES A S
33
Reputação digital
O perfil de uma empresa no mundo digital não é construído apenas
por informações que a própria organização divulgue a seu respeito. As
informações ou comentários gerados por terceiros possuem também
grande relevância e riscos. A internet guarda surpresas que precisam
ser monitoradas e enfrentadas para que um fato não se transforme
numa crise. Por este motivo, o contingenciamento de problemas para
este assunto é mandatório. Será necessário definir atribuições como
análise e preservação de provas em conformidade legal dos conteú-
dos impróprios gerados por terceiros como: comentários, críticas fal-
sas, fake news, perfis falsos e ataques ofensivos que forem divulgados
publicamente, alcançando grande relevância nas pesquisas do Google
e redes sociais.
Compliance
Elaboração e implantação de um conjunto de medidas para fazer cum-
prir as normas legais, regulamentares e políticas, com a finalidade de
evitar a aplicação de sanções anticorrupção, bem como, detectar e tra-
tar qualquer desvio ou desconformidade.
www.atheniense.com
34 LGPD PA R A EMPRES A S
10. Conclusão
A LGPD é uma conquista da sociedade brasileira e coloca o Brasil num
patamar alinhado com mais de cem países, onde se valoriza o respeito
à privacidade.
Bom trabalho.
Julho / 2019
www.atheniense.com
LGPD PAR A EMPRES A S
35
São Paulo .
FALE COM A GENTE
Belo Horizonte . Brasília
www.atheniense.com
facebook.com/alexandreathenienseadvogados
contato@alexandreatheniense.com.br
Av. Afonso Pena, 4273, 4º andar - Belo Horizonte, MG
Alexandre Atheniense é
advogado formado pela
Universidade Federal de
Minas Gerais (UFMG), es-
pecializado em Internet
Law na Berkman Center –
Harvard Law School e só-
cio-fundador do Alexandre
Atheniense Advogados.
www.atheniense.com
36 LGPD PA R A EMPRES A S
30 anos
Avenida Paulista 1079, Avenida Afonso Pena, SCS, Quadra 09, Bloco C,
Torre João Salem, 8º andar 4273, 4º andar Torre C, 10º andar
São Paulo - SP Belo Horizonte - MG Comercial Sul, Brasília
55 11 99901-8128 55 31 3318-1414 55 61 99622-8128
www.atheniense.com
www.atheniense.com