GUIA COMPLETO

SOBRE A LEI GERAL DE PROTEÇÃO

DE DADOS (LGPD) PARA EMPRESAS

Apoio:
POR QUE VOCÊ E A SUA EMPRESA DEVEM
SE PREOCUPAR COM SEGURANÇA DIGITAL?

A falta de privacidade e a preocupação com a segurança de dados na nuvem é um assunto bastante discutido nos últimos
tempos - principalmente nos ambientes corporativos. Para se ter uma ideia, segundo a Breach Level, apenas no primeiro
semestre de 2018, 4,6 bilhões de arquivos foram acessados indevidamente ou furtados em todo o mundo.

O Brasil, por exemplo, é o 3° país no ranking de crimes cibernéticos e o 2° em sequestro de dados e, após diversos e
sucessivos escândalos de manipulação de dados e vazamentos dos quais tornaram-se rapidamente públicos, atingindo
milhares de usuários, algumas medidas foram necessárias. Para contornar essa situação caótica, foi criada, aprovada a
sanção da Lei Geral de Proteção de Dados (Lei 13.853/2019) - uma proposta similar aos modelos que já estão presentes
em mais de 120 países.

Após essas mudanças, você saberia nos dizer como a sua organização será impactada?

Se esse assunto ainda parece confuso para você, não se preocupe, estamos aqui para esclarecer todas as dúvidas.
Neste e-book, vamos falar no detalhe sobre todos os aspectos da Lei 13.853/2019 e suas implicações.

Boa leitura!
O QUE VOCÊ VAI VER POR AQUI:

Sobre a LGPD 04

Impacto para as organizações 08

Em que condições uma empresa está autorizada a tratar dados? 15

Segurança da Informação & Lei Geral de Proteção de Dados 21

Últimas atualizações 25

Webinars LGPD 28
1
SOBRE A LGPD
ASPECTOS GERAIS
 A Lei Geral de Proteção de Dados (LGPD) é uma
legislação que entrou em vigor em setembro de 2020
no Brasil para estabelecer normas relacionadas ao
tratamento de dados de pessoa física nas suas mais
variadas aplicações e ambientes.
O QUE É
LGPD? Seguindo as bases do regulamento geral de proteção
de dados europeu (GDPR), a LGPD mudará a forma de
funcionamento e operação das organizações, e
estabelece regras de coleta, armazenamento,
tratamento e compartilhamento de dados pessoais,
tornando a proteção de dados ainda mais relevante.

05
PARA QUEM SE APLICA
A Lei é válida para qualquer pessoa natural
ou jurídica, de direito público ou privado,
Quem são os principais atores no
que realize o tratamento de dados pessoais,
tratamento de dados pessoais?

de qual seja o país sede em que os dados No ponto de vista da LGPD, 1 TITULAR
há cinco atores mais 2 CONTROLADOR
estejam localizados.
importantes no tratamento
3 OPERADOR
de dados pessoais:
4 ENCARREGADO
5 AUTORIDADE NACIONAL
DE PROTEÇÃO DE DADOS
(ANPD)

06
Os 10 PRINCÍPIOS DA LGPD
A Lei elenca dez princípios que as organizações devem seguir
quanto ao tratamento de dados e são eles:

FINALIDADE ADEQUAÇÃO NECESSIDADE LIVRE ACESSO QUALIDADE DOS DADOS

O tratamento dos dados Compatibilidade com a Limitação do tratamento Garantia de acesso ao Garantia da exatidão,
deve ter propósito legítimo, mínimo necessário para a tratamento e à clareza, relevância e
ao titular. realização de suas integralidade de atualização dos dados.
informado ao titular. seus dados.

TRANSPARÊNCIA
Garantia aos titulares,
de informações claras,
precisas e facilmente
acessíveis.
RESPONSABILIZAÇÃO E
SEGURANÇA PREVENÇÃO NÃO DISCRIMINAÇÃO
PRESTAÇÃO DE CONTAS
Medidas técnicas e Adoção de medidas para Impossibilidade do Evidenciar a adoção de
administrativas aptas a prevenção de incidentes tratamento dos dados medidas e controles
proteger os dados de danos para tratamento
pessoais. de dados pessoais. ilícitos ou abusivos. das normas de proteção de
dados pessoais.

07
2
IMPACTO PARA
AS ORGANIZAÇÕES
QUAIS
Você deve estar se perguntando quais são
ORGANIZAÇÕES os modelos de negócios que devem estar de
DEVEM SE acordo com a LGPD. A resposta é simples:

ADEQUAR organizações de todos os setores e tamanhos

tratam dados pessoais, por isso, a Lei é válida
DE ACORDO para todas elas.
COM A LGPD?

09
CONTROLE DE DADOS PELOS TITULARES

Em linhas gerais, os titulares de dados passarão a ter maior controle sobre todo o processamento dos seus dados
pessoais - do que decorrem diversas obrigações para controladores (a quem competem as decisões sobre o
tratamento dos dados) e operadores (aqueles que tratam os dados de acordo com o estipulado pelos controladores).

Com as mudanças propostas, os titulares de dados pessoais passam a ter os seguintes direitos:

2. Acesso aos dados;

3. Correção de informações incompletas ou desatualizadas;
4. Direito a anonimização, portabilidade e eliminação dos dados;
5. Conhecimento sobre possíveis compartilhamentos;
6. Direito a esclarecimentos sobre as consequências de não fornecer dados;
7. Direito a revogar o consentimento das informações.

10
PRINCÍPIOS DA
FINALIDADE
Está lembrado dos princípios que falamos no tópico anterior?

Segundo a LEI, o que é considerado tratamento de dados?

informadas aos titulares.
Somado à isso, também ressaltamos o princípio da necessidade
os dados mínimos necessários para que se possa atingir a
Tratamento (art. 5o, X): toda operação realizada com dados
pessoais, como as que se referem a coleta, produção, recepção,
distribuição, processamento, arquivamento, armazenamento,
comunicação, transferência, difusão ou extração.

qual as informações foram coletadas.

11
 do Encarregado, que será o responsável pelo relacionamento com os
titulares dos dados, a comunicação com a ANPD, adoção de providências
QUEM É O em incidentes de privacidade e a disseminação das práticas relacionadas

RESPONSÁVEL
à proteção de dados pessoais.

PELA Além disso, também foi criada a Autoridade Nacional de Proteção de

Dados (ANPD) vinculada ao Ministério da Justiça. Entre as competências

FISCALIZAÇÃO da ANPD estão zelar pela proteção dos dados pessoais, elaborar diretrizes
para a Política Nacional de Proteção de Dados Pessoais e da Privacidade e

DA LGPD? aplicar sanções em caso de tratamento de dados realizado de forma

irregular. A ANPD terá natureza transitória e poderá ser transformada em

a critério do Governo essa decisão.

12
QUAIS AS CONSEQUÊNCIAS PARA AS
EMPRESAS QUE NÃO SE ADEQUAREM A LGPD?
Para as empresas que não se adequarem, a LGPD prevê diversas formas de punições.
Dentre as penas previstas estão:

1 Advertências com indicação de prazos para adoção de medidas corretivas; - Multa simples de até 2% do faturamento
da empresa no seu último exercício (excluindo os tributos) e limitada até o valor de R$ 50.000.000,00 por infração;

2 Multa diária (observando o limite anterior);

3 que se refere a infração até a sua regularização;

4 Eliminação dos dados pessoais a que se refere infração.

13
QUAIS AS CONSEQUÊNCIAS PARA AS
EMPRESAS QUE NÃO SE ADEQUAREM A LGPD?
Vale lembrar que as sanções serão aplicadas somente após procedimento administrativo
que possibilite a oportunidade de defesa e considerando os seguintes parâmetros:

Gravidade e a natureza das infrações e dos Cooperação do infrator;

direitos pessoais afetados;
Boa-fé do infrator;
Vantagem auferida ou pretendida pelo
infrator;
Condição econômica do infrator;
A adoção demonstrada de mecanismos e
procedimentos internos capazes de minimizar
o dano, voltados ao tratamento seguro e
adequado de dados.
Adoção de política de boas práticas e
governança;

Reincidência; A pronta adoção de medidas corretivas e a

proporcionalidade entre a gravidade da falta
Grau do dano; e a intensidade da sanção.

14
3
EM QUAIS CONDIÇÕES
UMA EMPRESA ESTÁ
AUTORIZADA A
TRATAR DADOS?
 Organizações, públicas e privadas, assim como a sua empresa, só poderão coletar
dados pessoais se tiverem consentimento do titular, segundo a LGPD.

A solicitação deverá ser feita de maneira clara, passando aos seus consumidores

COLETA E dessas informações. Caso os dados coletados possuam o envolvimento de menores

de idade, as informações relacionadas a essa coleta só poderão ser liberadas por

TRATAMENTO DE meio do consentimento dos pais ou responsáveis legais.

DADOS SEGUNDO terceiros, você e a sua equipe, em nome da sua empresa, deverão solicitar um

A LGPD novo consentimento aos seus clientes.

O usuário também poderá, sempre que desejar, revogar a autorização existente,

assim como pedir também acesso, exclusão, portabilidade, complementação ou
correção dos dados. E, se o uso das informações do seu consumidor levar a uma
decisão automatizada indesejada, é direito dele pedir uma revisão humana do
procedimento.

16
DADOS PESSOAIS

Segundo a Lei, dado pessoal é uma informação relacionada a pessoa natural identicada ou identicável.

nacionalidade, gostos, interesses e entre tantos outros.

Na prática, são dados que podem ser usados em diferentes áreas e atividades de uma empresa tais como:

MARKETING / COMERCIAL: ATENDIMENTO AO CLIENTE (SAC):

captação de leads; informações cadastrais.
prospecção de clientes.

RECURSOS HUMANOS: DESENVOLVIMENTO:

captação de dados no processo captação de dados
admissional, informações sobre a biométricos, informações
usabilidade dos convênios médicos de geolocalização.
pelos colaboradores; informações de
consumo em convênios e benefícios.

17
COLETA E TRATAMENTO DE DADOS
SEGUNDO A LGPD
1º. Consentimento pelo titular;

2º. Cumprimento de obrigação legal ou regulatória;

Para realizar a coleta e 3º. Execução de políticas públicas pela administração pública;

tratamento de dados, as 4º. Estudos por órgão de pesquisa;

empresas são obrigadas a
5º. Execução de documentos contratuais / Diligências Pré-contratuais;
comprovar, ao menos, um
dos seguintes motivos para 6º. Exercício Regulares de Direitos;

o seu tratamento: 7º. Proteção da vida ou bem-estar físico do titular;

8º. Tutela da saúde;

9º. Legítimo interesse do controlador;

10º. Proteção do crédito.

18
DADOS SENSÍVEIS: sensíveis” vinculados a uma pessoa natural.
COLETA E
TRATAMENTO DE Essa categoria diz respeito a informações como
convicção religiosa, opinião política, origem racial
DADOS SEGUNDO ou étnica, dados referentes à saúde ou à vida sexual,
A LGPD

19
 Houver o consentimento do titular
O tratamento de dados
sensíveis só poderá
acontecer se:
Será permitido trabalhar com dados
sensíveis sem o consentimento do
titular se for indispensável para:
Cumprimento de obrigações legais;
Tratamento compartilhado pela administração pública
que esteja previsto em Lei ou Regulamentos;
Realização de estudos por órgãos de pesquisa;
Exercício regular de direitos em contratos ou processos
judiciais e administrativos;
Proteção da vida do titular ou terceiros;
da área da saúde;
Garantia de prevenção à fraude e a segurança do titular
em sistemas de cadastros eletrônicos.
20
4
SEGURANÇA DA
INFORMAÇÃO &
LEI GERAL DE
PROTEÇÃO DE DADOS
Com o aumento dos cibercrimes, os ataques maliciosos estão trazendo diversos prejuízos para todos os tipos de

boas práticas de segurança da informação tornou-se essencial para resolver esta questão.

Para apoiar e cumprir os princípios da Lei Geral de Proteção de Dados Pessoais (Lei 13.853/2019), listamos aqui os
requisitos da Norma ABNT ISO/IEC 27001 - a qual traz controles atestados e utilizados em muitos países.

O artigo 46 da LGPD prevê que as empresas que

trabalham com tratamento de dados devem adotar
medidas de segurança, técnicas e administrativas
para proteger os dados pessoais de acessos não
autorizados e de situações acidentais ou ilícitas.

QUAIS AS AÇÕES PREVENTIVAS QUE A SUA EMPRESA

ESTÁ TOMANDO?

22
LEI GERAL DE PROTEÇÃO DE DADOS
ABNT NBR ISO/IEC 27001
PESSOAIS (13.853/2019)

Medidas de segurança, técnicas e administrativas A.12.1. Responsabilidade e procedimentos operacionais

A.9. Controle de Acesso

A.7.2.2. Conscientização, educação e treinamento de segurança da informação

Acessos não autorizados

A.11. Segurança física e do ambiente

A.12.3.1. Cópias de segurança das informações

A.14.2. Segurança em processos de desenvolvimento seguro

A.5.1.1. Políticas para segurança da informação

A.12. Gestão de vulnerabilidades técnicas

Situações acidentais ou ilícitas de destruição
A.16. Gestão de incidentes de segurança da informação

A.17.1. Continuidade da segurança da informação

Informação 6.1. Gestão de Riscos Segurança Informação

A.9. Controle de Acesso

Destruição, perda, alteração, comunicação A.12.3. Cópias de Segurança

A.17.1. Continuidade da segurança da informação

23
Em caso de incidente de segurança que possa trazer
danos aos titulares das informações, segundo o artigo 48
da LGPD, a organização deverá comunicar à autoridade
nacional e ao titular da ocorrência.

LEI GERAL DE PROTEÇÃO DE DADOS

ABNT NBR ISO/IEC 27001
PESSOAIS (13.853/2019)

O controlador deverá comunicar à autoridade nacional

24
5
ÚLTIMAS
ATUALIZAÇÕES
VETO PARCIAL À LEI 13.853:
Conheça a Autoridade Nacional de Proteção de Dados (ANPD)

O que foi instituído?

Em outubro de 2019, o Congresso ANPD será responsável por elaborar diretrizes para a Política
Nacional de Proteção de Dados Pessoais e da Privacidade e por
veto parcial à Lei 13.853 - a qual aplicar sanções em caso de tratamento de dados realizado de
instituiu a criação da Autoridade forma irregular;
Nacional de Proteção de Dados
(ANPD).
procedimentos sobre proteção de dados pessoais;

O que foi mantido no veto (VET 24/2019)?

Exigência de que a revisão de decisões tomadas unicamente
com base em tratamento automatizado de dados pessoas
seja realizada por uma pessoa e não por uma máquina. Para
o Executivo, essa exigência inviabilizaria os modelos atuais
de planos de negócios de muitas empresas - especialmente
das startups.

26
VETO PARCIAL À LEI 13.853:
Conheça a Autoridade Nacional de Proteção de Dados (ANPD)
Em outubro de 2019, o Congresso
veto parcial à Lei 13.853 - a qual
instituiu a criação da Autoridade
Nacional de Proteção de Dados
(ANPD).
O que foi restabelecido após veto inicial da
Presidência da República?
Os quatro novos tipos de punição que haviam sido vetados
pelo Presidente e foram restabelecidos são:
Suspensão parcial do funcionamento do banco
de dados por até seis meses;
Suspensão do exercício da atividade de tratamento
dos dados pessoais pelo mesmo período;
Proibição parcial ou total do exercício de atividades
relacionadas a tratamento de dados;
Previsão de que as punições poderão ser aplicadas
sem prejuízo a outras previstas em lei, e de que as
novas sanções criadas só poderão ser aplicadas
depois de já ter sido imposta outra pena para o mesmo
caso concreto, como multas, bloqueio e eliminação
dos dados pessoais a que se refere a infração.
27
VIGÊNCIA EM AGOSTO DE 2020 SANÇÕES ADIADAS PARA AGOSTO DE 2021

19 de maio de 2020: Substitutivo da 10 de junho de 2020: Presidente Jair

PL 1.179/2020 foi aprovado e lei volta Bolsonaro sancionou Lei 14.010/2020
a ter a data de vigência para agosto e publicou dia 12 no Diário Oficial da
de 2020. Multas e sanções ficam União. Texto prevê início de multas e
definidas para agosto de 2021. sanções da LGPD para agosto de 2021.

28
6
WEBINARS
LGPD
30
AGORA ESTÁ NA
HORA DE COLOCAR
EM PRÁTICA
podem resultar na economia de custos ainda maiores para o seu negócio.
Suas vantagens para o futuro são diversos e podem evitar prejuízos
muito severos.

É importante entender que segurança e gestão de vulnerabilidade são

investimentos e cuidados mais do que necessários.

Agora que você já sabe o que é LGPD, comece a agir o mais rápido possível.

32
QUER SABER MAIS SOBRE ESSE ASSUNTO?
Entre em contato conosco!

contato@ecotrust.io contato@amadoebana.com.br
(11) 4305 1868 (11) 4375 0045

Este E-Book foi atualizado em Outubro de 2020.

Baixe o E-Book atualizado aqui. Webinar sobre LGPD: clique para se inscrever!