JORNADA LGPD

O que preciso fazer?

 Jornada LGPD, o que preciso saber? 3
Í O que é? Pra que serve? O que muda?
Destina-se a quem a LGPD, afinal?
3
3

N Prazo para adequação

Qual a ligação entre a LGPD e GDPR?
4
4

D As 7 perguntas mais frequentes sobre a LGPD

1- Quais são os processos que devo seguir para me
5

I adequar à lei?
2- Como posso conhecer os dados que são tratados dentro
5

C
da organização? 6
3- Qual time devo ter no comitê de crises? 6
4- Quais são os departamentos responsáveis: Jurídico, TI

E ou Processos?
5- Com a LGPD corro o risco de perder parte de minha
7

base de dados? 7
6- Como será comprovado que a empresa garante a
proteção dos dados? 8
7- Qual o valor da multa caso minha empresa não tenha se
adequado à LGPD até agosto de 2021? 8

10 passos de sucesso na jornada da LGPD 9

1- Mapear 9
2- Analisar 9
3- Desenvolver 9
4- Definir 10
5- Testar 10
6- Implementar 10
7- Capacitar 10
8- Adequar 10
9- Medir 10
10- Atualizar 10

Tripé Claranet 11
Processos 11
Tecnologia 12
Compliance 13
Jornada LGPD, o que preciso saber?

O que é? Pra que serve? O que muda?

LGPD é a sigla adotada para designar a Lei Geral de Proteção de Dados

(Lei nº 13.709) sancionada em agosto de 2018, possui o objetivo garantir
clareza na manipulação de dados das pessoas físicas em quaisquer meios.
A LGPD empodera os cidadãos brasileiros e estrangeiro que possuam seus
dados tratados em nosso território ou por empresas brasileiras no exterior
tornando-os titulares dos dados de modo a permitir que estes possam
solicitar o cancelamento, retificação ou exclusão de seus dados a qualquer
tempo.

Destina-se a quem a LGPD, afinal?

A todas as empresas que armazenam, coletam e ou transmitem dados

pessoais sejam de colaboradores, funcionários terceirizados, clientes,
parceiros e ou fornecedores, independente do ramo de atuação, visto que
existe manuseio de informações seja por meio físico ou digital.

3
Prazo para adequação

A Lei Geral de Proteção de Dados (LGPD) entrou em vigor no dia 27 de

agosto de 2020, teria o seu início prorrogado por mais um ano devido a
todas as questões que impactaram as organizações durante a pandemia
causada pelo novo Corona Vírus. Porém, no dia 26 de agosto foi aprovada
a nova data pelo senado. Com isso, a sua implementação deverá ser feita o
mais rápido possível.

Qual a ligação entre a LGPD e GDPR?

General Data Protection Regulation (GDPR) é uma expressão em

inglês que significa Regulamento Geral de Proteção de Dados que tem
como finalidade proteger os dados e garantir a privacidade dos cidadãos
europeus em seu território ou em qualquer parte do mundo que possuam
seus dados tratados. A ligação entre LGPD e GDPR acontece, quando foi
necessário estabelecer pactos comerciais entre blocos econômicos, por
meio de investimento estrangeiro ou por meio da expansão de empresas
multinacionais, normatizando por força de lei a forma pela qual essas
organizações tratam os dados pessoais.

4
As 7 perguntas mais frequentes sobre
a LGPD

Agora que você tem compreensão sobre o prazo para

adequação, quais serão os negócios impactados
pela lei e o formato do manuseio das informações,
é natural ter algumas dúvidas sobre o assunto, por
tanto, separamos as 7 mais frequentes, confira:

1. Quais são os processos que devo

seguir para me adequar à lei?
• Primeiramente é importante conhecer os
principais pontos que lei aborda e a partir desse
momento, definir um plano de trabalho.
• Assim por meio desse plano de trabalho será
possível definir os passos que devem ser seguidos
para a realização dessa adequação;
• São quatro caminhos que devem ser observados
para a adequação, sendo eles:
• Mapeamento;
• Conscientização;
• Implantação;
• Monitoramento.
• Importante: As quatro frentes devem ter o
mesmo nível de dedicação e atenção, não são
competências hierarquizadas, pois será ineficaz
realizar parte desse trabalho.

5
2. Como posso conhecer os dados que são tratados dentro
da organização?
• Defina um plano de auditoria em todas as áreas da organização o objetivo
é simples, identificar e categorizar todos os dados tratados por essas
áreas
• O trabalho de mapeamento é fundamental para a execução da auditoria
das áreas, pois será por meio dessa atividade que a organização
conhecerá os dados que são tratados pelos departamentos. Aqui
todos os tipos de dados devem ser identificados, sejam aqueles
hospedados em ambientes digitais como os em ambientes físicos.
• Importante: Uma impressão sobre a mesa pode causar o mesmo
impacto no caso de vazamento que um dado armazenado em um
meio digital.

3. Qual time devo ter no comitê de crises?

• Múltiplas competências, a recomendação é que as empresas tenham
representantes estratégicos, táticos e operacionais.
• Representantes estratégicos são aqueles ligados ao board da
organização, haja visto que serão eles que darão subsídios para a
execução do plano no caso de crise;
• Representantes táticos, organizam os temas e definem o plano que
deverá ser seguido, essa competência auxilia a operação na execução
do plano e realiza a ponto para a solicitação dos subsídios junto aos
representantes estratégicos.
• Representantes operacionais, executam o plano, seguem o processo
definido em todos os passos e possuem a responsabilidade de
atualizar o plano de crise com mudanças ou eventos que por ventura
possam vir aparecer durante a execução.

6
4. Quais são os departamentos responsáveis: Jurídico, TI ou
Processos?
• Todos os departamentos devem estar engajados, contudo os
departamentos de compliance, processos e TI devem estar alinhados
ao máximo, pois eles serão as competências responsáveis pela LGPD.
• Observando o comportamento das organizações frente as expectativas
do mercado quanto a LGPD, a Claranet desenvolveu um método que
busca atingir as três frentes observadas na legislação e que podem
não estar claras para alguns profissionais que a estudam.
• Importante: Implantar apenas tecnologia não significa que a empresa
alcançará ou dará conta de atender a todos os pontos observados
pela lei, pois esse é um dos elementos necessários.

5. Com a LGPD corro o risco de perder parte de minha base

de dados?
• O não cumprimento de requisitos ou a falta de governança podem
aumentar o risco de sanções, entre elas da eliminação da base de dados
tratada.
• A eliminação dos dados é uma penalidade bastante grave e que pode
acontecer, por isso a organização tem de estar preparada, ter adotado
medidas padronizadas focadas na governança e melhores práticas de
gestão.
• Existem outras penalidades tão graves quanto a eliminação dos dados,
por esse motivo pensamos que o trabalho de adequação deve entregar
para o board uma análise de risco vs impacto, para dar condição de
clareza na análise.

7
6. Como será comprovado que a empresa garante a proteção
dos dados?
• Não existem garantias, mas sim responsabilidade através da governança
e da implantação de melhores práticas que mitiguem os riscos e caso
alguma coisa fuja do controle, as ações de contenção e correção devem
ser adotadas de forma rápida e eficaz.
• A organização deverá apresentar níveis de maturidade em processos
e na sua estrutura de governança, empresas maduras neste sentido
não possuirão dificuldades na adequação.

7. Qual o valor da multa caso minha empresa não tenha se

adequado à LGPD até agosto de 2021?
• Não existe multa para a não adequação, existem sanções por infringir
as determinações da lei e as sanções financeiras podem chegar a 50
milhões por infração.
• Importante: Apensar da multa parecer impactante a publicização ou
divulgação nas mídias do nome da empresa pode trazer mais impactos
financeiros do que uma penalidade financeira.

8
10 passos de sucesso na jornada da LGPD

• Pensando em ajudá-lo a dar os primeiros passos na LGPD, separamos

uma sequência de ações que se adotadas podem trazer eficácia na
adequação do seu negócio para os requisitos da LGPD, são 10 verbos
de ação:
• Mapear, analisar, desenvolver, definir, testar, implementar, capacitar,
adequar, medir e atualizar.

Está
preparado?
Então vamos lá...

1. Mapear
Essa é a primeira atividade que deve ser desenvolvida na organização e é
neste ponto que ficamos cientes sobre quais dados estão sendo tratados
e quem são as áreas ou os profissionais que os tratam.

2. Analisar
Com o mapeamento realizado as equipes dedicadas para as atividades
da LGPD devem realizar análises no sentido de compreender as reais
necessidades do tratamento de dados realizados por determinado
processo profissional ou área. Será possível dessa forma munir de
informações outras etapas de implantação.

3. Desenvolver
O desenvolvimento de políticas, normas, contratos são necessários para
formalização dos mecanismos legais.

9
4. Definir
Define os indicadores e pontos de medição que deem rastreabilidade e
visão sobre as etapas, fluxos ou questões que apenas são apresentadas
no período de produção.

5. Testar
Testar os níveis de proteção definidos e as possibilidades de vazamento
de dados no ambiente.

6. Implementar
Implantar os controles definidos, as políticas, processos e contratos em
toda a extensão dos serviços prestados pela organização, alcançando os
públicos internos e externos.

7. Capacitar
Realizar o treinamento, capacitação e a orientação dos públicos sobre os
aspectos sustentados pela legislação.

8. Adequar
Realizar o enquadramento ou a adequação de processos existentes ou
da organização de atividades realizadas pelas áreas.

9. Medir
Realiza o monitoramento dos processos implementados e faz a gestão
dos indicadores.

10. Atualizar
Atualiza os processos para a última versão aprovada.

10
 Tripé Claranet
Implementar os processos e soluções da
LGPD pode ser uma tarefa complicada,
por isso a Claranet oferece aos seus
clientes, o tripé da proteção de dados,
vamos conhece-lo um pouco mais:

Processos:
Estruturação dos indicadores necessários para o monitoramento do
desempenho do sistema de gestão baseado na proteção e segurança
dos dados da organização, está competência é responsável por realizar
o mapeamento dos dados, desenho dos processos, treinamento e
capacitação dos envolvidos, acompanhamento e atualização dos
processos e procedimentos internos.

Questões observadas:
• Quais são os tipos de dados tratados pela organização?
• Como são categorizados os dados?
• Quais os tipos de usuários que acessam os dados?
• Os usuários que acessam devem acessar esses dados?
• Como identificam as tentativas de intrusão ou de vazamento?
• Como orientam os colaboradores, parceiros, fornecedores e clientes?
• Quais medidas foram desenhadas para a restrição, contenção e
restabelecimento de serviços que tiveram dados vazados?

11
Tecnologia:
Define os recursos de software e de infraestrutura que serão
implementados no ambiente com o objetivo de reduzir potencialmente
os ricos de obtenção de um dado pessoal, implementando barreiras que
dificultem o acesso não autorizado.

Questões observadas:
• Como eu asseguro que o titular dos dados tem apenas acesso aos
seus dados?
• Foram implementados recursos de MFA (Multi-Factor Authentication)?
• A rede da empresa fica exposta?
• Realiza conexão com outras redes?
• A organização implementou recursos de WAF (Web Application
Firewall) ou possui VPN com outras redes?
• Possui solução para AntiSpam?
• Os titulares mantem contato ou interações por e-mail?
• O banco de dados está seguro?
• Implementou mecanismos de anoimização, pretende criptografar ou
mascarar os dados?

12
Compliance:
Atua na verificação de conformidade, cumprimento e eficácia dos
processos e sistemas aos requisitos da lei.

Questões observadas:
• Os contratos que possuem estão aderentes a legislação?
• Quais riscos para o negócio foram mapeados?
• Estão controlados?
• Possuem classificação de impacto?
• Os prestadores de serviços são monitorados?
• As relações de negócios estão aderentes?
• Os dados que possuem dos titulares são indispensáveis para o negócio?
• Estão amparados legalmente, no caso de vazamento ou obtenção
indevida de dados?
• Estão atentos as alterações ou a novas determinações previstas na
lei?

13
 A sua empresa está no processo de adequação e
você precisa de uma solução segura e que auxilie
nesse projeto?

Conte com o serviço de consultoria LGPD da Claranet,

contate o seu gerente de negócios ou acesse clique no botão
abaixo e faça uma cotação.

FALE COM UM ESPECIALISTA

Impulsionamos os negócios de nossos clientes digitalmente.

contato@br.clara.net