Como implantar a LGPD

na minha empresa?
A LGPD entra em vigor em menos de um ano e está mais do que na hora de preparar
sua empresa. Veja, neste e-book, o que é necessário fazer para aplicar a Lei Geral de
Proteção de Dados na sua empresa.

www.penso.com.br
 ÍNDICE

Introdução 3

1. Entenda o conceito de LGPD 4

2. Como a LGPD pode impactar 6

seu negócio

3. A adequação à nova Lei 7

4. Tecnologias necessárias para a 9

adequação à LGPD

5. Esclareça dúvidas sobre a LGPD 10

Conclusão 12

www.penso.com.br
 INTRODUÇÃO

Dos smartphones ao próprio ato de

consumo, a vida nunca mais foi a mesma
desde o início da transformação digital.

Há mais informações à disposição e as

pessoas estão sempre conectadas a
equipamentos que se comunicam entre si.
Mas, para tudo isso acontecer, é necessária
justamente a troca de informações sobre o
comportamento dos usuários.

A cultura de segurança de dados já começou

a ser levada a sério pelos brasileiros. Pesquisa
da Kaspersky Lab mostra que 66% deles
não ficam tranquilos ao compartilharem
suas informações de localização com sites
e aplicativos.

Esta porcentagem aumentou muito em

relação aos 46% de 2016. Outros 74%
temem ser observados ou rastreados (61%)
por seus dispositivos.

Diante da preocupação com a segurança dos

dados e seguindo modelos internacionais
como a legislação europeia General Data
Protection Regulation (GDPR), começa
a valer em 2020 no Brasil a Lei Geral de
Proteção de Dados (LGPD).

Você sabe quais são o objetivos e exigências da LGPD? As

multas são pesadas e todo cuidado é pouco.
Prepare-se, o quanto antes!

www.penso.com.br
 1 ENTENDA O CONCEITO DE LGPD

Conhecida pela sigla LGPD, a Lei Geral de Proteção de Dados entra em vigor em agosto
de 2020. Ela visa aprimorar o regulamento das políticas de coleta, uso e tratamento de
dados de pessoas pelas empresas e órgãos no Brasil.

A adequação à lei trará consequências importantes tanto para o ambiente online

quanto offline, já que muitos brasileiros possuem registros coletados por empresas e
plataformas, fora os cadastros físicos.

São justamente essas informações sensíveis que a legislação vai proteger. Com a LGPD,
as organizações terão de explicar aos interessados, de forma simples e clara, como
seus dados são obtidos, armazenados e compartilhados. Além disso, terão de pedir
permissão de uso e oferecer a possibilidade de revogação, portabilidade e retificação
do que é coletado.

www.penso.com.br
 FISCALIZAÇÃO
De acordo com a lei, a fiscalização ficará à cargo
da Autoridade Nacional de Proteção de Dados
(ANPD), órgão responsável por regulamentar a
coleta de dados. A entidade foi criada para fiscalizar,
regulamentar e interpretar a lei.

Além disso, ficará subordinada à Presidência da

República, com o compromisso de revisão de sua
natureza institucional após dois anos.

SANÇÕES E PENALIDADES
PREVISTAS NA LEI

A ANPD poderá aplicar multas de até 2% do

faturamento da empresa (com limite de R$ 50
milhões), com bloqueio ou eliminação dos dados
relacionados à infração.

Para cada multa será considerado o grau de

comprometimento da empresa com a segurança
da informação e a proteção de dados pessoais. Isso
será feito por meio da comprovação documental,
informação sobre o incidente aos titulares dos
dados, o porte da empresa e seu faturamento.

www.penso.com.br
 2 COMO A LGPD PODE IMPACTAR SEU NEGÓCIO

A implantação das normas precisa ser encarada como uma transformação dos padrões
dentro da sua empresa. O quanto antes você decidir adotar a regulamentação, maior
vantagem competitiva terá no mercado.

Certamente suas peculiaridades afetarão o modo como a organização deve planejar-

se. Aí se incluem setor de atuação, tamanho, grau de exposição, maturidade atual dos
temas de cibersegurança e proteção de dados pessoais.

Será necessária uma mudança na forma como a empresa trabalha com os dados.
Torna-se indispensável investir em sistemas que identifiquem riscos e façam a gestão
das informações, garantindo mais segurança de transferências de dados e controle ao
acesso das informações.

Por fim, é importante identificar quais dados são manipulados e gerenciados, analisando
como são armazenados e protegidos de possíveis ameaças. Isso para potencializar as
políticas de privacidade e segurança da sua empresa.

Além dos investimentos em tecnologias para evitar vazamento e perda de dados, sua
empresa deve rever políticas e processos. Para uma conscientização sobre o tema,
também é fundamental o ajuste de aspectos internos da companhia, incluindo cultura
e treinamento dos funcionários.

www.penso.com.br
 3 A ADEQUAÇÃO À NOVA LEI

O vazamento de dados tem sido um problema em diversas empresas, em função dos

ciberataques. A LGPD pretende minimizar e até mesmo impedir que esses eventos
continuem ocorrendo.

O processo de adequação à lei é relativamente complexo. Sua organização será

responsável por questões de privacidade na internet e proteção dos dados de seus
clientes.

Para atender a nova legislação o ponto central é implementar um Sistema de Gestão de

Proteção de Dados (SGPD). Composto por um conjunto de metodologias, estratégias,
políticas, procedimentos e ferramentas técnicas. Para criá-lo, sua organização precisará
olhar para os dados e mapear o fluxo das informações internas.

Para cada operação com dados é preciso buscar uma base legal, que pode ser o
consentimento do titular ou outros itens contidos nos artigos 7 e 10 da LGPD. Por isso,
sua organização deve avaliar as bases legais para o tratamento.

Em seguida, vem a análise dos riscos envolvidos. Em tratamentos ou operações com

dados de alto risco é necessário fazer a Análise de Impacto sobre Proteção de Dados ou
Data Protection Impact Assessment (DPIA).

O responsável por esta documentação gerada é o Data Protector Officer (DPO) ou

Encarregado de Proteção de Dados. Este profissional deve ter conhecimento jurídico e
de TI para manter o SGPD, analisar casos de vazamentos e solicitações de titulares de
dados. Isso sem dizer de novos projetos ou demandas que impactam na proteção de
dados, já que cada nova operação que envolva risco no tratamento deve ter sua própria
DPIA.

www.penso.com.br
 Confira abaixo um passo a passo que facilitará a
implementação da LGPD na sua empresa:

Procure por aconselhamento jurídico para saber os impactos legais na

1 sua empresa;

Busque um profissional de Segurança da Informação para delinear

2 um plano de mudanças que foque na adequação à nova lei;

Antes de adotar um plano estratégico, revise todos os controles e

3 processos da empresa. O objetivo é levantar quais são os dados
sensíveis e os seus atuais níveis de proteção;

Elabore um Mapa de Riscos que levará em conta o tratamento dos

4 dados pessoais armazenados pela sua empresa;

É preciso saber como, quando e onde todos os dados pessoais de

funcionários, clientes e fornecedores são coletados: de uma simples
5 data de nascimento a informações de folha de pagamento. Onde esses
dados ficam armazenados? Quais são as camadas de proteção?;

Depois do planejamento feito, inicie a implantação com ações corretivas.

Ou seja, reestruture as políticas e acordos de confidencialidade. Sempre
6 que for coletar algum dado pessoal de forma física ou pela internet, a
pessoa precisa aceitar, ou seja, assinar um termo de consentimento e
uso desses dados;

Elabore um verdadeiro programa de educação e conscientização dos

7 funcionários da empresa. Eles precisam saber evitar vazamentos e

ter a noção das responsabilidades e consequências do mau uso dos
dados;

Será preciso definir ainda (e deixar isso bem claro) quais setores
8 poderão ter acesso ao banco de dados e como ele poderá ser utilizado
por cada perfil de usuário;

9 Integrar as áreas de TI, Segurança da Informação e Jurídica também é

uma boa prática para se adequar à nova lei de dados.

www.penso.com.br
 TECNOLOGIAS NECESSÁRIAS PARA A
4 ADEQUAÇÃO À LGPD
As organizações devem adotar práticas de segurança específicas para cada componente
da infraestrutura de TI: servidores, computadores, rede, software e componentes de
comunicação, dentre outros.

Conheça algumas tecnologias fundamentais para garantir

a segurança dos dados:

1. E-mails Criptografados

Em geral, há duas circunstâncias nas quais se deve usar a criptografia:

quando os dados estão ‘em trânsito’ ou quando estão ‘em repouso’.
‘Em trânsito’, neste contexto, é quando as informações são enviadas
pela internet, por e-mail ou quando elas precisam ser armazenadas
em outro lugar fora da empresa. Já os dados são considerados ‘em
repouso’ quando estão guardados em um dispositivo, seja um disco
rígido ou em um meio removível, como uma unidade USB.

2. Tecnologia Anti-Spam

Foi desenvolvida para proteger os sistemas de e-mail corporativo

contra o envio e recebimento massivo de mensagens não desejadas.
Evita a sobrecarga do sistema, gastos com o tráfego excedente e com
a recuperação de problemas causados por aplicativos maliciosos e
vírus, muitas vezes disseminados por meio destas mensagens.

3. Cópias de Segurança

O tão conhecido backup é fundamental para garantir a

disponibilidade da informação, caso a base das informações
armazenadas for danificadas ou roubadas. De preferência opte por
soluções em nuvem por utilizarem funcionalidades mais seguras,
como criptografias e agendamentos automáticos. Ao contrário das
mídias físicas que podem ser perdidas/furtadas ou até sofrerem
algum dano, fazendo que você perca as informações armazenadas.

4. Firewall

É um mecanismo de controle do tráfego de dados entre os

computadores de uma rede interna e destes com outras redes
externas. Ele trabalha segundo protocolos de segurança (TCP/
IP, IPSec, HTTP) que garantem o correto funcionamento da
comunicação entre as duas pontas, visando impedir intrusões.

www.penso.com.br
 5 ESCLAREÇA DÚVIDAS SOBRE A LGPD

A LGPD chega para fomentar o desenvolvimento econômico e tecnológico.

O tema ‘está na boca’ de todos, mas algumas dúvidas persistem entre os
profissionais de TI. Veja algumas delas e como podem ser resolvidas:

1. Com a LGPD vou ter que apagar toda a minha base de contatos?
Se sua base de contatos é formada pelos clientes da empresa, não será necessário
apagar. No entanto, o tratamento dos dados deve ser para a finalidade específica que
justifique o seu uso de acordo com a base legal da respectiva finalidade.

Agora, se a base de dados foi adquirida ou repassada por terceiros, provavelmente terá
que apagá-la, caso os titulares dos dados não saibam que você os utiliza. Uma forma
de remediar esta questão seria entrar em contato e informá-los de modo a pegar o seu
consentimento.

2. Com a LGPD corro o risco de perder parte de minha base de dados?

Suas bases de dados deverão receber tratamento com finalidades específicas,
necessárias e adequadas às atividades da sua empresa no momento. E devem estar de
acordo com as bases legais previstas na lei.

Caso alguma base de dados pessoais ou parte dela não esteja adequada quanto à
finalidade e não possua uma base legal para o seu tratamento, recomenda-se o descarte
destes dados, após estudo das bases legais por um advogado.

3. Devo apagar os dados de um contato sempre que for solicitado?

Não necessariamente. Se o tratamento dos dados for feito de acordo com uma base
legal (art. 7º da LGPD), é possível fazer o tratamento para aquela finalidade, com base
em contrato, obrigação legal e até legítimo interesse.

4. Como será comprovado que a empresa garante a proteção dos dados?

A comprovação se dará por meio dos documentos que devem compor o Relatório de
Impacto à Proteção de Dados Pessoais. Entre eles, mapeamento do ciclo de vida do
dado pessoal, mapeamento de risco, identificação dos agentes de tratamento em cada
etapa ou processo de tratamento de dados.

Além disso, com a criação de políticas, códigos de conduta e comprovantes de

treinamento, entre outros. Ademais, existem certificações mundiais sobre segurança
da informação, tais como a ISO 27001 e 27002.

www.penso.com.br
5. Quais são as áreas que mais sofrerão com os impactos da LGPD dentro
de uma empresa?

As áreas que sofrerão mais com os impactos da LGPD, sem dúvida, são aquelas que
tratam do maior volume de dados pessoais, tais como:

A Recursos Humanos e Departamento Pessoal pelos dados dos

empregados e colaboradores.

B Atendimento ao Consumidor e Pós-Venda.

Marketing pelo tratamento de dados para campanhas e envio de

C propaganda por redes sociais, e-mail marketing.

Vendas, se direta ao consumidor, por tratar os dados pessoais

D para concretização da venda.

E Pesquisa e Desenvolvimento.

6. Quanto tempo leva para uma empresa se adequar 100% à LGPD?

O prazo de adequação de uma empresa à LGPD vai depender de diversos fatores, como
porte, quantidade de filiais, quantidade de processos de tratamento de dados pessoais,
número de funcionários, quantidade de sistemas e bancos de dados pessoais, entre
outros.

Na verdade, é preciso que as empresas iniciem o quanto antes o procedimento de

adequação, já que dependendo dos fatores o processo pode levar entre 6 e 12 meses.

www.penso.com.br
 CONCLUSÃO

A implementação da LGPD deve ajudar o País a

aumentar seu grau de maturidade para questões
como cibersegurança, privacidade e proteção de
dados. As empresas devem investir em tecnologias
que garantam o gerenciamento correto dos dados
dos clientes.

Por isso, o ideal é buscar um parceiro para auxiliar

na adequação da LGPD. Neste caso, fique à vontade
para procurar a Penso Tecnologia. Nosso time está
credenciado para oferecer as melhores soluções a sua
empresa.

SOBRE A PENSO TECNOLOGIA

A Penso Tecnologia é uma empresa de serviços de
TI criada para possibilitar que os clientes utilizem a
tecnologia a favor de seus negócios. Desde 2003
presta serviços e entrega soluções que proporcionam
aos clientes desempenho e tranquilidade.

É uma empresa reconhecida pelo comprometimento

com o resultado final e preocupação em exceder as
expectativas de seus clientes. Sua equipe trabalha
dentro dos mais altos padrões de qualidade e é
composta por profissionais especializados em
diferentes plataformas tecnológicas.

www.penso.com.br