MÓDULO 16

A EMPRESA EM
CONFORMIDADE COM A LGPD
Parabéns por chegar até aqui! Você com certeza faz parte da resistência e

está cada vez mais perto de possuir todos os conhecimentos necessários

para atuar com a LGPD.

Mas para que não fique nada para trás, eu decidi criar este Módulo de

Revisão. Então vamos comigo resumir e reforçar todos os aprendizados do

curso e entender um pouco mais sobre como eles funcionam na prática?

Continue acompanhando!
AULA 91 - O QUE FAZ A EMPRESA ESTAR EM CONFORMIDADE?

O que faz com que uma empresa esteja de fato em Conformidade com a Lei

Geral de Proteção de Dados?

A ideia deste Módulo não é esgotar o tema, que ainda traz inúmeros casos

concretos, possibilidades e atualizações frequentes, mas sim mostrar de

maneira prática as aplicações, indicando de forma resumida, tudo o que

você deve se atentar para deixar uma empresa adequada à LGPD.

___________________________________________________________

AULA 92 - A EMPRESA EM CONFORMIDADE

Os conceitos chave relacionados à LGPD foram indicados nos Módulos

anteriores do Curso LGPD 4.0. Vimos também os processos e etapas da

adequação, os documentos necessários, as técnicas de Privacy by Desing e

muito mais.

Então vamos entender que os Módulos anteriores são o combo de todos os

conhecimentos que você precisa para colocar uma empresa em adequação

à LGPD. E que agora, iremos revisitar todos esses pontos principais, para

trazer mais aplicabilidade e noções práticas associadas a essas teorias,

indicando também pontos estratégicos que merecem a sua atenção na

construção do seu Projeto de Adequação.

Vamos lá!

A PRIMEIRA FASE: CONSCIENTIZAÇÃO

Este primeiro momento consiste em demonstrar para a empresa e a todos os

seus funcionários, a importância da LGPD.

Lembra-se do Módulo 1?

Nele, nós abordamos sobre a importância dos dados pessoais, contamos

casos emblemáticos sobre a proteção de dados, entre outros pontos, que te

oferecem uma base para sustentar a sua conscientização.

A melhor forma de fazer isso é trazendo o POR QUÊ do desenvolvimento

desta lei, fazendo com que as pessoas consigam compreender os seus

impactos e OPORTUNIDADES.

As informações dispostas neste Módulo 1 podem contribuir para que a sua

conscientização seja efetiva, porque é o momento que você atrai a atenção

das pessoas, enquanto empresa, mas também enquanto titular de dados.

Esses argumentos também podem ser utilizados no momento da venda do

seu Programa de Conformidade, mas este é o assunto do nosso próximo

Módulo!

DICA!

Utilizem dos cases! Eles são importantes e conseguem demonstrar o que

acontece na prática, além de trazer uma visão mais ampliada e relevante

sobre a Lei e o contexto da sociedade. Eles vão te ajudar a tocar e se

conectar com as pessoas na sua conscientização.

A SEGUNDA FASE: MAPEAMENTO

Esse é o momento de mapear todo o funcionamento da empresa, criando um

diagnóstico.

Então, considere quais são os conceitos principais que você precisa ter em

mente para desenvolver essa etapa.

Categoria dos dados: Lembre-se de buscar a Categoria dos dados a serem

tratados. Os dados coletados são comuns, de criança e adolescente ou são

dados sensíveis? Este é o momento de fazer essa diferenciação entre os

dados.

Por exemplo:  Se o seu funcionário indica que na hora do cadastro são

coletados os dados de sexo, você precisa saber que tipo de categoria está

este dado.

Da mesma forma, se você estiver trabalhando para um hospital e no

cadastro for pedido o tipo sanguíneo do titular. Então você precisa indicar

que esse é um dado sensível, por se tratar de algo relacionado a saúde. E

seguir dessa mesma forma, categorizando as informações adquiridas no seu

Mapeamento.

A categoria dos dados vai ser importante para a elaboração do seu

diagnóstico e dos próximos passos.

Anonimização: E de forma relacionada às categorias, você deve lembrar-se

também dos Dados Anonimizados neste momento do seu Programa de

Adequação. Algumas empresas já trabalham com essa técnica antes mesmo

da LGPD existir. Portanto, verifique se elas já são feitas e como são feitas,

para confirmar se estão realmente estão cumprindo este objetivo.

É importante levar em consideração se a técnica está adequada aos pa-

drões da LGPD, uma vez que a prática não é uma novidade trazida pela lei,

mas algo que já era feito anteriormente.

Transferência Internacional de Dados: Neste momento, você deve preocupar-

se também com a Transferência Internacional de Dados, compreendendo se

ele é transferido, para quem e por que. Ela realiza ou não essa

transferência?

Aplicabilidade: Outro fator relevante para esta fase é com relação a

Aplicabilidade da Lei, que nós vimos no nosso Módulo 2.

Com isso, você vai avaliar se a empresa é Business-to-Business, por exemplo.

Isso vai te indicar com quais tipos de dados ela trabalha.

No caso da B2B, ela trata apenas dados de Pessoas Jurídicas, o que significa

que estão fora dos enquadramentos da LGPD. Mas, conforme indicamos,

você deve se atentar para quais dados de Pessoa Física a empresa trata.

Como, em muitos casos, acontece dela tratar os dados dos funcionários, o

que já passa a ser inserido no escopo da Lei.

Além disso, dentro do tópico de aplicabilidade, estão os fatores voltados

para o tratamento de dados de empresas que não estão sediadas no Brasil.

Com isso, você precisa perceber quais são os dados tratados por ela, dentro

do território nacional, devido a aplicabilidade da LGPD.

Então, este é mais um conceito teórico, que você precisa lembrar no

momento do seu Mapeamento.

Ainda com relação a aplicabilidade, você precisa buscar as Finalidades para

compreender se a LGPD é válida neste caso ou não, porque, conforme vimos,

existem alguns casos de exclusão. Por isso, você precisa avaliar se existe

alguma finalidade jornalística, acadêmica, entre outros pontos que não

estão inseridas na LGPD.

Sujeitos relacionados a LGPD: Você também consegue observar quem são os

sujeitos envolvidos no processo de coleta e tratamento de dados,

identificando quem são os seus titulares, ou seja, as pessoas naturais que

têm os dados tratados.

Por exemplo:  Seguindo a ideia do Hospital, os titulares são os pacientes, os

médicos e demais funcionários. No caso de uma Loja de Roupas, os titulares

são os clientes, exclusivamente um público feminino. Ou ainda, se tratando

de um e-commerce de criança, de produtos infantis, essas crianças serão o

meu público, então aqui, eu vou realizar um tratamento de dados de

crianças, o que já me indica a categoria.

Consegue perceber como tudo se conecta?

Controlador/Operador:  Então vendo os sujeitos envolvidos, você consegue

distinguir também se a empresa está no papel de Controladora ou

Operadora.

Este é o momento em que você define a posição que a empresa ocupa, o

papel que ela executa neste processo de tratamento de dados.

Você consegue indicar até mesmo quando a empresa exerce os dois papéis,

em situações diferentes, uma vez que a empresa pode atuar nas duas

funções em casos distintos do tratamento de dados.

Além disso, você pode se deparar com uma situação de CO-CONTROLE. Isso

significa que você não consegue enxergar a empresa atuando em uma

função específica, ou como controladora ou como operadora. Nesses casos,

as empresas se unem para fazer de forma conjunta as determinações

voltadas aos tratamentos de dados.

A LGPD não traz determinações expressas sobre o co-controle, mas essa

prática existe na GDPR, que vocês já sabem que se trata do Regulamento

Europeu. Por isso, entende-se que ele também virá para a experiência

brasileira.

Aproveite para entender melhor seu funcionamento conferindo o material

complementar sobre essa prática que eu disponibilizei para vocês na aula

sobre Operador x Controlador!

Dessa forma, você consegue definir quem são os sujeitos presentes naquela

empresa, quais são os atores e quais posições eles ocupam.

Princípios da LGPD:  É através do Mapeamento também que você vai

conseguir verificar se a empresa já segue os Princípios da LGPD, que

funcionam como a base da lei e devem ser levados em consideração.

Utilize das seguintes perguntas:

> A empresa está tratando dados com Finalidade?

> Ela tem uma Finalidade para todo tratamento de dados que ela exerce?

> Ela utiliza o meio adequado?

> Ela só coleta os dados que são necessários?

> Ela utiliza o momento adequado?

> Ela tem parâmetros de Segurança da Informação?

> Ela trabalha essa prevenção com relação aos incidentes de segurança?

> Ela não discrimina pessoas através daquele tratamento de dados?

Todas essas informações te ajudam a enxergar se a empresa já tem uma

Cultura de Proteção de Dados, aplicando os Princípios da LGPD.

Por exemplo:  Você pode verificar se está coletando dados que não são

necessários e informações que não são utilizadas, o que significa que ela

não está agindo conforme o Princípio da Necessidade.

Você consegue medir se ela tem parâmetros de Segurança da Informação,

se usam sistemas de Firewall Fort ou algum outro software e como funciona

toda essa parte técnica voltada para essa área, entre outros pontos

relacionados aos Princípios.

Base Legal:  Você também pode verificar se existe a indicação de uma Base

Legal para cada finalidade de tratamento.

Mas eu já posso te adiantar que provavelmente não existe, uma vez que as

empresas não tinham esse pensamento antes da LGPD.

Porém, o que você vai verificar é se os tratamentos já podem ser

enquadrados em alguma Base Legal.

DICA!

Ao verificar um tratamento e não conseguir identificar de forma fácil por

qual Base Legal ele deve ser apoiado, deixe uma indicação, um ponto de

exclamação, algum alerta para que você repense e veja se este é um

problema.

Vida útil:  Outro elemento que você precisa verificar é se a empresa

considera a vida útil dos dados ou se, ao serem coletados, eles ficam

permanentemente no seu Banco de Dados.

Muitas empresas não realizam ou conhecem o processo de descarte dos

dados e isso pode ser considerado um problema.

Direitos dos Titulares: Outro ponto que necessita de atenção no seu

Mapeamento é sobre a execução dos Direitos dos Titulares.

O Marco Civil da Internet já trouxe esse ponto anteriormente à LGPD, além

disso, existem indicações sobre isso também no Código do Consumidor,

portanto, pode ser que algumas empresas apresentem ações voltadas para

esse aspecto.

Com isso, é válido verificar o que já estava sendo feito, se há algum canal de

comunicação com o titular, se funciona, se é efetivo, como ele é, quais

direitos estão sendo resguardados e todas essas questões.

Pode ser também, que a sua verificação se depare com uma empresa que

não apresenta nenhum mecanismo para garantir o exercício dos Direitos dos

Titulares. E isso representará um gap.

Tudo o que deve ser feito e não está sendo feito pela empresa, será

enquadrado e listado como um gap na fase do Gap Analysis, ou seja, se

tratam dos problemas que você vai precisar focar em resolver após a fase do

Mapeamento.

O que eu quero que você perceba é que esta fase de Mapeamento é

fundamental e vai trazer clareza sobre todos os processos relacionados ao

tratamento de dados na empresa, para que você consiga visualizar em quais

você vai precisar focar e melhorar, nas fases seguintes.

E as perguntas que você apresentar no seu Mapeamento devem responder e

indicar todos os conceitos que são fundamentais à LGPD, que nós

trabalhamos nos primeiros módulos.

Logo, o seu Mapeamento inclui uma série de fatores que compõem o

tratamento de dados da empresa, demonstrando o seu estado atual, e irá

gerar um Mapa da empresa, que você fornece todas essas conclusões

citadas acima.

E sem os conceitos e parte teórica, não há como adequar uma empresa à

LGPD. Mas através deste Mapeamento e dessas fases, você consegue

transformar tudo isso em ações, ainda que haja uma dificuldade em fazê-lo.

A TERCEIRA FASE: GAP ANALYSIS

Após a construção do seu Mapeamento, é o momento de verificar e listar

quais são os gaps encontrados, ou seja, onde estão os problemas.

Por exemplo:  Se nós separamos as categorias e verificamos que a maioria

dos dados tratados são sensíveis, a gente precisa ter uma atenção especial

com relação a Base Legal e a forma com que esses dados serão tratados.

Além disso, verificamos que existe Transferência Internacional de Dados, mas

a empresa não possui um contrato específico que nos proteja em relação a

essa empresa, então é preciso listar esse ponto, para que seja desenvolvida

essa maneira de se resguardar.

Em relação a aplicabilidade, uma das empresas que eu transfiro dados é a

minha nuvem (cloud), que está localizada na Inglaterra. Isso significa que ela

precisa estar em de acordo com a LGPD e eu preciso cobrar deles essa

postura de conformidade. Então eu vou indicar esse ponto, para que seja

criado um meio de cobrança para compreender a postura da empresa com

relação a isso.

Meio de cobrança:  Esse meio de cobrança pode ser um questionário, um

email, uma call, ou qualquer outra maneira que seja confortável para a sua

empresa e consiga cumprir o objetivo.

Um dos meus clientes recebeu de uma parceira, em que ele atua como

operador, um email com várias perguntas sobre a adequação da LGPD. E

nós respondemos tranquilamente. Porém, sabe-se que nem todos os

parceiros puderam lidar da mesma maneira, já que existem diversas

empresas no mercado que desconhecem a Lei ou estão atuando de forma

totalmente despreparada com os dados dos titulares.

Essa movimentação, é a representação sobre o Efeito Cascata, uma vez que

a empresa que enviou esse email, está avaliando quem está em

conformidade para definir quais empresas irão permanecer como parceiro.

E, seguindo essa ideia, todas elas deverão se adequar em algum momento.

Então isso é importante! A sua empresa deve verificar quais parceiros estão

adequados, para definir quais irão permanecer atuando em parceria com a

sua empresa.

Seguindo com os nossos exemplos sobre Gap Analysis: Se você verificar que

está no papel de controlador ou de operador, mas não existe um contrato

que indique de maneira clara o seu papel e o funcionamento dessa relação,

é preciso desenvolver esse documento, que nós já conhecemos como Data

Processing Agreement.

Além disso, você verificou que a empresa não tem Princípio de Necessidade,

Livre Acesso e de Qualidade dos Dados. Então será necessário desenvolver

esses processos para que a empresa consiga atingir esses objetivos.

Você irá listar quais Princípios da LGPD a empresa não está seguindo, para

incluir no seu Plano de Ação os processos e soluções que deverão ser criados

ou alterados, para atingir todos esses Princípios.

Se a empresa não apresenta as Bases Legais nos seus tratamentos, você terá

que determinar cada uma, conforme cada finalidade.

Então você irá verificar quais os Princípios a empresa não está seguindo,

enquadrar processos que só coletam os dados com finalidade e para cada

finalidade definir as Bases Legais.

Outro Gap encontrado está relacionado a vida útil dos dados. Neste sentido,

para cada processo de tratamento, você terá que verificar qual é a vida útil

do dado, configurando um caminho que determine quando acaba a vida útil

e se encerra aquele uso das informações, para que a empresa não fique

acumulando dados para sempre. Então você terá que buscar soluções para

isso.

Sobre os Direitos dos Titulares, se você verificou que a empresa não possui

mecanismos de resguardar esses direitos, também são configurados como

gaps, que deverão ser resolvidos e adequados a LGPD.

Então neste ponto, você terá que desenvolver um meio pelo qual os titulares

conseguem entrar em contato com a empresa de forma a garantir o

exercício dos seus direitos.

Porém, é preciso trazer outras questões envolvidas, como:

> Como esse direito será exercido?

> Qual será a mensagem que o titular vai receber ao fazer esse contato?

Lembra que em alguns casos relacionados a esses direitos existe a

obrigação de resposta imediata ou justificativa com prazo para ser

resolvido?

O Processo de Adequação nada mais é do que a criação de novos processos

e adequação dos processos existentes.

Se trata da empresa estar preparada para lidar com as situações, sabendo

quais caminhos seguir, em quais situações.

Por isso que eu falo que nós temos que ser bons gestores, porque as

atividades voltadas para a Conformidade da LGPD está muito ligada a

gestão de processos de uma empresa, com relação à Privacidade e

Proteção de Dados.

Então, na nossa suposição, se a empresa não apresenta mecanismos que

garantam o exercício do Direito dos Titulares, eu vou criá-los, com base no

que cada direito demanda, conforme nós vimos no Módulo sobre este

assunto.

Além de tudo isso, você pode verificar a ausência de documentos

necessários, revisão de cláusulas contratuais, uma política de privacidade

genérica, que não cumpra os objetivos ou esteja em desacordo com as

indicações da LGPD, entre outros fatores.

Sabendo de todas as documentações necessárias, você irá verificar quais

deles ainda precisam ser elaborados ou alterados.

Outro fator de extrema relevância se trata das condições de Segurança da

Informação. Conforme você verificou no seu Mapeamento, elas ainda

precisam de melhorias ou se encontram em uma situação de fragilidade,

apresentando um risco grande de incidentes.Então é preciso propor soluções

que melhorem a segurança, tanto internamente, levando em consideração o

acesso dos funcionários aos dados e informações, quanto externas, de modo

a evitar ataques.

E quando eu penso nas questões relacionadas a Segurança da Informação,

eu também estou me referindo a Gestão de Risco e Gestão de Crise.

O que significa que também será necessário desenvolver processos para

gerir os riscos da empresa e o passo-a-passo para uma gestão de crise.

A partir do momento que você está analisando a área da Segurança da

Informação, você precisa trazer esse gap, indicando a necessidade de criar

esses processos.

Você já consegue definir um processo interno sobre o que a empresa irá

conferir, de que maneira ela irá agir, de acordo com o que está se passando

neste incidente de segurança, abrangendo tanto as questões técnicas,

quanto de transparência ao titular.

Mas nós já falamos sobre isso e se for necessário, você pode voltar e rever

essa aula na hora de montar os seus processos.

E para cada gap encontrado, você irá propor uma solução!

DICA!

Ao verificar os gaps, utilize um sistema de organização de forma que você

consiga ordenar conforme o nível de risco. Coloque primeiro os mais

problemáticos, seguidos dos menos problemáticos. Dessa forma, você

facilita a realização da próxima fase.

A QUARTA FASE: PLANEJAMENTO

Então nós já trouxemos a Conscientização, já Mapeamos o funcionamento

da coleta e tratamento de dados e listamos os gaps, indicando soluções.

Agora, é hora de Planejar os próximos passos para resolver todos esses gaps.

Então, nesta fase, você irá desenvolver um Plano de Ação, para organizar

todos aqueles novos processos que serão necessários para deixar a empresa

em Conformidade com a LGPD.

Então você irá se atentar para cada um dos processos que você precisa criar

ou adequar, os documentos que precisam ser criados ou alterados, entre ou-

tras ações que você já compreendeu que serão necessárias, através do seu

Gap Analysis.

As fases da Adequação:  Relembrando o que eu falei sobre as Fases do

Processo de Adequação, é importante frisar que algumas empresas não irão

seguir todas essas fases.

Então, em alguns casos, pode ser que a empresa verifique, por exemplo, a

ausência de um processo voltado para o exercício dos Direitos dos Titulares

e resolva imediatamente, partindo para o seu desenvolvimento e pulando

essa etapa do Planejamento.

Neste formato, ela identifica o problema, indica e implementa uma solução

de forma imediata.

As empresas maiores estão mais propensas a seguir todas as etapas,

incluindo o planejamento, indicando tudo o que deve ser feito de maneira

mais organizada, que é um caminho mais lógico e focado.

Mas é preciso considerar, principalmente em casos de empresas que irão

adequar-se com  prazos apertados com relação a vigência, pode-se esperar

esse tipo de comportamento.

Eu indico que a adequação seja feita em todas as etapas, mas ela também

pode ser feita dessa forma e não há problema, desde que todos os

processos sejam criados e todas as medidas para que a empresa esteja em

conformidade sejam tomadas.

Privacy by Desing: Para os projetos novos você pode também criar um

processo voltado para execução de novos produtos. Então inclua esse ponto

também no seu Planejamento!

DICA!

Crie um check list para essa fase, para que você consiga acompanhar tudo o

que já foi feito e tudo que ainda precisa ser feito.

Aproveite para indicar também em qual área aquela ação está direcionada

e quem é o responsável por seu desenvolvimento.

Por exemplo: um contrato, será desenvolvido pela área jurídica. E tendo essa

informação organizada, você consegue enxergar melhor esse

desenvolvimento.
A QUINTA FASE: IMPLEMENTAÇÃO

Depois de descobrir quais são os problemas e listar o que deve ser feito,

você irá partir para a ação.

Portanto, esta fase é caracterizada por colocar o seu Plano de Ação em

prática e implementar tudo o que foi indicado como necessário.

Então você irá criar os documentos, elaborar os novos processos e colocá-los

para rodar.

DICA!

Como esta etapa pode configurar uma série de mudanças e alterações na

dinâmica da empresa e de alguns setores, eu indico a realização de

treinamentos conforme a mudança de processos internos.

Por exemplo: Se forem alterados os processos de Marketing, você irá reunir

os integrantes dessa área para esclarecer e pontuar essas mudanças,

mostrando como isso irá impactar no setor.

Inclua, sempre que achar necessário, os treinamentos, para que o seu

Processo de Adequação conte com a colaboração e participação dos

funcionários.

A SEXTA FASE: MONITORAMENTO

Depois de implementar todas as ações e processos citados, você irá

monitorar, a fim de confirmar a qualidade do seu funcionamento e a

necessidade de novos ajustes.

Veja esta situação-exemplo: Supondo que a empresa desenvolveu um

processo voltado para o exercício dos Direitos dos Titulares, que irá consistir

em um canal de diálogo via e-mail.

Mas vocês perceberam que não existe, neste processo, nenhum mecanismo

para identificar se a pessoa é ela mesma e isso pode ser um problema.

Então será preciso rever aquele processo, para corrigir essa falha.

Espero que este Módulo tenha sido útil e conseguido trazer clareza sobre a

relação entre teoria e prática, para demonstrar o quão importante é para um

profissional da área ter todos esses conhecimentos na hora de construir o

seu Processo de Adequação à LGPD.

Então, guarde essas indicações e dicas sobre o que observar em cada fase,
sem se esquecer de que um Programa de Adequação não se resume

somente a isso. Cada empresa tem as suas peculiaridades que devem ser

levadas em consideração.

Você basicamente irá criar novos processos e documentos e alterá-los,

conforme for preciso e lapidar cada vez mais a sua área de segurança,

privacidade e Proteção de Dados.

Nos vemos no próximo Módulo! Até lá!