COMO ADEQUAR QUALQUER NEGÓCIO À LGPD

CONCEITOS E REQUISITOS:

1. A QUEM SE APLICA?

 Qualquer pessoa física (exceção tratamento para fins exclusivamente particulares e

não econômicos).
 Pessoas jurídica de direito público ou privado.
 Se aplica independente do meio utilizado, se físico ou digital.
 No país de sede ou país onde estejam localizados os dados, desde que:
 Tratamento de dado realizado em território nacional.
 Tratamento de dado para ofertar ou receber bens ou serviços no território
nacional.
 Tratamento de dados coletados em território nacional.

2. ATORES ENVOLVIDOS

 ANPD - órgão federal e exclusivo, responsável por zelar, implementar e fiscalizar o

cumprimento da LGPD.
 TITULAR - pessoa natural a quem se referem os dados pessoais que são objetos de
tratamento.
 CONTROLADOR - PJ ou PF a quem competem às decisões referentes ao tratamento de
dados pessoais.
 OPERADOR - PF ou PJ que realiza o tratamento de dados pessoais em nome do
controlador.
 ENCARREGADO (DPO) – pessoa indicada pelo controlador e operador que vai lidar com
a proteção de dados dentro da empresa e garantir que os colaboradores estejam
tratando os dados de acordo com a LGPD, ser um canal de comunicação entre o
controlador, os titulares e com a ANPD. Atribuições:
 Aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e
adotar providências.
 Receber comunicação da autoridade nacional e adotar providências.
 Orientar os funcionários e contratados da entidade a respeito das práticas em
relação à proteção de dados pessoais.
 Executar as demais atribuições determinadas pelo controlador ou estabelecidas
em normas complementares.

O QUE QUER DIZER SE ADEQUAR A LGPD?

Cumprir os requisitos que estão na Lei. O primeiro requisito é os:

3. PRINCÍPIOS

Eu preciso usar os dados com transparência, com boa fé, garantindo que os dados sejam
utilizados com a finalidade que eu informei ao titular, não usar os dados de maneira
discriminatória, garantir que esse titular tenha acesso a essas informações, ter medidas para
prevenir o incidente, ter mecanismos, medidas de segurança, tratar somente os dados
necessários para a finalidade que eu estou coletando, Responsabilização e prestação de
contas, adequação e qualidade dos dados.

Pra eu conseguir avaliar se estou cumprindo todos esses requisitos eu preciso de um método.

Eu tenho que tratar as informações pessoais de acordo com uma autorização a Lei me dá. Se
eu não tiver uma autorização, significa dizer que eu que dizer que eu não posso exercer essas
atividades.

E o que são essas autorizações é o que chamamos de Bases legais.

4. AUTORIZAÇÃO

BASES LEGAIS:

É muito comum a gente ouvir falar de Consentimento, mas só o consentimento não vai
garantir e pelo contrário, pedir consentimento em tudo pode colocar a empresa num risco
ainda maior.

Eu preciso entender que existem outras formas de como eu posso utilizar o dado.

Eu posso pedir informação para expedir a nota fiscal, por uma obrigação legal (ou
regulatória).

Eu posso pegar um currículo e querer os dados de um possível funcionário para execução do

meu contrato de trabalho ou um contrato com o meu cliente, onde eu também preciso de
informações pessoais - execução de contrato.

Utilizar em um processo judicial, administrativo ou arbitral, onde eu precise de informações

de um terceiro.

Eu posso utilizar para o legítimo interesse da empresa, em campanhas de marketing, ou

qualquer atividade para promoção e atuação dessa empresa que vai ao encontro com as
expectativas do titular.

Eu também posso utilizar para a Proteção do crédito, específico para quando fala em
inadimplência, adimplência, onde a empresa precisa fazer uma atualização de cadastro, de
analise de crédito.

Execução de políticas públicas,

Estudos por órgãos de pesquisa,

Utilizar as informações para a tutela da saúde, um procedimento médico, e nesse caso

também vou precisar de um consentimento.

Eu posso utilizar essas informações para Proteção da vida em caso de situações emergenciais.

5. ATENDER O TITULAR

DIREITOS DOS TITULARES

Confirmação da existência de tratamento

Informação sobre o não fornecimento do consentimento e consequências

Revisão de decisão automatizada

Correção dos dados

Revogação do consentimento

Acesso aos dados

Informação de compartilhamento

Anonimização, bloqueio ou eliminação

Portabilidade

Para atender essas demandas, a empresa ter que criar um canal.

Os pedidos não são absolutos, a empresa deve manter as informações para cumprir suas
obrigações, no caso de um pedido de eliminação de dados. A empresa tem que estar
preparada e saber como responder, garantindo os direitos dos titulares.

6. OBRIGAÇÕES E BOAS PRÁTICAS

Medidas para proteger os dados (controle de acesso, prevenção a destruição, perda, alteração
dentre outros)

Estrutura de governança de privacidade com políticas, normas e procedimentos;

Manter registro das operações de tratamento;

Eliminação de dados após término do tratamento;

Notificação de incidentes de privacidade que podem acarretar risco ou dano ao titular;

Observância de regras específicas para transferência internacional de dados;

Observância de regras específicas para o tratamento de dados pessoais de crianças e

adolescentes;

7. SANÇÕES ADMINISTRATIVAS

● Advertência; ● Multa de até 2% do faturamento limitada a R$ 50.000.000,00 por infração ●

Multa diária ● Publicização da infração ● Bloqueio ou eliminação dos dados pessoais a que se
refere a infração ● Suspensão parcial do funcionamento do banco de dados a que se refere a
infração ● Suspensão do exercício da atividade de tratamento dos dados pessoais a que se
refere a infração ● Proibição parcial ou total do exercício de atividades relacionadas a
tratamento de dados.

* consequência como dano de imagem e dano operacional e financeiro

8. ABORGADEM NA EMPRESA

Abordagem de conscientização, benefícios, vantagem competitiva, visão perante o mercado,

reputação.

2. QUAIS DOCUMENTOS DEVEM SER ANALISADOS E/OU ELABORADOS PARA GARANTIR A

ADEQUAÇÃO DE UMA EMPRESA À LGPD

Duas fases:

1° Diagnostico

Avaliação

Treinamento inicial com gestores das áreas;

Questionário múltipla escolha;

Finalidade (opções mais amplas)

Entrevistas, obtenho mais informações

Já temos o mapeamento dos dados – 1° documento obrigatório

AVALIAR OS RISCOS:

Estou cumprindo com os princípios,

Tem uma base legal adequada

O que preciso fazer para adequar a lei

Tenho um canal para atendimento do titular

Tenho um processo para avaliar um incidente de segurança

Quando contrato um terceiro, tenho um processo de gestão com esse terceiro

Tenho um processo de como eu faço para descartar aquela informação

Avaliar de como a empresa estava e como ela deve ficar (expectativa e realidade)

Com base nisso elabora-se o plano de ação

Política de como uso os dados pessoais, revisar a política,

RESULTADO DA ETAPA DE DIAGNÓSTICO – reunião com a empresa

2° Implementação

Revisão, adaptação e criação de novos processos dentro da empresa. Treinamento.

Monitoramento, revisões, auditorias

Entregar o programa para que a empresa sustente

Quais os documentos

PRINCIPAIS DOCUMENTOS

Processo de Gestão de Terceiros (contrato, cláusulas entre operador e controlador, processo

de avaliar o terceiro)

Processo de Gestão de Atendimento ao Titular (canal de comunicação com o titular,

formulário para atender os direitos, processo para as pessoas saibam como como responder)

Estrutura de governança de privacidade – quem vai se o encarregado, ter a nomeação dessa

pessoa, e os papeis e atividades desse encarregado. Se eu tiver um comitê de privacidade, vou
precisar escrever o estatuto desse comitê.

Processo de Gestão de Incidente (como reportar um incidente, em que prazo, como informar
o titular, em que prazo, processos para impedir que o incidente ocorre e se ocorrer como ira
fazer para mitigar os riscos)

Políticas, normas e Procedimentos (aviso de privacidade, politica interna de privacidade,

termos de uso, política de cokquies, política de retenção e descarte, da política de
treinamentos

Gestão do Ciclo de Vida do Dado (mapeamento)

Processos de gestão de risco (PbD - Privacy by Design, em caso de uma atividade nova da
empresa que necessite o uso de dados pessoais, tem que se desenvolver dentro das regras já
estabelecidas pela LPGP e RIPD – Relatório de Impacto a Proteção de Dados)

Legitimação de bases legais (consentimento e Legítimo Interesse – teste do legítimo interesse)

Segurança da Informação (backup, politica de segurança, Materiais de Treinamentos)