APLICAÇÃO E ADEQUAÇÃO DE EMPRESAS

1. CONSCIENTIZAÇÃO

 Envolver a administração;
 Avaliar as áreas impactadas (RH, financeiro, marketing);
 Nomear os interlocutores;
 Indicar encarregado (DPO) – possibilidade de indicação;

2. MAPEAMENTO DOS DADOS PESSOAIS

 Entender o ciclo de vida dos dados pessoais dentro da organização (coleta, utilização,
compartilhamento, descarte, etc); - data mapping
 Questionário (como o dado é coletado na área, como é utilizado, como é
armazenado, se ele é descartado, com quem compartilha a informação, para
fins de descobrir o ciclo de vida dos dados em cada área da empresa –
juntando tudo temos o mapeamento dos dados pessoais para avaliar os riscos
no tratamento dos dados).
 Entrevista
 Ferramentas de armazenamento tecnológicas

3. AVALIAÇÃO DOS RISCOS

3.1. EM RELAÇÃO AO CICLO DE VIDA DOS DADOS PESSOAIS

(PRINCÍPIOS, BASE LEGAIS, COMPARTILHAMENTOS, PRAZOS DE RETENÇÃO, ETC)

quais princípios estão sendo feridos

 É oferecido ao titular uma política de privacidade quando o dado é coletado (principio

da transparência)
 Principio da finalidade
 Principio da adequação
 Princípio da necessidade
 Principio da qualidade dos dados
 Princípio do livre acesso
 Princípio da segurança
 Princípio da prevenção
 Princípio da responsabilização e prestação de contas
 Princípio da não discriminação

 APLICAÇÃO DA BASE LEGAL

 Mediante o fornecimento de consentimento pelo titular;

 Para o cumprimento de obrigação legal ou regulatória pelo controlador;
 Pela administração pública, para o tratamento e uso compartilhado de dados
necessários à execução de políticas públicas previstas em leis e regulamentos ou
 respaldadas em contratos, convênios ou instrumentos congêneres, observadas as
disposições do Capítulo IV da LGPD;
 Para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a
anonimização dos dados pessoais;
 Quando necessário para a execução de contrato ou de procedimentos preliminares
relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados;
 Para o exercício regular de direitos em processo judicial, administrativo ou arbitral,
esse último nos termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei de
Arbitragem) ;
 Para a proteção da vida ou da incolumidade física do titular ou de terceiro;
 Para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais
de saúde, serviços de saúde ou autoridade sanitária;
 Quando necessário para atender aos interesses legítimos do controlador ou de
terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular
que exijam a proteção dos dados pessoais; (TESTE DE PROPORCIONALIDADE)
 Para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente.

CUMPRIR O DIREITO DOS TITULARES

 Processo de gestão desses direitos dos titulares

 PROCESSO DE GESTÃO DE TERCEIROS QUE COMPARTILHO DADOS PESSOAIS

 Clausulas contratuais
 Transparência

POLÍTICAS

NORMAS

PROCEDIMENTOS

SEGURANÇA DA INFORMAÇÃO

INCIDENTES DE PRIVACIDADES

GESTÃO ACESSO

ANONIMIZAÇÃO

4. PLANOS DE AÇÃO

 Elaboração de um programa de conformidade das etapas e processos de execução,

considerando o grau de criticidade dos riscos.

5. EXECUÇÃO DO PROGRAMA DE CONFORMIDADE

 Criação e adequação de processos e sistemas para endereçar os riscos apontados,

Exemplo: revisão ou elaboração de políticas de privacidade de segurança, políticas de
 retenção e descarte, \ de cookies, elaboração de cláusulas contratuais padrão, revisão
e negociação de contratos, plano de respostas a incidentes;

POLITICAS

 POLITICA DE PRIVACIDADE PRO SITE

 POLITICA DE PRIVACIDADE PARA APLICATIVO
 POLITICA DE PRIVACIDADE PARA FUNCIONÁRIOS E TERCEIROS
 TERMOS DE USO
 POLITICA DE TRANSFENRENCIA INTERNACIONAIS DE DADOS
 POLITICA DE TREINAMENTO
 POLITICA DE RETENÇÃO E DESCARTE
 POLITICA DA SEGURANÇA DA INFORMAÇÃO
 USO SEGURO DE INTERNET
 POLITICA DE GESTÃO DE ACESSO

PROCESSOS

 PROCESSO DE GESTÃO DE TERCEIROS ( enviar formulário ao terceiros para ver como

ele atua em relação a segurança de dados pessoais – por conta da responsabilidade
solidaria entre coordenador e operador)
 PROCESSO DE PETIÇÃO DE TITULAR (quem vai receber as demandas dos titulares e
responder, qual será o canal disponibilizado)
 PLANO DE RESPOSTAS A INCIDENTES
 DPIA – RELATÓRIO DE AVALIAÇÃO DE RISCOS E IMPACTO À PROTEÇÃO DE DADOS
 TERMOS DE CONSENTIMENTO

6. TREINAMENTOS

 Capacitação dos profissionais de acordo com as regras internas e externas que

deverão ser seguidas em relação ao Programa de Conformidade com a LGPD.

7. REVISÃO DOS MÉTODOS APLICADOS

 Revisão e verificação do nível de maturidade e compliance da empresa em relação ao

LGPD
 Utilização de checklist verificação de gaps remanescentes e últimos ajustes

8. MONITORAMENTO

 Solicitação de evidencias (in loco, condução de entrevistas, documentação e

evidencias para confirmar a adequação do processo implementado ao plano de ação
definidos)
 Analise das evidencias, registros, documentos frente a LGPD e identificação dos gaps e
recomendações.