ADEQUAÇÃO LGPD:

guia completo de
implementação para
empresas de softwares
Fundado em 2018, o BL Consultoria e Advocacia Di-
gital, regularmente registrado na OAB/SP sob o nº
27.842, tem como objetivo assessorar juridicamente
empresas e startups em busca do desenvolvimento
tecnológico pautado na ética e na conformidade com
as normas vigentes.

Somos pesquisadores por natureza! Entendemos que o

Direito não acompanha o avanço da tecnologia, assim nos-
sa missão é buscar uma solução jurídica mais adequada
para a realidade do seu negócio!

Nascemos 100% digitais e proporcionamos aos nossos

clientes a facilidade do atendimento remoto com eficiên-
cia e agilidade.

Nosso time é composto por pessoas apaixonadas por Di-

reito, Inovação e Tecnologia, advindos das instituições
de ensino mais conceituadas do país, que buscam prover
soluções jurídicas para empresas inovadoras.
Recentemente, muitas regras para tratamento de dados
no meio digital têm sofrido alterações e melhorias. A
LGPD (Lei Geral de Proteção de Dados), por exemplo, foi
criada em 2018 e entrou em vigor efetivamente em Se-
tembro de 2020. A lei define cuidados e obrigações que
a partir de agora as empresas passarão a ter com dados
pessoais ou sensíveis, seja de clientes, funcionários e até
fornecedores.

Para empresas que desenvolvem produtos de tecnolo-

gia, como softwares, que muitas vezes fazem o intermé-
dio e/ou proporcionam a infraestrutura para a realização
de atividades de outras empresas, essa preocupação se
torna ainda maior. Tendo em vista esse desafio, é preci-
so estar sempre antenado às novidades e, ainda, encon-
trar a melhor forma de como fazer a adequação à LGPD
sem gerar grandes impactos na sua rotina operacional,
no intuito de resguardar a sua empresa de eventuais
problemas jurídicos e comerciais, mantendo-se com-
petitiva no mercado.

BL Consultoria Digital • 3
Para auxiliar você e o seu negócio nesse processo, prepa-
ramos esse material exclusivo: um guia de implementa-
ção e adequação à LGPD. Neste e-book, vamos guiá-lo
para tornar mais fácil a elaboração de políticas, produtos,
documentos e contratos em conformidade com as novas
regras!

Boa leitura!

BL Consultoria Digital • 4
SUMÁRIO CAPÍTULO 3. PASSO A PASSO PARA UM PROJETO DE
ADEQUAÇÃO À LGPD
CAPÍTULO 1. O QUE É A LGPD (LEI GERAL DE
PROTEÇÃO DE DADOS)? 3.1 Como iniciar o processo de adequação à LGPD?
Implicações Gerais das Leis de Proteção de Dados
3.2 Adequação Documental: O que devo atualizar e/
• Categorias de Dados
ou elaborar?
• Agentes de tratamento Procedimentos para atendimentos às Solicitações
• Sanções administrativas de Direitos do titular

• Parâmetros e critérios • Gestão do Consentimento

• RIPDP
• Data Mapping
CAPÍTULO 2. IMPACTOS NA ROTINA DAS EMPRESAS:
MUDANÇAS, DESAFIOS E ATUALIZAÇÕES • PRI - Plano de Respostas a Incidentes
2.1 Impactos imediatos • PSI - Política de Segurança da Informação

2.2 Direitos dos titulares dos dados 3.3 Checklist de adequação de contratos: como fazer

2.3 Deveres das empresas no tratamento dos dados CONCLUSÃO

CAPÍTULO 1. O QUE É A LGPD (LEI GERAL DE
PROTEÇÃO DE DADOS)?

A Lei Geral de Proteção de Dados (LGPD) foi sancio-
nada em 2018 visando aumentar o nível de prote-
ção em torno de informações pessoais e também
garantir a autonomia do proprietário dos dados pes-
soais quanto à exposição ou não, bem como a sua
forma de utilização.
Consequentemente, todo o meio digital sofreu um
grande impacto com seu surgimento. Aliás, um dos
primeiros impactos observados, é a necessidade da
elaboração de documentações específicas para
alguns processos executados, principalmente, pelos
setores de TI.
Vale lembrar também que em alguns casos a LGPD
não se aplica, ou seja, não requer a observação de
alguns de seus requisitos. Neste sentido, quando a
utilização do dado pessoal for destinado para fins
exclusivamente jornalísticos e acadêmicos ou, ain-
da, de segurança pública e segurança nacional, a lei
não se aplica (recomendamos a leitura do Art. 3, em
caso de dúvida).

BL Consultoria Digital • 6
A LGPD surgiu em um momento de transformação digital,
em que a velocidade, extensão e facilidade para acessar da-
dos tornou-se crescente. Embora não seja somente em situa-
ções online em que os dados de diferentes naturezas, pessoas
e ocasiões possam ficar expostos, isso contribuiu para que se
acirrasse a discussão em torno da importância de assegurar
maior privacidade e cuidado no seu tratamento.

Não aplicar os requisitos da lei, a partir de agora, poderá trazer

consequências mais sérias e, até mesmo, inviabilizar a continui-
dade de negócios. Isso obriga as empresas a repensarem suas
posturas, políticas e mecanismos de segurança da informa-
ção adotados ao longo do desempenho de suas atividades.

BL Consultoria Digital • 7
Isso porque, para além de a LGPD requerer a estrutura-
ção de medidas técnicas e organizacionais para garan-
tir a privacidade e minimização de riscos de incidentes de
segurança, a lei prevê uma série de obrigações junto aos
titulares (proprietários) de dados pessoais, que passam a
ter os seguintes direitos:

» Confirmar se existe uma ou mais informação sua sendo tra-

tada pela empresa;
» Acessar os seus dados pessoais armazenados pela empresa;
» Corrigir informações pessoais inexatas, incompletas ou de-
satualizadas;
» Solicitar a anonimização, bloqueio ou eliminação de seus da-
dos quando desnecessários, excessivos ou tratados sem a
devida conformidade com a LGPD;
» Fazer a portabilidade das informações para outra empresa;
» Informar-se quanto ao compartilhamento dos dados com
entes públicos ou privados, caso ele exista;
» Não consentir com a utilização de dados pessoais desneces-
sários para a execução de serviços contratados;
» Revogação do consentimento;
» Direito à oposição, em situações em que o titular discorde
do tratamento de seus dados feito sem consentimento ou
de forma irregular.
8

BL Consultoria Digital • 8
Implicações Gerais das Leis de
Proteção de Dados
Inicialmente, em 2018, na Europa, foi publi-
cado o Regulamento Geral sobre a Proteção
de Dados, conhecido como GDPR, versando
a respeito da privacidade de dados pessoais
e compartilhamento de dados para fora da
União Europeia.
No Brasil, apesar de o Marco Civil da
Internet, de 2014, já contemplar uma
maior proteção de dados apenas em am-
biente online, a LGPD surge para abor-
dar de forma mais específica o tema, bem
como para adequar a legislação nacional
aos preceitos da GDPR.
Na LGPD, não só está prevista a titularidade
dos dados e o direito de saber o que está
sendo feito com eles por parte das pesso-
as, como também é feita uma classificação
com base na natureza dessas informações.
Ela é esclarecida no Art. 5 da Lei, que traz
os seguintes conceitos:
» Dados pessoais: toda informação relativa
às pessoas naturais identificadas ou iden-
tificáveis. Neste ponto, cabe explicar que
um conjunto de informações que individu-
almente não poderiam levar a identificação
de uma pessoa física mas quando analisa-
das simultaneamente conseguem chegar
na identidade de alguém, esse conjunto de-
verá ser entendido como um dado pessoal.
BL Consultoria Digital • 9
» Dados sensíveis: são informações que podem levar a algum
tipo de discriminação, como dados sobre origem racial ou
étnica, opinião política, convicção religiosa, filiação a sindica-
to, informação sexual, de saúde, dado genético, entre outros
vinculados a pessoas naturais. Vale destacar que toda infor-
mação pessoal onde a sua utilização pode levar a uma discri-
minação, deverá ser considerada um dado sensível.

» Dados anonimizados: são aqueles vinculados a titulares

que não podem ser identificados, considerando o uso de
meios técnicos razoáveis e disponíveis no momento de seu
tratamento. Um exemplo de uso de dados anonimizados é
quando há a necessidade de a empresa utilizar-se de dados
reais, porém sem a identificação do seu proprietário, para
análise de tendência de consumo de determinada região.

» Dados pseudonimizados: a pseudonimização é o tra-

tamento por meio do qual um dado perde a possibili-
dade de associação, direta ou indireta, a um indivíduo,
senão pelo uso de informação adicional mantida sepa-
radamente pelo controlador em ambiente controlado e
seguro. Basicamente, o conceito diz respeito à prática
de substituir as informações de um conjunto de dados
identificáveis de um indivíduo por um indicador alterna-
tivo artificial. Ou seja, por um pseudônimo.

BL Consultoria Digital • 10
Existem ainda disposições específicas para
o tratamento de dados de crianças e ado-
lescentes, cujo tratamento e o repasse a
terceiros só pode ocorrer com o consenti-
mento específico de pelo menos um dos
pais ou responsáveis.
Para as empresas que lidam com tecnolo-
gia, a lei apresenta diversas implicações.
Agora, as políticas de segurança da infor-
mação e privacidade terão de ser mais re-
forçadas do que nunca, com base em nor-
mas e registros apoiadas por um sólido
sistema de governança de dados e/ou da
informação, alinhado às exigências e previ-
sões da LGPD.
Além disso, todos os produtos desenvol-
vidos, como os softwares, terão que con-
templar atualizações visando a proteção
à privacidade dos seus usuários. Muito
além de ter atenção à documentação e às
cláusulas contratuais, é imprescindível ter
procedimentos, registros e normas opera-
cionais ligadas à cultura de privacidade.
Isso significa imputar no design e na infra-
estrutura dos projetos (plataformas, sites,
sistemas, aplicativos, etc.) a metodologia
privacy by design (que leva em conta a pri-
vacidade durante todo o processo de elabo-
ração de software) ou by default (em que as
configurações mais seguras de privacidade
são aplicadas por padrão, sem a necessi-
dade de entradas manuais para isso, assim
que o produto ou serviço é direcionado ao
público).
BL Consultoria Digital • 11
Além do âmbito legal de coleta e tratamento deve-
-se cuidar ainda mais para que não haja ataques,
perda de dados, invasões e vazamento de dados.
Ainda, algo a se ter em vista, é que a LGPD se aplica
a dados coletados e tratados não apenas no meio
digital, como também no offline, ou seja, aplica-se
ao tratamento de dados no meio físico.

Um ponto que merece destaque é a definição da ca-

tegoria de Agente de Tratamento de Dados Pessoais
em que a empresa se encontra. A partir do enquadra-
mento como Controlador, Operador ou Subopera-
dor será possível aferir o seu grau de responsabilidade
durante o processamento dos dados pessoais. Confi-
ra a seguir o conceito e as responsabilidades de cada
Agente de Tratamento de Dados Pessoais:

BL Consultoria Digital • 12
Agente de
Tratamento Quem é?
É toda pessoa natural ou jurídica, de direito pú-
blico ou privado, a quem competem as decisões
referentes ao tratamento de dados pessoais.
De acordo com o art. 42, §1º, II, quando mais
Controlador
de um controlador estiver diretamente envolvido
no tratamento do qual decorram danos ao titular
de dados, estes responderão de forma solidária, à
exceção das hipóteses previstas no art. 43.
É toda pessoa natural ou jurídica, de direito públi-
Operador co ou privado, que realiza o tratamento de dados
pessoais em nome do controlador.
O suboperador é aquele contratado pelo operador
Suboperador para auxiliá-lo a realizar o tratamento de dados
pessoais em nome do controlador
Quais suas responsabilidades?
1. Elaborar relatório de impacto à proteção de da-
dos pessoais - RIPDP (art. 38);
2. Comprovar que o consentimento obtido do ti-
tular atende às exigências legais (art.8º, § 2º)
3. Comunicar à ANPD a ocorrência de incidentes
de segurança (art. 48)
1. Seguir as instruções do controlador;
2. Firmar contratos que estabeleçam, dentre
outros assuntos, o regime de atividades e res-
ponsabilidades com o controlador;
3. Dar ciência ao controlador em caso de con-
trato com suboperador.
1. Adotar medidas técnicas e organizacionais vi-
sando a garantia da segurança da informação e
privacidade durante a execução de seus serviços.
Como exemplo de sub-operadores, podemos citar
as grandes plataformas de armazenamento de da-
dos em nuvem (Amazon, Google Cloud e Azure).
BL Consultoria Digital • 13
Para garantir a devida aplicação de todos os cuidados
mencionados até aqui, em 2019, foi criada a ANPD, Auto-
ridade Nacional de Proteção de Dados, cuja função é edi-
tar, quando necessário, e fiscalizar a aplicação da LGPD,
visando proteger os direitos fundamentais de liberda-
de e privacidade e o livre desenvolvimento de perso-
nalidade da pessoa natural.

Na hipótese de descumprimento com quaisquer dos re-

quisitos constantes na LGPD, os Agentes de Tratamento
de Dados Pessoais poderão ser, individual ou conjunta-
mente, responsabilizados pelos danos aos titulares de da-
dos que derem causa. Você sabe quais são as sanções ad-
ministrativas previstas para serem aplicadas pela ANPD
quando verificada uma infração? Confira a seguir:

BL Consultoria Digital • 14
Multas e sanções:

» Advertência, com indicação de prazo para adoção de medidas cor-

retivas;
» Multa simples, de até 2% (dois por cento) do faturamento da pes-
soa jurídica limitada, no total, a R$ 50.000.000,00 (cinquenta mi-
lhões de reais) por infração;
» Multa diária, observado o limite total a que se refere o inciso II;
» Publicização da infração após devidamente apurada e confirmada
a sua ocorrência;
» Bloqueio dos dados pessoais a que se refere a infração até a sua
regularização;
» Eliminação dos dados pessoais a que se refere a infração;
» Suspensão parcial do funcionamento do banco de dados a que
se refere a infração pelo período máximo de 6 (seis) meses, pror-
rogável por igual período, até a regularização da atividade de trata-
mento pelo controlador;
» Suspensão do exercício da atividade de tratamento dos dados
pessoais a que se refere a infração pelo período máximo de 6 (seis)
meses, prorrogável por igual período;
» Proibição parcial ou total do exercício de atividades relaciona-
das a tratamento de dados.

BL Consultoria Digital • 15
A aplicação das sanções administrativas acima listadas so-
mente poderão ser realizadas após procedimento adminis-
trativo que possibilite a oportunidade da ampla defesa, de
forma gradativa, isolada ou cumulativa, de acordo com as
peculiaridades do caso concreto e considerados os seguin-
tes parâmetros e critérios:
» a gravidade e a natureza das infrações e dos direitos pessoais afe-
tados;
» a boa-fé do infrator;
» a vantagem auferida ou pretendida pelo infrator;
» a condição econômica do infrator;
» a reincidência;
» o grau do dano;
» a cooperação do infrator.

BL Consultoria Digital • 16
CAPÍTULO 2. IMPACTOS NA ROTINA DAS EMPRESAS:
MUDANÇAS, DESAFIOS E ATUALIZAÇÕES

Como se pôde notar, a LGPD impacta fortemente
empresas de todos os setores. Isso porque, direta
ou indiretamente, vai exigir a observância de diver-
sos procedimentos e como se conduz os processos
envolvendo qualquer informação pessoal de titula-
res de dados.
Com isso, é necessário ter reforço da segurança da
informação e conhecimento sobre os procedimen-
tos exigidos para a devida conformidade com a
lei, bem como, uma busca por atualizações das prá-
ticas no setor, principalmente, de TI — que lida cons-
tantemente com um grande volume de dados.
Também vale ressaltar a relevância de buscar por
profissionais de mercado especializados no tema,
para que possam realizar a auditoria de todos os
procedimentos e adequações relativos aos dados,
elaborar a documentação necessária, adequar seus
contratos empresariais ou termos de uso, ou ain-
da, adequar a forma com que seus softwares de-
senvolvidos captam e utilizam os dados pessoais de
seus usuários.

BL Consultoria Digital • 17
Dentre os impactos imediatos estão:

» Riscos competitivos, financeiros e reputacionais, na hipótese de

descumprimento com os requisitos da LGPD;
» Dever de disponibilizar documentação informativa acerca da uti-
lização de dados pessoais (Política de Privacidade e/ou Política de
Governança de Dados);
» Dever de adotar novos parâmetros de utilização de informações
pessoais;
» Dever de obter e registrar o consentimento dos titulares das infor-
mações;
» Necessidade de Adequação de contratos;
» Dever de realização do registro de processos de tratamento de da-
dos pessoais (data mapping);
» Dever de realização de Análises de vulnerabilidades para mitigação
de riscos de incidentes de dados.

Veja, a seguir, um pouco mais sobre eles:

BL Consultoria Digital • 18
2.1 Impactos imediatos
A LGPD se aplica aos dados pessoais tra-
tados em todo território brasileiro, e toda
empresa precisa imediatamente se ali-
nhar aos seus parâmetros. Assim, pode-
mos dizer que ela afeta todos os ramos
e segmentos de negócios.
De imediato, a lei irá causar mudanças em
toda atividade comercial, assim como,
nas relações de trabalho e serviços nos
quais dados pessoais de terceiros este-
jam envolvidos.
Se a empresa já tem algum portal ou solu-
ção utilizando dados pessoais, precisará se
adequar, rever a sua política de privaci-
dade e informar os titulares, ou seja, seus
usuários a respeito das atualizações.
Nesse sentido, os contratos deverão ter
novas cláusulas para contemplar a au-
tonomia dos titulares, bem como para
prever a responsabilidade da empresa
perante outras organizações ou pesso-
as físicas quanto à segurança das infor-
mações, além de eventuais indenizações
por incidentes de dados.
BL Consultoria Digital • 19
Mesmo serviços que trabalham apenas
com a catalogação de dados — chamados
de bases públicas —, precisarão, como o
caso de um site de informações, disponi-
bilizar campos para que os usuários se ca-
dastrem, corrijam ou reclamem os dados.
Isso acontece porque esses meios po-
dem, por meio de softwares de inteligên-
cia artificial (IA), analisar grandes bancos
de dados, gerar insights de negócio e até,
em contextos mais complexos, influen-
ciar decisões de aspecto social, político
ou ideológico.
Para barrar esse tipo de prática, embora
a análise de dados continue sendo um re-
curso essencial para muitos negócios que
naturalmente utilizem-no para atender
seus clientes, por exemplo, a LGPD torna
esse processo mais transparente e em
muitos casos, reversível (por meio dos su-
pracitados direitos à revogação, oposição
ou correção por parte do titular.
Para as pessoas físicas, ou seja, os pro-
prietários dos dados, os impactos também
são notáveis. Agora, elas possuem maior
controle e possibilidades de reivindicar a
propriedade de seus dados, desfazendo
a ideia equivocada de que uma vez cole-
tados pelas empresas, não teriam como
interferir no uso, na exposição exagera-
da ou abusiva dessas informações. Saiba
mais no próximo item.
BL Consultoria Digital • 20
2.2 Direitos dos titulares dos
dados
Pela LGPD, a toda pessoa física, assegura-
se o direito à titularidade de seus
dados.
Mas o que os titulares de dados têm
direito de solicitar para as empresas?
Para começar, o titular tem direito ao
acesso facilitado sobre informações a
respeito do tratamento que seus dados
estão recebendo. Seja no momento em
que vai ceder os dados ou depois, o
indivíduo precisa ter livre acesso a esses
esclarecimentos, de forma adequada e de
fácil compreensão.
Os direitos dos titulares de dados englo-
bam também a própria confirmação da
existência de tratamento, a correção, não
apenas quando estiverem incorretos, mas
também quando estiverem desatualiza-
dos, a portabilidade desses dados a ou-
tro fornecedor de serviço, quando houver
troca por parte de livre escolha do indiví-
duo — caso de serviços contratados, ser-
viços de tecnologia, plataformas, prove-
dores de serviços —, entre outros.
O bloqueio de dados desnecessários, a
eliminação ou revogação do consenti-
mento também estão previstos. Portanto
as empresas também precisam investir
muito na comunicação com seus clientes
e demais públicos sobre os quais tenha
alguma coleta ou armazenamento de in-
formações.
BL Consultoria Digital • 21
Inclusive, dentro das organizações, o responsável
por essa comunicação com os titulares é o DPO
(Encarregado de Proteção de Dados Pessoais), e toda
empresa deve nomear um para guiar seus procedi-
mentos na área.

É importante ressaltar que o responsável princi-

pal pelo cumprimento das solicitações de direitos
e comunicação com o titular de dados é a empresa
Controladora. Caberá, conforme o caso, às Opera-
doras e Suboperadoras, garantir os meios técnicos
para executar operacionalmente as solicitações, por
exemplo, de exclusão de dados pessoais advindas
de seus Controladores.

BL Consultoria Digital • 22

2.3 Deveres das empresas no
tratamento dos dados
Nesse novo cenário de proteção de dados,
as empresas precisam entender também
quais são seus deveres diante da nova lei.
Em primeiro lugar, os dados dos titulares
só podem ser obtidos e tratados quando
respaldados por uma hipótese legal de tra-
tamento de dados (Bases Legais).
A LGPD prevê 10 hipóteses autorizado-
ras de tratamento de dados, ou seja,
poderá a entidade utilizar-se de dados
pessoais quando:
» Mediante o fornecimento de consentimento
pelo titular;
» Para o cumprimento de obrigação legal ou
regulatória pelo controlador;
» Pela administração pública, para o tratamen-
to e uso compartilhado de dados necessários
à execução de políticas públicas previstas em
leis;
» Para a realização de estudos por órgão de
pesquisa, garantida, sempre que possível, a
anonimização dos dados pessoais;
» Quando necessário para a execução de
contrato;
» Para o exercício regular de direitos em pro-
cesso judicial, administrativo ou arbitral;
» Para a proteção da vida ou da incolumidade
física do titular ou de terceiro;
» Para a tutela da saúde, exclusivamente,
em procedimento realizado por profissio-
nais de saúde, serviços de saúde ou auto-
ridade sanitária;
» Quando necessário para atender aos interes-
ses legítimos do controlador ou de terceiro;
» Ou para a proteção do crédito.
BL Consultoria Digital • 23
Como podemos perceber, para a realização do tra-
tamento de dados pessoais, nem sempre o consen-
timento será requisito obrigatório para a coleta e
utilização de dados pessoais. Assim, é indispensável
que a empresa realize o seu mapeamento de pro-
cessos de tratamento de dados pessoais contendo
a indicação específica da base legal que autoriza
o seu tratamento.

A partir do momento que há a especificação de qual base

legal respalda aquele tratamento, a empresa terá meios
para analisar toda e qualquer solicitação dos titula-
res de dados. Ou seja, quando um usuário solicitar, por
exemplo, a revogação do consentimento para utilização
de seus dados, o DPO deverá verificar se a base legal au-
torizadora do tratamento é o consentimento, e caso não
seja, deverá comunicar ao usuário sobre a impossibilida-
de de seguir com a sua solicitação, fundamentando sua
resposta na própria LGPD.

BL Consultoria Digital • 24
É de fundamental importância para os Sendo assim, para o gerenciamento de
Controladores de Dados Pessoais o es- solicitações e a devida governança de
tabelecimento de um canal de comuni- dados pessoais, é de fundamental impor-
cação direto com o titular de dados. Esse tância para as empresas Controladoras e
canal pode ser um e-mail específico ou Operadoras de Dados a elaboração e ma-
uma página destinada a receber as solici- nutenção do Relatório de Registro de Ope-
tações de direitos dos titulares. rações (ROPA) e definição de Bases Legais
para Tratamento de Dados Pessoais.
Para os Operadores de Dados, é imprescin-
dível o estabelecimento de procedimentos
internos de governança de solicitações de
seus clientes (Controladores) quanto a ma-
nipulação de dados para resguardar seus in-
teresses, evidenciar suas boas práticas e evi-
tar sua responsabilização na eventualidade
de um incidente de dados ou alegação de
descumprimento contratual.

25

BL Consultoria Digital • 25
Eventualmente, o Controlador poderá ser obrigado
a prestar esclarecimentos à Autoridade Nacional de
Proteção de Dados (ANPD). Por exemplo, quando a
base legal para o tratamento é o legítimo interesse, o
documento requerido e analisado pela ANPD poderá
ser a Avaliação de Legítimo Interesse (LIA). Já quan-
do o interesse é avaliar o impacto do tratamento dos
dados em questão, poderá ser solicitado o Relatório
de Impacto à Proteção de Dados Pessoais (RIPDP).

Em geral, esses relatórios não devem comprometer a

preservação de segredos comerciais ou industriais, para
a proteção da empresa. Em todos os casos, o ideal é con-
tar com uma consultoria jurídica especializada em
adequação à LGPD, para que não se corra o risco de in-
terpretar equivocadamente a lei e a situação, o que pode
implicar em sanções e aplicação de multas.

BL Consultoria Digital • 26
CAPÍTULO 3. PASSO A PASSO PARA UM PROJETO
DE ADEQUAÇÃO À LGPD

A seguir, apresentaremos algumas dicas para a 3.1 Como iniciar o processo de

adequação à LGPD e uma lista exemplificativa de
documentação, bem como um checklist com os
pontos necessários para a implementação!
Confira por onde começar e o que fazer para a im-
plementação da LGPD em sua empresa:
adequação à LGPD?
Um dos requisitos básicos é a conscientização dos
colaboradores e alta direção, promovendo progra-
mas de treinamento e conscientização entre todos
os colaboradores envolvidos e instituir um respon-
sável pelo Programa de Privacidade, por meio da
nomeação de um DPO (Encarregado de Proteção de
Dados Pessoais).

BL Consultoria Digital • 27
É sempre bom frisar que a conformidade das empresas
com a legislação brasileira não é um empecilho aos negó-
cios, e sim uma chance de mostrar destaque e confiança
ao seu público-alvo e ao mercado, deixando evidente a
adequação da empresa com as melhores práticas em pri-
vacidade e segurança da informação.

Para começar, é necessário identificar as peculiaridades

de seu negócio, através do levantamento de informações
com as áreas que realizam o tratamento de dados pesso-
ais, estrutura e responsabilidades. É essencial compreen-
der se a empresa é “Business to Business” (B2B) ou “Bu-
siness to Client” (B2C) para identificar o maior ou menor
grau de risco envolvido no tratamento de dados pessoais.
É altamente recomendável, para realização deste levan-
tamento, a instituição de um Comitê multidisciplinar de
Privacidade que será o responsável pela revisão de visão,
missão e valores para adequar à LGPD, bem como res-
ponsável pela definição e estruturação de procedimentos
e regras de auditoria da medição das métricas dos indica-
dores de proteção de dados.

BL Consultoria Digital • 28
Após esses primeiros passos, inicia-se a fase
de mapeamento, com o levantamento dos
fluxos de dados que permeiam as ativida-
des realizadas pela empresa. Este processo
tem como objetivo responder, basicamen-
te, às seguintes questões:
a) Quem são os titulares dos dados
tratados?
b) Quais são os dados coletados?
c) Qual a finalidade dessa coleta?
d) Como ocorre o tratamento de dados?
e) Onde são armazenados? e
f) Quais sistemas são utilizados?
Ao final, as informações levantadas serão
compiladas nos ROPA’s (Records of Proces-
sing Activities ou Registro de Atividades de
Tratamento - Art. 37 da LGPD).
O conjunto de informações advindos do ma-
peamento de fluxo de dados, validação dos
processos de tratamento de dados pessoais,
contratos e normas internas serão conside-
rados para a elaboração do parecer diag-
nóstico e elaboração do plano de ação.
O parecer diagnóstico e a gap analysis ga-
rantem uma visão geral, mas detalhada, da
empresa em relação à proteção de dados
pessoais, fazendo um juízo crítico sobre to-
das as operações que são realizadas por ela,
e é a partir deles que o plano de ação para
adequação à legislação será elaborado.
BL Consultoria Digital • 29
 1. Conscientização e Avaliação Preliminar;

O plano de ação para adequação à LGPD deverá con-

2. Mapeamento (Data Mapping, ROPA e
templar os 4 pilares de conformidade:
Gap analysis);

1. Técnico (ferramentas),
2. Documental (normas, políticas e contratos),
3. Procedimental (adequar a governança e a gestão dos
3. Relatório de Diagnóstico;
dados pessoais) e
4. Cultural (realizar treinamentos e campanhas de cons-
cientização em privacidade).

A partir disso, será possível implementar um sistema 4. Planejamento;

de governança em privacidade, redigido à luz da LGPD
e atualizado em todos os canais possíveis da empresa.

Em resumo, as medidas a serem adotadas devem se- 5. Implementação;

guir a seguinte ordem lógica:

6. Governança.

BL Consultoria Digital • 30
3.2 Adequação Documental:
O que devo atualizar e/ou
elaborar?
Como forma de evidenciar a adoção de
medidas organizacionais para cumpri-
mento com os requisitos da LGPD, é ne-
cessário o desenvolvimento de alguns do-
cumentos que servirão de diretriz para
os processos e atividades de tratamento
de dados pessoais.
Vamos falar, a seguir, um pouquinho sobre
elas e o que são.
Procedimentos para atendimentos
às Solicitações de Direitos do
titular
Para exercer quaisquer dos seus direi-
tos, o titular poderá solicitar diretamen-
te à organização controladora ou perante
a ANPD. Portanto, as empresas deverão
estar devidamente preparadas para res-
ponder às solicitações dos titulares, sob
pena de mancharem sua reputação e en-
sejarem queixas diretas à ANPD, poden-
do, ainda, resultar em multa.
É primordial que as empresas tratem as
solicitações dos titulares de dados de ma-
neira célere e transparente. A resposta ao
titular dos dados deve ser encarada como
uma maneira de fidelizar o titular e trazer
a melhor customer experience para ele,
além de uma boa prática para minimiza-
ção de riscos de infração e consequente
penalização.
BL Consultoria Digital • 31
Gestão do Consentimento
O consentimento é uma das bases legais
que legitimam o tratamento de dados pes-
soais e que traz bastante vulnerabilidade
para as empresas controladoras, tendo em
vista que o titular poderá revogá-lo a qual-
quer momento. Assim, é necessário que as
empresas possuam medidas organizacio-
nais e procedimentos claros para gestão
desse consentimento.
O procedimento de revogação de consen-
timento deve ficar claro ao titular e deve
ser amplamente divulgado pela empresa
por meio de avisos de privacidade, solici-
tações de consentimento e demais meios
disponíveis que possibilitem a informação
sobre as medidas a serem adotadas pelo
titular.
Para facilitar a gestão do consentimento,
existem muitos softwares e plataformas
que disponibilizam suas ferramentas para
registro, revogação e resposta aos titulares
de dados, o que pode ajudar muito no de-
senho deste procedimento interno.
BL Consultoria Digital • 32
RIPDP
Quando há o tratamento de dados pessoais
que podem gerar riscos às liberdades civis
e aos direitos fundamentais, o controlador
deverá, obrigatoriamente, elaborar um Re-
latório de Impacto à Proteção de Dados
Pessoais.
Esse documento deverá conter, minima-
mente:
a. Descrição dos processos de tratamento
de dados pessoais que podem gerar riscos;
b. medidas, salvaguardas e mecanismos de
mitigação de riscos.
Quando devo elaborar um RIPDP?
Quando realizar qualquer tipo de
monitoramento sistemático dos titulares
dos dados pessoais;
Quando o tratamento de dados
pessoais seja feito em larga escala;
Quando o tratamento de dados
pessoais seja realizado por meio de novas
tecnologias;
Quando realizado o tratamento de
dados pessoais sensíveis;
Quando tenha como base legal o
legítimo interesse do controlador ou de
terceiros;
BL Consultoria Digital • 33
No DPIA/RIPDP, os riscos são tratados por meio dos
chamados controles, e são criadas matrizes de risco
para análise. Basicamente ele é feito em 7 etapas, sen-
do que as primeiras consistem geralmente em:

1. Identificação de suas necessidades;

2. Descrição do tratamento de dados (apontar se há

dados sensíveis, qual a natureza deles, quantos titula-
res, qual a fonte, se há compartilhamento);

3. Consulta (busca por procedimentos junto a especia-

listas, operadores externos e opiniões dos titulares);

4. Avaliação da proporcionalidade;

5. Identificação de riscos (fontes, probabilidades e im-

pactos);

6. Medidas que possam ser tomadas quanto a isso;

7. Análise, registro de resultados e assinatura.

BL Consultoria Digital • 34
Data Mapping

O Data Mapping é o mapeamento de dados. Também

pode ser chamado de data flow. É um documento que
serve, diferente do relatório para avaliar impactos, para
fazer um inventário dessas informações.

Pode ser em forma de planilha ou no estilo organograma

e basicamente desenha o caminho que o dado percorre
dentro da empresa. Assim, é possível visualizar mais fa-
cilmente desde a origem até todos os possíveis setores
em que ele passa, rastreando riscos, procedimentos e
vulnerabilidades técnicas.

BL Consultoria Digital • 35
Estrutura do Data Mapping

» Tipo de dados;
» Volume de dados;
» Etapas do fluxo desses dados;
» Sistemas e tecnologias utilizados nesse fluxo (como apps
e banco de dados);
» Origem (fonte) dos dados;
» Locais de armazenamento;
» Informações sobre como será o tratamento em campa-
nhas de marketing;
» Indicação dos parceiros com que haverá compartilha-
mento dos dados ou empresas coligadas;
» Localidades onde os dados são tratados;
» Plataformas, softwares ou data centers envolvidos na
possível transferência internacional dos dados;
» Bases legais;
» Política de privacidade;
» Identificação de dados de menores ou não;
» Política de descarte de dados;
» Indicação de controles de segurança da informação;
» Condições para efetivo exercício dos direitos dos titulares.

BL Consultoria Digital • 36
PRI - Plano de Respostas a
Incidentes
Plano de Respostas a Incidentes (PRI) é
como um guia de gerenciamento de crises
que vai servir para instruir e orientar os
colaboradores no caso de qualquer ocor-
rência indesejada com as informações.
Por conta das especificidades de cada
dado e peculiaridades de cada tipo de
negócio, esse plano pode variar bastante
de empresa para empresa, mas em todo
caso auxilia na pronta ação para minimizar
os efeitos da falha ou ataque.
Na identificação de um incidentes de da-
dos, a empresa deverá reportar a ocor-
rência à ANPD através de uma notificação
de incidentes que deverá conter, minima-
mente, as seguintes informações:
A descrição da natureza dos dados
pessoais afetados;
As informações sobre os titulares
envolvidos;
A indicação das medidas técnicas e de
segurança utilizadas para a proteção dos
dados, observados os segredos comercial
e industrial;
Os riscos relacionados ao incidente;
Os motivos pela demora, no caso de a
comunicação não ter sido imediata; e
As medidas que foram ou que serão
adotadas para reverter ou mitigar os efeitos
do prejuízo.
BL Consultoria Digital • 37
PSI - Política de Segurança da Estrutura da PSI
Informação
» Boas práticas e recomendações de
O PSI é o Plano de Segurança da Informa- cuidados no tratamento dos dados;
ção, ele serve para que a empresa tenha bem » Definição de quem poderá acessar os
descritos e claros todos os procedimentos e dados e autorizações;
previsões que fazem parte do cuidado e ge- » Previsões sobre graus de vulnerabilidade
renciamento de segurança da empresa em das informações;
relação aos dados. » Consequências de falhas;
» Formas ou ferramentas de proteção.
Além de conhecer a forma que sua empresa
estrutura seus procedimentos de seguran-
ça da informação, não se esqueça também
de fazer um mapeamento de riscos e me-
didas de contenção para evitar vazamento
de dados, sendo que além de diminuir as
chances de isso acontecer, ter um estudo
prévio ajudará a tomar atitudes rápidas no
gerenciamento de uma possível crise a esse
respeito.

BL Consultoria Digital • 38
3.3 Checklist de adequação de contratos:
como fazer
Agora que você já sabe quais são os principais documen-
tos para adequação à LGPD, confira um checklist sobre o
que precisa adequar em seus contratos para respaldar os
direitos da sua empresa e minimizar os riscos de corres-
ponsabilidade.

Como vimos até então, a LGPD estabelece regras para

o tratamento de dados pessoais, trazendo uma série de
princípios, regras e procedimentos a serem seguidos por
aqueles que realizam a coleta e tratamento de dados pes-
soais. Estas regras e princípios devem ser implementadas
também no momento da criação de contratos futuros,
bem como ser adicionados aos contratos já existentes por
meio de adendos de proteção de dados, por exemplo.

BL Consultoria Digital • 39
Cada empresa, em decorrência das especi-
ficidades de seus modelos de negócio, mer-
cado em que atuam e relação com clientes,
parceiros e consumidores, têm diferentes
implicações no compartilhamento de dados
por meio de contratos. Como já é consolida-
da a prática de termos de confidencialidade e
de sigilo, em especial referente aos segredos
industriais, também se tornará consolidada,
com a LGPD, a prática de adendos e cláusulas
contratuais de proteção de dados pessoais.
A Lei Geral de Proteção de Dados, em seu
artigo 42, afirma que a responsabilidade
por qualquer dano ou violação referente ao
tratamento de dados pessoais é de respon-
sabilidade solidária entre o controlador e
operador de dados pessoais. Ou seja, em
qualquer contrato que haja o compartilha-
mento de dados pessoais, ambas as partes
podem responder solidariamente por qual-
quer violação da LGPD.
Esta disposição legal faz com que seja essen-
cial, no momento da criação dos contratos, a
observação de cláusulas contratuais e dis-
posições delimitando as responsabilidades
de cada pessoa jurídica contratante relativo
ao tratamento de dados pessoais presente
no fluxo de informações para execução da-
quele determinado processo.
Todos os contratos devem ser analisados,
novos ou antigos, e deverão ser atualizados
com algumas cláusulas que os adequem aos
princípios e regras da LGPD, que devem dis-
por de modo transparente quais são os da-
dos coletados e tratados, qual a finalidade
do tratamento e como este tratamento está
adequado e limitado à finalidade expressa.
BL Consultoria Digital • 40
Algumas dessas cláusulas são:

» Separação de responsabilidades entre as partes do con-

trato, com a disposição de métodos de auditoria e até
mesmo possíveis sanções e punições no caso do desres-
peito à legislação;
» Cláusulas que tratem de padrões e exigências mínimas
de segurança da informação;
» Toda possibilidade de transferência internacional de da-
dos deve estar prevista e protegida por cláusulas especí-
ficas. Um modelo que traz grande proteção para a trans-
ferência internacional e é aceito por todo o mundo é o
das Standard Contractual Clauses (SCCs);
» A transferência de dados pessoais em território brasi-
leiro também precisa estar bem definida em cláusulas
específicas;

BL Consultoria Digital • 41
CONCLUSÃO
Depois de ler este manual de implementação, deu
para você conhecer um pouco sobre a Lei Geral de
Proteção de Dados e suas implicações para as em-
presas e também pessoas físicas em um novo cená-
rio, correto?
A nova legislação apresenta importantes delibera-
ções a respeito da privacidade e tratamento das in-
formações e impõe novas formas de conduzir as
relações tanto nos âmbitos trabalhistas, quanto co-
merciais e de prestação de serviços.
Para quem trabalha com a área de tecnologia, como
intermediários e prestadores de serviços, precisa ade-
quar suas soluções para armazenar e processar os
dados pessoais de seus clientes. Assim, implementar
os conceitos das novas regras é essencial para criar
produtos ou ferramentas que atendam às determi-
nações e necessidades de seus clientes.
As negociações de contrato de serviços de clientes
que exijam conformidade com a LGPD, assim como a
entrega de documentos relacionados a ela, como RIP-
DP e DPIA, são desafios para gestores e diretores. Pen-
sando nisso, o BL Consultoria Digital, especializado em
Direito Digital e Proteção de Dados, provê soluções es-
pecíficas para atender às necessidades de adequação
à LGPD para todos os segmentos de negócio.
BL Consultoria Digital • 42
Destaca-se que a correta implementação e adequa-
ção à LGPD ajuda a gerenciar riscos e a vencer essas
dificuldades, garantindo que a empresa esteja sem-
pre competitiva no mercado e atualizada com as no-
vas exigências e práticas necessárias para sua área.

Ter esse apoio pode garantir maior rapidez e eficiên-

cia na execução dos processos em conformidade com
a LGPD, garantindo a segurança jurídica necessária
com foco no seu negócio.

Este e-book foi importante para você? Precisa de as-

sessoria jurídica para a adequação à LGPD da sua
empresa?

Fale com o BL Consultoria Digital!

BL Consultoria Digital • 43