O GUIA DA

LGPD
NO BRASIL
O QUE É LGPD?
E COMO SE ADEQUAR?
ÍNDICE

INTRODUÇÃO 03
O QUE É A LGPD 04
O QUE SÃO DADOS PESSOAIS E DADOS PESSOAIS SENSÍVEIS 06
BASES LEGAIS, PRINCÍPIOS E AGENTES DA LGPD 08
DIREITO DOS TITULARES DOS DADOS 13
CASES DE VAZAMENTOS DE DADOS 15
LGPD EM 2023 19
COMO AVALIAR À LGPD NA SUA EMPRESA 21
SOLUÇÕES PARA ADEQUAÇÃO À LGPD 23
 INTRODUÇÃO

Em um mercado corporativo cada vez mais orientado por dados, os

quais ficam armazenados em diversos sistemas e aplicações na inter-
net, priorizar a segurança da informação e a privacidade dos dados
pessoais nunca foi tão essencial.

Na era da informação, os dados passaram a ser considerados um dos

ativos mais valiosos das empresas, por isso, é fundamental que elas
respeitem e protejam a privacidade e a segurança dos dados pessoais
que tratam no dia a dia.

“Não devemos pedir aos nossos clientes que

façam um equilíbrio entre privacidade e seguran-
ça. Precisamos oferecer-lhes o melhor de ambos.
Em última análise, proteger os dados de outra
pessoa é proteger a todos nós.”
CEO da Apple, Tim Cook
O QUE É A
LGPD
O QUE É
A LGPD

A LGPD ou Lei Geral de Proteção de Dados Pessoais, é a lei Nº

13.709/2018, sancionada em 14 de agosto de 2018.

Ela regulamenta todas as atividades relacionadas a tratamento de

dados pessoais, ou seja, qualquer informação relacionada a uma
pessoa física identificada ou identificável.

A lei se aplica a todos os tipos de empresa, bem como instituições

sem fins lucrativos e ao Poder Público.
O QUE SÃO DADOS
PESSOAIS E DADOS
PESSOAIS SENSÍVEIS?
O QUE SÃO DADOS PESSOAIS
E DADOS PESSOAIS SENSÍVEIS?

Dados pessoais são todo tipo de Alguns dos dados pessoais são considerados
informação que permite identificar um sensiveis, pois podem gerar algum tipo de
indivíduo de forma direta ou indiretamente. discriminação para o seu titular, como:
São eles:

• Origem racial
• Nome
• Origem étnica
• E-mail
• Convicção religiosa
• Telefone
• Opinião política
• Endereço
• Filiação a sindicato ou a organização
• Data de nascimento
de caráter religioso
• Retrato de fotografia
• Filosófico ou político
• Prontuário de saúde
• Dado referente à saúde ou à vida
• Cartão bancário
sexual, dado genético ou biométrico
BASES LEGAIS,
PRINCÍPIOS E
AGENTES DA LGPD
BASES LEGAIS
DA LGPD
A lei autoriza o tratamento de dados pessoais em dez hipóteses, que são
chamadas de bases legais.
Se, porventura, a empresa trata os dados fora de uma dessas bases legais, ela
está tratando dados de forma ilegal. Portanto, é importante ajustar as ativida-
des de sua empresa para alguma dessas hipóteses de que vamos tratar – nem
sempre será limitada a uma única hipótese, a empresa controladora é a
responsável por definir qual a base legal mais adequada.
A base legal está prevista no artigo 7º.
Art. 7º Os dados pessoais somente podem ser tratados nas seguintes hipóte-
ses:
I – Mediante o fornecimento de consentimento pelo titular;
A autorização deve ser para a finalidade específica ali descrita. Sendo assim, se
houver coleta de dados para finalidades distintas, elas deverão ser autorizadas
uma a uma e não como um todo.
II – Para o cumprimento de obrigação legal ou
regulatória pelo controlador;
Isso acontecerá quando houver lei, instrumento
normativo, portaria ou regulamento que determine
o tratamento de dados. Um exemplo em que o consentimento do titular se
torna dispensável: setores altamente regulados como o da saúde. Esses preci-
sam armazenar prontuários por, pelo menos, 20 anos. Ou seja, mesmo ainda
que o titular queira sua exclusão.
III – Pela administração pública, para o tratamento e uso compartilhado de
dados é necessário à execução de políticas públicas:
Órgãos públicos poderão ter acesso aos dados para realização de políticas
públicas. Como é o exemplo de uma pesquisa que tem como objetivo desenvol-
ver
determinada área de uma cidade, dando maior vazão ao trânsito, melhorando
o transporte público, fazendo a análise através de dados de quantas pessoas
utilizam o transporte público naquela área.
IV – Para a realização de estudos por órgão de pesquisa, garantida, sempre
que possível, a anonimização dos dados pessoais;
Somente órgãos de pesquisa, que constem no objeto social que é um órgão de
pesquisa, poderão usar essa base legal para tratar dados. Isso exclui empresas
que queiram fazer pesquisas internas. O tratamento dos dados podem ser para
fins de estudos e pesquisa, devendo garantir a segurança da informação. (Art.
7 e 13)
V – Quando necessário para a execução de contrato ou de procedimentos
preliminares. Esses relacionados a contrato do qual seja parte o titular, a
pedido do titular dos dados;
a que uma obrigação seja cumprida às vezes é preciso tratar de dados, a
exemplo de se contratar um novo colaborador ou precisar de um intermediário,
precisando fornecer uma série de informações pessoais para esse terceiro e,
assim, cumprir o contrato. Exemplo disso é nos casos das companhias aéreas.
BASES LEGAIS
DA LGPD

O destino é um só, mas para chegar até esse destino será necessário que um IX – Quando necessário para atender aos interesses legítimos do controlador
trecho da viagem seja operado por outra companhia. Portanto, se houver uma ou de terceiro.
obrigação advinda de um contrato e desta for necessário o tratamento de Exceto no caso de prevalecerem direitos e liberdades fundamentais do titular
dados, podemos utilizar essa base legal. que exijam a proteção dos dados pessoais;

VI – Para o exercício regular de direitos em processo judicial, administrativo X – Para a proteção do crédito, inclusive quanto ao disposto na legislação
ou arbitral. Este último nos termos da Lei nº 9.307, de 23 de setembro de 1996 pertinente
(Lei de Arbitragem);
Para a aprovação de crédito, reduzindo os riscos da transação, é possível que
Outra hipótese em que podemos dispensar o consentimento do titular para dados pessoais sejam consultados avaliando o perfil de pagador do cidadão.
utilização de seus dados é para exercer um princípio constitucional: o do acesso
à justiça. Dessa forma, há autorização expressa para tratar dados com a finali-
dade de ingressar com processos judiciais, administrativos e arbitrais.

VII – Para a proteção da vida ou da incolumidade física do titular ou de

terceiro;
É possível justificar o tratamento de dados pessoais quando o seu uso é de inte-
resse vital seja do titular do dado ou ainda de outra pessoa.

VIII – Para a tutela da saúde, exclusivamente, em procedimento realizado

por profissionais de saúde, serviços de saúde ou autoridade sanitária; (Reda-
ção dada pela Lei nº 13.853, de 2019)
Quando profissionais de saúde, serviços de saúde ou autoridade sanitária preci-
sam tratar dados pessoais.
PRINCÍPIOS
DA LGPD

Existem 10 princípios que norteiam a LGPD em relação ao tratamento de dados, Segurança

veja a seguir
Finalidade
Realização do tratamento para propósitos legítimos, específicos, explícitos e
informados ao titular. Adequação de compatibilidade do tratamento com as
finalidades informadas ao titular, de acordo com o contexto do tratamento;
Necessidade
Limitação do tratamento ao mínimo necessário para a realização de suas finali-
dades, com abrangência dos dados pertinentes, proporcionais e não excessivos
em relação às finalidades do tratamento de dados;
Livre Acesso
Garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a dura-
ção do tratamento, bem como sobre a integralidade de seus dados pessoais;
Qualidade dos Dados
Garantia, aos titulares, de exatidão, clareza, relevância e atualização dos
dados, de acordo com a necessidade e para o cumprimento da finalidade de
seu tratamento;
Utilização de medidas técnicas e administrativas aptas a proteger os dados
pessoais de acessos não autorizados e de situações acidentais ou ilícitas de
destruição, perda, alteração, comunicação ou difusão;
Prevenção
Adoção de medidas para prevenir a ocorrência de danos em virtude do trata-
mento de dados pessoais;
Não discriminação
Impossibilidade de realização do tratamento para fins discriminatórios ilícitos
ou abusivos; Ex: Caso cartão de crédito da Apple, que dava crédito menor para
mulheres
Responsabilização e Prestação de Contas
Demonstração, pelo agente, da adoção de medidas eficazes e capazes de
comprovar a observância e o cumprimento das normas de proteção de dados
pessoais e, inclusive, da eficácia dessas medidas. “Registra tudo! “ Ex: Documen-
tações, registros, termos, logs, treinamentos, palestras e avisos de privacidade

Transparência
Garantia aos titulares de informações claras, precisas e facilmente acessíveis
sobre a realização do tratamento e os respectivos agentes de tratamento,
observados os segredos comercial e industrial;
AGENTES
DA LGPD

Uma das particularidades da LGPD é a definição dos agentes responsáveis pelo

tratamento das informações. Essa está presente no artigo 5º, inciso VI, da Lei
Titular de dados
13.079/18.
O titular é o dono dos dados, sempre uma pessoa natural (física), como clientes,
empregados, terceirizados, etc.
Controlador
Como o nome sugere, o controlador é o sujeito a quem competem as decisões
DPO
referentes ao tratamento de dados. Ou seja, aquele que define a finalidade de
O Data Protection Office (DPO) pode ser um profissional ou empresa, nomeado
tratamento das informações e os meios para fazê-lo, sempre em concordância
pelo controlador ou operador. Esse atua como um canal de comunicação entre
com as normas da LGPD e os direitos do titular.
o controlador ou operador, os titulares dos dados e a Autoridade Nacional de
Proteção de Dados.
Operador
Já o operador, que também pode ser pessoa física ou jurídica, é um subordina-
do do controlador na cadeia de agentes da LGPD. Esse realiza o tratamento
dos dados de titulares em nome do controlador, tendo que seguir todos os
procedimentos indicados por esse, sempre observando as diretrizes da lei.

ANPD
A Agência Nacional de Proteção de Dados é responsável por zelar pela prote-
ção de dados pessoais e por regulamentar, implementar e fiscalizar o cumpri-
mento da LGPD no Brasil.
DIREITO DOS
TITULARES DE DADOS
DIREITO DOS
TITULARES DE DADOS

Portabilidade dos dados a

Confirmação da existência
outro fornecedor de Acesso aos dados
do tratamento
serviços ou produto

Informação das entidades

Correção de dados públicas e privadas com as Eliminação dos dados
incompletos, inexatos ou quais o controlador pessoais tratados com
desatualizados realizou uso compartilhado consentimento do titular.
de dados.

Anonimização, bloqueio ou Informação sobre

eliminação de dados possibilidade de não Revogação do
desnecessários, excessivos fornecer consentimento e consentimento.
ou tratados em sobre consequências da
desconforminadade. negativa.
CASES DE
VAZAMENTOS
DE DADOS
CASES DE
VAZAMENTOS
DE DADOS

Caso Net
O caso da Net aconteceu em 2015, um funcionário utilizou os dados de uma
cliente para enviar mensagens de assédio.
CASES DE
VAZAMENTOS
DE DADOS

Caso Banco Inter

Em 2018, o Banco Inter fechou um acordo com o Ministério Público para pagar
1,5 milhão por vazamento de dados
CASES DE
VAZAMENTOS
DE DADOS

Caso do McDonald's
Em outubro de 2019, mais de 2 milhões de registros confidenciais da rede
McDonald's no Brasil vazaram, revelando nomes, faixas etárias, anos de experi-
ência, cargos, departamentos, etnias, necessidades especiais, salários e até
trabalho dos funcionários.

O vazamento também forneceu acesso a 76.000 registros de novas contrata-

ções, 12.000 formulários de rescisão e 245 listas de fornecedores e parceiros
com dados como nomes de empresas, endereços de e-mail de contato e CNPJ.

Caso do Ministério Público

Em 2020, golpistas exploram bugs para extrair dados confidenciais de arquivos.

Isso resultou na divulgação indevida dos dados de 243 milhões de pessoas, ou

seja, tem mais nomes que toda a população do Brasil.

No caso, esse volume se deve ao vazamento de dados de pessoas falecidas

utilizadas para a prática de novos crimes.
LGPD
EM 2023
LGPD
EM 2023

Sanções
A definição sobre as sanções foi feita em 2018, porém a dosimetria das sanções
foi definida em janeiro de 2023, com ela, agora é possível analisar os casos e
entender qual tratativa dar para cada um deles. Por conta disso, as multas vão
começar a ser aplicadas mais fortemente em 2023.

Aumento de ataques cibernéticos

Segundo pesquisas, o Brasil é um dos principais alvos de ataques cibernéticos,
existe uma tendência de crescimento das tentativas de ataques, para se ter
uma ideia os casos aumentaram mais de 94% em 2022.

Aumento da participação do DPO

O fato da ocupação DPO ter sido reconhecida pelo Ministério do Trabalho em
2022 reforça o impacto que terá no futuro.

A nomeação de um encarregado de dados é obrigatória por lei.

Para estarem em conformidade, as empresas de diferentes portes contarão
com a atuação de profissionais da área o que levará ao aumento da atuação.
COMO AVALIAR A LGPD
DA SUA EMPRESA?
Entenda que LGPD não tem fim, não é um mero projeto e sim uma jornada.

Check-list para avaliar a LGPD na sua empresa:

• Organizar os dados de clientes e dados de funcionários

• Validar se o tratamento dos dados pessoais estão plenamente justificados
• Informar sempre o titular de dados sobre a finalidade dos dados coletados
• Estar preparada sempre que um titular quiser saber informações sobre os
seus dados pessoais
• Identificar quem são os agentes que tratam os dados pessoais, sejam
funcionários ou terceiros
• Ter documentações práticas sobre e práticas relacionadas à gestão da
privacidade da informação
• A empresa deve realizar cursos sobre privacidade e proteção para que seja
estabelecida uma cultura
• Gestão para evitar falhas de segurança
• Validar o que foi feito e o que ainda precisa ser feito
• Mapear os riscos reais que a organização percebe internamente e organizar
por prioridade para resolver
• Identificar o que pode ser resolvido e ainda não foi feito
• Planejar o melhor caminho a seguir para garantir a privacidade e proteção no
negócio com base no cenário analisado
SOLUÇÕES
PARA LGPD
SOLUÇÕES
PARA LGPD

Como a Global ajuda as empresas

a estarem em conformidade com
a LGPD?
Nós temos um programa de adequação completa para todos os segmentos e
já realizamos mais de 100 adequações.

Veja abaixo quais são as etapas do nosso programa:

PROCESSO DE ADEQUAÇÃO
SOLUÇÕES
PARA LGPD

Como a Global ajuda as empresas

a estarem em conformidade com
a LGPD?

FASES DE IMPLANTAÇÃO
SOLUÇÕES
PARA LGPD

Como a Global ajuda as empresas

a estarem em conformidade com
a LGPD?

ENTREGÁVEIS PROJETO LGPD

• Relatório de auditoria;
• Modelos de cláusulas contratuais;
• Políticas principais e termos; Privacidade, consentimento,
Segurança da Informação;
• Workshop Imersão LGPD;
• Relatório de Impacto (documento obrigatório na LGPD);
• Plano de ação com gerenciamento de riscos;
• Demais documentações constam na proposta detalhada;
SOLUÇÕES
PARA LGPD

DPO às Service Após a realização do Privacy Proof a empresa contará com um Relatório de
Validação e de Inconformidades, contemplando uma matriz de risco que
Ter um Data Protection Officer interno pode ser um custo oneroso, por isso indicará risco x probabilidade x impacto.
muitas empresas quando realizam a adequação optam pela modalidade de Além disso, como entidade independente, cuja metodologia de análise é trans-
contratação de DPO às Service. parente e imparcial, a GetGlobal concederá também um Selo Privacy Proof no
O serviço é realizado por demanda e de acordo com as necessidades de priva- qual constará o grau de adesão da empresa à LGPD, que deverá ser renovado
cidade e proteção de dados do seu negócio. anualmente, a fim de que se tenha certeza sobre a manutenção ou melhoria do
status de adequação.
DPO Assistido
O Privacy Proof é uma excelente ferramenta para:
O Serviço de DPO assistido é indicado para as empresas que já têm um DPO
contratado, mas que não têm a experiência necessária para tratar as questões
de privacidade e proteção de dados. Dessa forma, seu DPO é acompanhado • Medição do grau de adequação por empresa especializada, independente e
por um DPO especialista e recebe todo apoio que precisa até conseguir seguir imparcial
com as atividades sem a ajuda.
• Otimizar recursos financeiros e de pessoal, focando naquilo que realmente
importa
PRIVACY PROOF
• Aumentar a proteção da empresa contra sanções administrativas e ações
judiciais
O Privacy proof é uma metodologia internacional, adotada amplamente nos
EUA e União Europeia, que consiste em: • Colaborar efetivamente para o ecossistema de proteção de dados pessoais
no Brasil
• Analisar a qualidade das medidas adotadas por meio de situações reais e
aferir o grau de padronização dos processos na prática
• Testar se os dados estão seguros em situações reais
• Verificar o atendimento dos direitos dos titulares com procedimentos na práti-
ca Identificar a adesão corporativa e mudança de cultura com testes práticos
provados em situações reais Apontar oportunidade de melhoria embasadas
em relatórios de situações reais.
Nosso trabalho é organizar, otimizar e alavancar o crescimento das pequenas e médias
empresas, por meio da prestação de serviços especializados, trabalhamos com ética e
competência, visando atender com excelência o interesse do investidor, a motivação do
colaborador e a satisfação do cliente.

ENTRAR EM CONTATO