LGPD

ESCRITÓRIOS DE
CONTABILIDADE

LEI GERAL DE
PROTEÇÃO DE DADOS
Rosi Mainardes
 6 PASSOS FUNDAMENTAIS PARA
ADEQUAÇÃO

Como está a segurança dos Dados em seu escritório de

contabilidade ?
Seu escritório de contabilidade está em conformidade
com à LGPD ?

Como vocês tratam dados pessoais ?

Você sabe que adequação à LGPD não é apenas TERMO

DE CONSENTIMENTO ou POLÍTICAS ?

Rosi Mainardes
 COMPLIANCE PARA
CONTABILIDADE

Escritório de contabilidade, trata dados pessoais e dados

pessoais sensíveis de clientes, empregados, fornecedores e
parceiros, atuando como CONTROLADOR e principalmente
como OPERADOR, o que requer cuidado redobrado após a
criação da Lei.
Escritório de contabilidade gerencia finanças, rastreia ativos e
despesas, gerencia folha de pagamento, mantem controle de
documentos fiscais entre outros, ou seja, um "serviço"
essencial na vida de qualquer negócio de pessoa física e/ou
pessoa jurídicas, em sendo, deve promover junto à sociedade
e todos os envolvidos um
ecossistema de integridade,
confidencialidade e disponibilidade,
a fim de garantir a segurança da
informação, a privacidade e
proteção dos dados.

PÁGINA 01 |
Rosi Mainardes
 O QUE É LGPD

O QUE É LGPD
Lei Geral de Proteção de Dados - Lei 13.709/18, promulgada em
agosto de 2018 em vigência desde 18 de setembro de 2020
com a entrada em vigor das multas a partir de 1º de agosto de
2021, determina como tratar dados pessoais, com o objetivo de
proteger os direitos fundamentais de liberdade e de
privacidade e o livre desenvolvimento da personalidade da
pessoa natural, bem como, garantir a confidencialidade e
sigilo de seus dados pessoais e dados pessoais sensíveis,
inclusive nos meios digitais, aplicando -se a qualquer
operação de tratamento realizada por pessoa natural ou por
pessoa jurídica de direito público ou privado que tenha por
objetivo a oferta ou o fornecimento de bens ou serviços ou o
tratamento de dados de indivíduos localizados no território
nacional.

PÁGINA 02 |
Rosi Mainardes
 O QUE É LGPD

O QUE SÃO DADOS PESSOAIS

informação relacionada a pessoa natural

identificada ou identificável;

Nome completo; E-mail;

RG e CPF; Endereço de IP;
Data de nascimento; Matricula de convênios;
Telefone; Cartão SUS;
Endereço; Passaporte e carteira de
habilitação;

Se uma informação permite identificar, direta ou

indiretamente um indivíduo que esteja vivo, pessoa
natural, então esta informação é considerada um dado
pessoal e está sob a proteção da LGPD.

Rosi Mainardes
 O QUE É LGPD

O QUE SÃO DADOS PESSOAIS SENSÍVEIS

informação relacionada a pessoa natural identificada ou

identificável;

Nome completo; E-mail;

RG e CPF; Endereço de IP;
Data de nascimento; Matricula de convênios;
Telefone; Cartão SUS;
Endereço; Passaporte e carteira
de habilitação;

Se uma informação permite identificar, direta ou

indiretamente um indivíduo que esteja vivo, pessoa
natural, então esta informação é considerada um dado
pessoal e está sob a proteção da LGPD.

PÁGINA 04 |
Rosi Mainardes
 SEU ESCRITÓRIO ESTÁ
PREPARADO ?

CAMINHO DOS DADOS

Você sabe quais dados

pessoais e quais dados
pessoais sensíveis são
tratados em seu escritório?

Coletado; Distribuído;

Produzido; Processado;

Recepcionado; Arquivado;

Classificado; Armazenado;

Utilizado; Eliminado;

Acessado; Avaliado;

Reproduzido; Modificado;

Transmitido; Transferido;

Como, por quê, por onde, por quem,

com quem e por quanto tempo?

Esta é uma das responsabilidades do

CONTROLADOR.
PÁGINA 05 |
Rosi Mainardes
 DONO DOS DADOS
Você conhece os direitos do titular, o “dono” dos
dados e está preparado para atendê-los?

DIREITOS DO TITULAR
Art. 17. Toda pessoa natural tem assegurada a titularidade de seus
dados pessoais e garantidos os direitos fundamentais de liberdade,
de intimidade e de privacidade, nos termos desta Lei.

Art. 18. O titular dos dados pessoais tem direito a obter do

controlador, em relação aos dados do titular por ele tratados, a
qualquer momento e mediante requisição:

Acesso aos dados: Informação sobre o não

Anonimização, Bloqueio, consentimento;
Eliminação; Revogação de consentimento;
Confirmação da existência de Informação sobre o
tratamento; tratamento automatizado;
Correção de dados Portabilidade dos dados;
incompletos, inexatos ou Titularidade dos dados
desatualizados; pessoais;
Informação sobre
compartilhamento;

PPÁ
ÁGGI INN
AA0 40
| 6 |

Rosi Mainardes
 TRATAMENTO DE DADOS PESSOAIS
Você está ciente que, para tratar dados pessoais o
tratamento tem que limitar-se ao mínimo necessário
e obrigatoriamente precisa estar adequado à uma
Hipótese de Tramento?

HIPÓTESES DE TRATAMENTO
Art. 7º O tratamento de dados pessoais somente poderá ser
realizado nas seguintes hipóteses:

Consentimento pelo Titular ; Exercício regular de

Cumprimento de obrigação direitos;

legal ou regulatória; Proteção da vida ou da

Tratamento pela incolumidade física do

administração pública; Titular ou terceiro;

Realização de estudos e Tutela da saúde do Titular;

pesquisas; Legítimo interesse do

Execução de contrato ou Controlador;

procedimentos preliminares; Proteção do crédito;

PÁGINA 07 |
Rosi Mainardes
 ATORES DA LGPD

CONTROLADOR
Art. 5º . VI - controlador: pessoa natural ou jurídica, de
direito público ou privado, a quem competem as decisões
referentes ao tratamento de dados pessoais;

OPERADOR
Art. 5º VII - operador: pessoa natural ou jurídica, de direito
público ou privado, que realiza o tratamento de dados
pessoais em nome do controlador;

TITULAR
Art. 5º V - titular: pessoa natural a quem se referem os
dados pessoais que são objeto de tratamento;

DPO - ENCARREGADO DE PROTEÇÃO DE DADOS

Art. 5º VIII - encarregado: pessoa indicada pelo
controlador e operador para atuar como canal de
comunicação entre o controlador, os titulares dos dados
e a Autoridade Nacional de Proteção de Dados (ANPD);

ANPD - AUTORIDADE NACIONALDE PROTEÇÃO DE DADOS

Órgão da administração pública federal, integrante da
Presidência da República, com atribuições relacionadas a
proteção de dados pessoais e da privacidade e,
sobretudo, de realizar a fiscalização do
cumprimento da Lei nº 13.709/2018
PÁGINA 08 |
Rosi Mainardes
6 PASSOS FUNDAMENTAIS PARA ADEQUAÇÃO
1 CONSCIENTIZAÇÃO
Reunião com a direção e todos os envolvidos no tratamento;
Conscientização da importância da adequação e conformidade
com a LGPD;
Conscientização da importância do comitê de Gestão de
Privacidade;

2 DATA MAPPING
Reunião com stakeholders;
Mapeamento de processos;
Mapeamento de dados;
Ciclo de vida dos dados;
Compartilhamentos e transferências internacionais;
Medidas de segurança existentes;
Maturidade de TI;
Segurança da informação;

3 GAP ANALYSIS
Cenário atual da empresa;
Identificação de inconformidades;
Análise de probabilidade de impacto e risco de privacidade;
Análise das políticas e avisos de privacidade existentes;
Análises de contratos (colaboradores, clientes e parceiros);

4 PLANO DE AÇÃO
Estabelecer cronograma de trabalho e prazos;
Definir Encarregado pelo tratamento - DPO;
Apresentar soluções para minimizar os riscos apontados no
diagnóstico (em conjunto: T.I , S.I, Processos e Jurídico);
Definir comitê de implementação e governança de privacidade;
Construção de estratégias para mitigação de riscos;
5 IMPLEMENTAÇÃO
Execução do plano elaborado no planejamento;
Adoção de boas práticas;
Elaboração do Registro de Operações de Tratamento de Dados
(RopA);
Elaboração de Políticas, avisos de privacidade;
Elaboração da avalição de legítimo interesse (LIA);
Elaboração do Relatório de Impacto;
Aditivos de contratos (colaboradores, clientes, operadores e
fornecedores);
Elaboração de termo de confidencialidade (colaboradores, clientes,
operadores e fornecedores);
Elaboração e envio de Termo de Conformidade (operadores e
fornecedores);
Estruturação do plano de treinamento;
Estruturação de respostas a solicitações do Titular - canal de
comunicação;
Estruturação de respostas a incidentes e comunicação com a
Autoridade Nacional;
Aprimoramento de programas de governança existentes;

6 MONITORAMENTO
Adequação é início sem fim;
Monitorar garantindo a conformidade do processo, a
manutenção do programa de gestão em privacidade de
dados; Atualizações eventuais necessárias para manter a
conformidade com a lei;
Auditar em momentos específicos;

PÁGINA 10 |
Rosi Mainardes
 VANTAGENS DA ADEQUEÇÃO

01 TRANSPARÊNCIA E CONFIANÇA NO SERVIÇO;

02 VALORIZAÇÃO DA MARCA;

03 DESTAQUE EM RELAÇÃO À CONCORRÊNCIA;

MAIS CREDIBILIDADE NO MERCADO PELA

04 CONSCIENTIZAÇÃO DA PROTEÇÃO DOS DADOS;

05 AUMENTO DA SEGURANÇA DOS DADOS TRATADOS;

06 MENORES RISCOS DE INCIDENTES;

07 REVISÃO DOS PROCESSOS ORGANIZACIONAL;

08
MAIS CONFIANÇA DE CLIENTES E PARCEIROS
(PACIENTES, MÉDICOS, CONVÊNIOS, ETC.);

09 GOVERNANÇA MULTIDISCIPLINAR;
MAIS SEGURANÇA , CLAREZA E
10 RESPONSABILIDADE NA PROTEÇÃO DOS DADOS;

PÁGINA 11 |
Rosi Mainardes
 PASSO 1

CONSCIENTIZAÇÃO

O primeiro passo para dar início a

um projeto de adequação à LGPD é
garantir o apoio da direção e a
conscientização sobre a importância
da conformidade, envolver toda a
equipe, desde a alta direção até a
zeladoria, todos precisam entender,
estar engajados e comprometidos
com o projeto.
O ambiente contábil por si é um local
sensível que trata bem mais que
dados, zela da vida financeira do
negócio, um cenário onde transitam
valores, segredos comerciais e muita
responsabilidade, em sendo, o
cuidado, o sigilo a confidencialidade
é primordial e obrigação legal.

DICA
# Investir em treinamentos e conscientização
de todos os envolvidos não é custo, são
ganhos de retorno breve, agrega valor para
empresa.
# Pessoas treinadas e conscientes oferecem
mais que serviços, entregam qualidade e
enriquecem a marca da empresa.

PÁGINA 12 |
Rosi Mainardes
 PA
P AS
SSSO
O 21
PASSO 2
DATA MAPPING
DATA MAPPING

O data mapping ou mapeamento é um

documento essencial para conhecer
detalhadamente o “caminho” dos dados, o
ciclo de vida dos dados.
Conhecer o fluxo e atividades do processo,
assim como as relações contratuais com os
colaboradores, clientes, parceiros e
fornecedores. O mapeamento é
determinante para uma adequação bem
sucedida.
O mapear, é o momento de entrevistas e
troca de informações com os stakeholders,
ou seja, com todas as partes interessadas,
para que todos estejam conscientes de:

Como e por onde os dados chegam;

Como são recepcionados;
Como são manuseados e classificados;
Quem tem acesso a estes dados;
São compartilhados, como, com quem e onde;
São armazenados, como, por quê, onde e por
quanto tempo;
Qual o nível de vulnerabilidade;
Quais a medidas de segurança existentes;
Qual a maturidade de TI;

PÁGINA 13 |
Rosi Mainardes
 MAPEAMENTO
Armazenamento
nacional ou
internacional

Dados são coletados na Armazenamento em

recepção, online. nuvem, backups,
Fornecidos pelo titular, arquivos, pastas,
empregados, empresas, gavetas, equipamentos.
parceiros, fornecedores.

Coleta
Retenção

DADOS
Elinimação

Processamento

Compartilhamento
Fim do tratamento. Toda operação que
Incinerar, apagar, excluir, envolva a classificação
descartar os dados, dos dados, mapas de
(dentro dos prazos de coleta, de trabalho,
retenção legal) extração, modificação ou
controle das informações
.

Guarda Compartilhamento com

permanente setor administrativo,
financeiro, publico,
jurídico, armazenamento
em nuvem, receita
federal, operadores.

Compartilhamento
nacional ou
internacional

PÁGINA 14 |
Rosi Mainardes
 PASSO 3

GAP ANALYSIS

Gap analysis ou diagnóstico,

momento de identificar o que não
está em conformidade com a Lei,
analisar o cenário atual da empresa,
as probabilidades, impactos e riscos
à privacidade, as medidas de
segurança existentes ou não
implementadas;
Analisar as vulnerabilidades
existentes;
Analisar políticas existentes, avisos de
privacidade, termo de conformidade
ou falta deles;
Analisar contratos e termo de
confidencialidade (colaboradores,
clientes e parceiros).
Identificar as medidas necessárias
para a adequação à Lei, construindo
uma estratégia, um plano de ação
para mitigação de riscos.

PÁGINA 15 |
Rosi Mainardes
DIAGNÓSTICO
DIAGNÓSTICO
Dados coletados sem
finalidades especificas,
excessivos, desatualizados,
vulneráveis, sem
classificação, sem controle
de armazenamento e
eliminação

Stakeholders sem Falta de controles e

conhecimento da lei, sem privilégios de acesso, senhas
treinamentos. fracas e não atualizadas,
Falta de comitê de compliance falta de backups seguros e
e governança. armazenamento seguro.
Falta de seguranção da Falta de controle lógico e
informação, segurança de rede. controle físico.

Diagnosticando

políticas e avisos de
Compartilhamento sem
privacidade desatualizados
gerenciamento,
ou inexistentes. Contratos
operadores,
desatualizados e
fornecedores e parceiros
inconformes com a lei.
não certificados e não
Produtos piratas e
adequados a lei. Identificar desatualizados.

Medidas técnicas,
administrativas afim de mitigar
riscos e vulnerabilidades.

PÁGINA 16 |
Rosi Mainardes
 PA
P AS
SSSO
O 21
PASSO 4
DATA MAPPING
PLANO DE AÇÃO

Estabelecer cronograma de trabalho

apresentando plano de ação e
soluções para minimizar riscos e
incidentes, priorizando a execução
das atividades apontadas pelo
diagnóstico afim de trazer
conformidade para a organização.
Identificar as hipóteses de
tratamento aplicáveis e leis
correlatas.
Definir o Encarregado de Tratamento
e comitê de privacidade.

DEFINIÇÃO DO COMITÊ DE GESTÃO DE

PRIVACIDADE

Eleger pessoas comprometidas com a

conformidade, com privilégio de
acesso a informação, que conheçam a
regra do negócio e estejam aptas e
conscientes da importância de zelar
pelos dados tratamento, garantindo
agilidade na elaboração de um plano
de riscos e respostas a incidentes em
casos de vazamento e na apuração de
possíveis erros e na correção deles.

PÁGINA 17 |
Rosi Mainardes
 PA
P AS
SSSO
O 21
PASSO 5
DATA MAPPING
IMPLEMENTAÇÃO

Colocar em prática, execução do plano

elaborado no planejamento. Implementar
medidas técnicas, e administrativas aptas a
proteger os dados pessoais previstos no plano
de ação.
Nomear o Encarregado pelo tratamento -
DPO e comitê de privacidade.
Elaborar, atualizar e adequar documentos,
contratos, produtos, avisos e políticas, de
forma clara e em conformidade com a lei;
Estruturar plano de treinamento;
Elaborar resposta a solicitação do titular,
respostas a incidentes e comunicação com
autoridade nacional de proteção de dados;
Aprimorar programas existentes de
governança e conformidade;

PROGRAMA DE GOVERNANÇA EM
PRIVACIDADE E PROTEÇÃO DE DADOS

Privacy by design and by default, implementar

desde o início, buscando garantir a proteção e
privacidade desde a concepção em
desenvolvimento de produtos, serviços, práticas
comerciais e infraestruturas físicas, adotar
padrões para as atividades relacionadas a
tratamento de dados e segurança da informação,
de ponta a ponta, aplicar medidas organizacionais
eficazes e contínuas.
PÁGINA 18 |
Rosi Mainardes
 PA
P AS
SSSO
O 21
PASSO 6
DATA MAPPING
MONITORAMENTO

Monitorar e auditar constantemente,

garantindo a conformidade do
processo, a manutenção do
programa de governança em
privacidade de dados

DICA

# O ciclo PDCA é totalmente aplicável a

um programa de privacidade .
# Tenha apoio multidisciplinar e
eficiente na adequação, conte com um
consultor externo, um DPO - Data
Protection Officer apto em comunicar-
se com titular de dados e Autoridade
Nacional, com conhecimento e
entendimento sobre LGPD e normas de
segurança da informação, conte com
jurídico para aplicação das hipóteses de
tratamento adequadas e uma T.I
qualificada para auxiliar na tecnologia e
segurança da informação.

PÁGINA 19 |
Rosi Mainardes
 PA
P AS
SSSO
O 21 DESVANTAGENS DA
DATA MAPPING FALTA DE ADEQUAÇÃO

MULTAS DE 2% (DOIS POR CENTO) DO FATURAMENTO A

01 R$ 50.000.000,00 (CINQUENTA MILHÕES DE REAIS);

02 PENALIDADES POR DESCOMPRIMENTO DA LEI;

03 PUBLICIZAÇÃO DA INFRAÇÃO;

PROIBIÇÃO PARCIAL OU TOTAL DO EXERCÍCIO

04 RELACIONADO AO TRATAMENTO DOS DADOS;

05 SUSPENSÃO DO BANCO DE DADOS;

DESACREDITAÇÃO DE CLIENTES, PARCEIROS,

06 COLABORADORES E FORNECEDORES;

07 PERDA DE CONTRATOS E LUCROS;

08 FAMA NEGATIVA DE INCIDENTES DE DADOS;

DESVANTAGENS ECONÔMICAS DIANTE DA

09 CONCORRÊNCIA;

10 DESVALORIZAÇÃO DA MARCA;

PÁGINA 20 |
Rosi Mainardes
 Rosi Mainardes

DPO - Encarregada pelo Tratamento de

Dados Pessoais.
Membro ANPPD® - Associação Nacional
dos Profissionais de Privacidade de
Dados.
Consultora LGPD .
Engenheira de Software | Analista de
Sistemas | Analista de Processos.

Certificada DPO (Data Protection Officer) - SAP Treinamentos.

Certificada em LGPD - CertiProf.
Formada em Análises e Desenvolvimento de Sistemas - Unopar
Pós graduada em Engenharia de Software com UML - Unifil.
Especialista em implantação e treinamentos de software para
gestão empresarial.

(44) 99858-0302

instagram.com/rosimainardes

linkedin.com/in/rosi-mainardes-0b100980

dpomainardes@gmail.com