Relatório de

Operações de
Tratamento de
Dados Pessoais
 SUMÁRIO

1.1. IDENTIFICAÇÃO DA EMPRESA RESPONSÁVEL PELA ELABORAÇÃO DO DOCUMENTO

......................................................................................................................................................................... 3
1.2. OBJETIVO DO PROJETO...................................................................................................................3
1.3. OBRIGATORIEDADE DO RELATÓRIO DAS OPERAÇÕES DE TRATAMENTO DE DADOS
PESSOAIS.....................................................................................................................................................5
2.1. LGPD | LEI GERAL DE PROTEÇÃO DE DADOS...........................................................................6
3.1. DESCRIÇÃO DA CLIENTE..................................................................................................................7
3.1.1 INTRODUÇÃO.................................................................................................................................8
3.2. ÁREAS DE NEGÓCIO..........................................................................................................................9
3.1.3 DESCRIÇÃO DAS ATIVIDADES DESENVOLVIDAS POR CADA ÁREA DE NEGÓCIO.10
3.1.4 CANAIS DE ATENDIMENTO DISPONIBILIZADOS................................................................10
3.1.5 PLATAFORMAS/SISTEMAS/SOFTWARES UTILIZADOS POR FUNCIONÁRIO EM
REGIME DE HOME OFFICE E EM REGIME PRESENCIAL...........................................................11
3.1.6 EMPRESAS PARCEIRAS E FORNECEDORES DE TECNOLOGIA DA INFORMAÇÃO.11
4.1. DO TRATAMENTO DE DADOS PESSOAIS..................................................................................11
4.1.1 DAS OPERAÇÕES ENVOLVENDO O TRATAMENTO DE DADOS PESSOAIS E DAS
FINALIDADES.........................................................................................................................................11
5.1. BASE LEGAL...................................................................................................................................12
6.1. DA TRANSFERÊNCIA INTERNACIONAL DE DADOS................................................................14
7.1. DOS TITULARES................................................................................................................................14
7.2. DOS FLUXOS E CICLO DE VIDA DOS DADOS...........................................................................15
7.3. DA TAXONOMIA DE RISCOS..........................................................................................................15
7.4. DOS GAPS E RISCOS IDENTIFICADOS NAS OPERAÇÕES DA CLIENTE E DAS
SUGESTÕES DE MELHORIA (PLANO DE AÇÃO)..............................................................................19
7.5. DOS GAPS CONTRATUAIS.............................................................................................................21
 1.1. IDENTIFICAÇÃO DA EMPRESA RESPONSÁVEL PELA ELABORAÇÃO DO
DOCUMENTO

(INDICAR) é uma sociedade empresária de direito privado com sede na (INDICAR),

devidamente inscrita no CNPJ sob o nº (INDICAR), cujo objeto social consiste na execução de
serviços de consultorias e de treinamentos, doravante denominada simplesmente como
“CONSULTORIA”.

O foco de atuação do CONSULTORIA é a (INDICAR), objetivando (INDICAR), seguindo-

se uma metodologia (INDICAR). Além deste, a CONSULTORIA promove, por meio de diversos
mecanismos, a (INDICAR).

1.2. OBJETIVO DO PROJETO

O escopo do Projeto de implementação do Programa de Conformidade à LGPD baseia-se

em consultoria e prestação de serviços profissionais e encontra-se subdivido nas seguintes
atividades/fases:

01. Assessment Inicial:

(i) Aculturamento: Condução de um workshop de aculturamento sobre a LGPD e os

impactos no negócio da CLIENTE;
(ii) Data Mapping: Mapeamento dos processos que envolvem tratamento de dados pessoais
e dos fluxos e ciclo de vidas desses dados tratados;
(iii) GAP Analysis: Avaliação da maturidade jurídica e do nível de conformidade da CLIENTE
quanto a privacidade de dados em relação aos processos, contratos, cláusulas, sistemas e
pessoas;
(iv) Plano de Ação: Desenvolvimento de Plano Ação para implementação e consolidação de
informações para desenvolvimento das ações a serem adotadas pela CLIENTE para a
conformidade.
 Os objetivos do Assessment Inicial fundamentam-se em:

02. Implementação:

(i) Execução e implementação das atividades jurídicas previstas no Plano de Ação elaborado.

03. Monitoramento:

(i) Monitoramento e revisão periódica e constante das atividades jurídicas implementadas.

As fases do Projeto de implementação do Programa de Conformidade à LGPD

fundamentam-se em:
1.3. OBRIGATORIEDADE DO RELATÓRIO DAS OPERAÇÕES DE TRATAMENTO DE DADOS
PESSOAIS

O registro das operações de tratamento de dados pessoais é o tema abordado no

Relatório das Operações de Tratamento de Dados Pessoais | ROTDP ou ROPA – Record of
Processing Activities, que visa descrever os processos de “tratamento” 1 de dados pessoais, os fluxos e
ciclos de vidas desses dados tratados, as finalidades do tratamento, as legitimações do tratamento,
bem como medidas, salvaguardas e mecanismos de mitigação de risco (LGPD, art. 37º).

.................................................................................................................................................
..................

Art. 37. O controlador e o operador devem manter registro das operações de

tratamento de dados pessoais que realizarem, especialmente quando baseado no
legítimo interesse.

Nesse sentido, o legislador brasileiro trouxe no texto legal, a obrigatoriedade de

elaboração e manutenção do Relatório das Operações de Tratamento de Dados Pessoais por parte de
controladores e operadores. A mensuração e o registro das operações de tratamento de dados
pessoais são necessários para:

i. a correta e precisa identificação dos tipos de dados pessoais tratados;

ii. a correta atribuição de bases legais de tratamento;

1
LGPD | art.5º, X: “tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção,
classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação,
avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;”
 iii. o atendimento correto das solicitações dos titulares de dados pessoais;
iv. demonstrar conformidade à LGPD;
v. cumprimento dos princípios2 previstos na LGPD;
vi. aplicação dos controles corretos de segurança e para fins de trilha de auditoria em caso de
fiscalização pela Autoridade Nacional de Proteção de Dados Pessoais.

O ROTDP tem como objetivo apontar como as operações de tratamento de dados

pessoais são realizadas pela CLIENTE, mostrando passo a passo da operação, desde a coleta do
dado até sua exclusão, sendo necessário, identificar ainda:

i. o controlador/operador das operações

ii. a forma e a metodologia de coleta dos dados;
iii. as finalidades especificas do tratamento;
iv. as bases legais que legitimam as operações;
v. a forma e a duração do tratamento;
vi. quais e quem são os titulares de dados pessoais envolvidos;
vii. o período de retenção e descarte dos dados pessoais;
viii. o compartilhamento de dados com terceiros;
ix. os casos de transferência internacional (quando houver); e
x. as medidas de segurança relacionados às operações.

2.1. LGPD | LEI GERAL DE PROTEÇÃO DE DADOS

A Lei Federal nº 13.709/2018, a Lei Geral de Proteção de Dados (“LGPD”) foi sancionada
em agosto de 2018 e entrou em vigor em agosto de 2020, tendo como escopo a definição e o
estabelecimento de regras e diretrizes sobre (i) coleta, (ii) armazenamento, (iii) tratamento e (iv)
2
LGPD I art. 6º As atividades de tratamento de dados pessoais deverão observar a boa-fé e os seguintes princípios:
I - finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de
tratamento posterior de forma incompatível com essas finalidades;
II - adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento;
III - necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados
pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados;
IV - livre acesso: garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a
integralidade de seus dados pessoais;
V - qualidade dos dados: garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a
necessidade e para o cumprimento da finalidade de seu tratamento;
VI - transparência: garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e
os respectivos agentes de tratamento, observados os segredos comercial e industrial;
VII - segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de
situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;
VIII - prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais;
IX - não discriminação: impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos;
X - responsabilização e prestação de contas: demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a
observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.
compartilhamento de dados pessoais, bem como impõe a adoção de medidas técnicas, jurídicas e
administrativas aptas a proteger os dados pessoais, disciplinando ainda sobre as penalidades em caso
de descumprimento.

A LGPD tem como um de seus objetivos a implementação de uma nova cultura

organizacional e jurídica nas empresas, o que impactará o dia a dia de diversas formas, especialmente
no que se refere:

i. Às relações consumeristas e com usuários de serviços de internet;

ii. Às relações trabalhistas;
iii. Aos meios de comunicação digital;
iv. Às relações comerciais e aos negócios que utilizam dados de parceiros, representantes e
clientes;
v. À adequação por meio de medidas técnicas da tecnologia e dos processos;
vi. À adoção de práticas de transparência e segurança de dados; e
vii. O manuseio, armazenamento e descarte de papéis contendo dados pessoais.

O processo de adequação à LGPD traz muitos desafios práticos às empresas, dentre os

quais, a multidisciplinariedade de áreas, o atingimento de todo o ecossistema da empresa e os
impactos em diversas frentes do negócio, necessidade de diversas adaptações nos controles de
segurança, gerenciamento de dados e automação existentes. Como também, temos a obrigatoriedade
de nomeação do profissional interno ou contratação de consultoria especializada dedicada à proteção
de dados (Encarregado pela Proteção de Dados | Data Protection Officer - DPO).

Como disciplinado no item 1.3. supra, há ainda a obrigatoriedade legal do registro

detalhado sobre o ciclo de vida de dados, sua coleta, armazenamento e utilização, bem como gestões
dos direitos dos titulares, tais como, consentimentos, revogações, correção de dados incompletos,
inexatos ou desatualizados.

A LGPD envolve em proporções iguais as áreas (i) jurídica; (ii) tecnologia e (iii) processos,
bem como, as áreas de recursos humanos, marketing, compliance, serviço, logística, comercial,
compras, financeiro, produtos e novos negócios, desenvolvimento de softwares e TI, análise de dados,
segurança da informação, entre outras áreas.

3.1. DESCRIÇÃO DA CLIENTE

3.1.1 INTRODUÇÃO
 A (INDICAR), pessoa jurídica de direito privado, localizada na (INDICAR), e-mail de
contato: (INDICAR), inscrita no CNPJ sob o n. (INDICAR), ora “CLIENTE”, empresa pertencente ao
Grupo (INDICAR), fundado há mais de (INDICAR) anos que opera a nível (INDICAR), especializado
na (INDICAR), que oferta e executa os se seguintes serviços:

 (INDICAR)
 (INDICAR)
 (INDICAR)

No que se relaciona a estrutura societária da CLIENTE, cabe mencionar que (INDICAR).

O grupo possui escritórios comerciais (INDICAR).

A CLIENTE atua em (INDICAR) municípios e (INDICAR) estados do Brasil por meio de

(INDICAR).

As operações de tratamento de dados pessoais são realizadas por (INDICAR), localizada

na (INDICAR), o que será melhor detalhadamente demonstrado a seguir.

A CLENTE possui (INDICAR) funcionários em seus quadros, esses colaboradores são de

nacionalidade (INDICAR) e residentes e domiciliados em (INDICAR).

O principal perfil de clientes da CLIENTE está direcionado a (INDICAR). O número

estimado de empresas simples e grupos de empresas clientes informados durante o mapeamento de
dados é cerca de (INDICAR), enquanto o número estimado de empresas diferentes, marcas ou razões
sociais clientes é de (INDICAR).

O número aproximado de informações contidas na base de dados é de (INDICAR). Dentre

os números ora relatados e das informações disponibilizadas pela CLIENTE, (INDICAR) são
relacionadas às pessoas físicas clientes, (INDICAR) são relacionados aos colaboradores.

No mais, as atribuições da área responsável pelos recursos humanos e questões

administrativas da CLIENTE são desempenhadas por (INDICAR), conforme será abordado a seguir.

Por fim, a CLIENTE possui como canais de atendimento comercial, os seguintes meios:

 o site: (INDICAR)
 Descrever operações de tratamento realizadas no site comercial.

 as redes sociais (facebook, instagram e LinkedIn);

Descrever operações de tratamento realizadas em cada uma das redes sociais.

 telefone comercial (disponibilizado no site);

Descrever operações de tratamento realizadas por meio do telefone.

 e-mail corporativo; e

Descrever operações de tratamento realizadas por meio do e-mail corporativo.

 WhatsApp (aplicativo de mensagens instantâneas).

Descrever operações de tratamento realizadas por meio do whatsApp.

3.2. ÁREAS DE NEGÓCIO

Para confecção deste ROTDP, todas as diretorias e áreas de negócio que a CLIENTE nos
informou foram consultadas e entrevistadas. Para fins de evidências, as áreas entrevistadas
encontram-se listadas abaixo:

 (INDICAR)
 (INDICAR)
 (INDICAR)
 (INDICAR)

As áreas de negócio que compõem o ecossistema empresarial da CLIENTE se

subdividem em corpos hierárquicos distintos, conforme a seguir demonstrado:

(INDICAR)
 O Assessment Inicial, incluindo aculturamento, mapeamento e GAP Analysis no que tange
ao diagnóstico e a avaliação da conformidade da CLIENTE à LGPD teve início em (INDICAR), e, foi
executado, de acordo com as informações e documentos disponibilizados pela CLIENTE, segundo
modelo metodológico apresentado acima e nas melhores práticas do mercado.

3.1.3 DESCRIÇÃO DAS ATIVIDADES DESENVOLVIDAS POR CADA ÁREA DE NEGÓCIO

ÁREA (INDICAR)

(INDICAR)

ÁREA (INDICAR)

(INDICAR)

ÁREA (INDICAR)

(INDICAR)

3.1.4 CANAIS DE ATENDIMENTO DISPONIBILIZADOS

ÁREA (INDICAR)

(INDICAR)

ÁREA (INDICAR)

(INDICAR)

ÁREA (INDICAR)

(INDICAR)
3.1.5 PLATAFORMAS/SISTEMAS/SOFTWARES UTILIZADOS POR FUNCIONÁRIO EM REGIME
DE HOME OFFICE E EM REGIME PRESENCIAL

ÁREA (INDICAR)

(INDICAR)

ÁREA (INDICAR)

(INDICAR)

ÁREA (INDICAR)

(INDICAR)

3.1.6 EMPRESAS PARCEIRAS E FORNECEDORES DE TECNOLOGIA DA INFORMAÇÃO

Listamos a seguir todas as empresas que, segundo informações, documentos e contratos

cedidos pela CLIENTE, são consideradas como parceiras/fornecedores de suprimentos de tecnologia
da informação:

1) (INDICAR)
2) (INDICAR)
3) (INDICAR)

4.1. DO TRATAMENTO DE DADOS PESSOAIS

4.1.1 DAS OPERAÇÕES ENVOLVENDO O TRATAMENTO DE DADOS PESSOAIS E DAS

FINALIDADES
 No mais, objetivando o regular desenvolvimento das atividades da CLIENTE, as
seguintes operações de tratamento são realizadas nas respectivas áreas de negócio:

ÁREA (INDICAR)

ATIVIDADE GRUPO DE DADOS FINALIDADE DO TRATAMENTO

ÁREA (INDICAR)

ATIVIDADE GRUPO DE DADOS FINALIDADE DO TRATAMENTO

5.1. BASE LEGAL

 Para análise das finalidades e legitimidade de tratamento de dados pessoais pela
CLIENTE, foram consideradas as hipóteses legais descritas nos artigos 7 3 e 114 da LGPD, resumidos
no diagrama abaixo:

Cumpre esclarecer que a partir da vigência da LGPD todas as operações de tratamento de

dados realizadas pelas empresas deverão seguir requisitos e critérios legais, dentre eles a LGPD
destaca que as atividades de tratamento de dados devem respeitar a boa-fé, possuir finalidades
específicas e limites, prestar contas, garantir segurança por meio de técnicas e medidas se segurança,
assim como possibilitar a transparência e a consulta pelo titular de dado.

Outro critério trazido pela LGPD é a necessidade de as atividades de tratamento serem

realizadas em apenas 10 (dez) situações específicas, sendo elas as chamadas “bases legais”. Nesse

3
LGPD I art. 7º O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses:
I - mediante o fornecimento de consentimento pelo titular;
II - para o cumprimento de obrigação legal ou regulatória pelo controlador;
III - pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas
previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres, observadas as disposições do
Capítulo IV desta Lei;
IV - para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;
V - quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o
titular, a pedido do titular dos dados;
VI - para o exercício regular de direitos em processo judicial, administrativo ou arbitral, esse último nos termos da Lei nº 9.307, de 23
de setembro de 1996 (Lei de Arbitragem) ;
VII - para a proteção da vida ou da incolumidade física do titular ou de terceiro;
VIII - para a tutela da saúde, em procedimento realizado por profissionais da área da saúde ou por entidades sanitárias;
VIII - para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade
sanitária; (Redação dada pela Lei nº 13.853, de 2019) Vigência
IX - quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e
liberdades fundamentais do titular que exijam a proteção dos dados pessoais; ou
X - para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente.

4
LGPD | art. 11º Art. 11. O tratamento de dados pessoais sensíveis somente poderá ocorrer nas seguintes hipóteses:
I - quando o titular ou seu responsável legal consentir, de forma específica e destacada, para finalidades específicas;
II - sem fornecimento de consentimento do titular, nas hipóteses em que for indispensável para:
a) cumprimento de obrigação legal ou regulatória pelo controlador;
b) tratamento compartilhado de dados necessários à execução, pela administração pública, de políticas públicas previstas em leis ou
regulamentos;
c) realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais sensíveis;
d) exercício regular de direitos, inclusive em contrato e em processo judicial, administrativo e arbitral, este último nos termos da Lei nº
9.307, de 23 de setembro de 1996 (Lei de Arbitragem);
e) proteção da vida ou da incolumidade física do titular ou de terceiro;
f) tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;
ou (Redação dada pela Lei nº 13.853, de 2019)
g) garantia da prevenção à fraude e à segurança do titular, nos processos de identificação e autenticação de cadastro em sistemas
eletrônicos, resguardados os direitos mencionados no art. 9º desta Lei e exceto no caso de prevalecerem direitos e liberdades
fundamentais do titular que exijam a proteção dos dados pessoais.
sentido, ou uma atividade se enquadra em uma das 10 (dez) hipóteses trazidas pelo Artigo 7 da LGPD
ou ela será considerada ilícita e irregular.

Por tanto, a seguir para cada uma das áreas de negócio da CLIENTE e para cada
finalidade de tratamento identificada no item acima, foram identificadas as bases legais
correspondentes:

ÁREA (INDICAR)

ATIVIDADE GRUPO DE DADOS FINALIDADE DO BASE LEGAL

TRATAMENTO (Consultoria - indicar)

ÁREA (INDICAR)

ATIVIDADE GRUPO DE DADOS FINALIDADE DO BASE LEGAL

TRATAMENTO (Consultoria - indicar)

6.1. DA TRANSFERÊNCIA INTERNACIONAL DE DADOS

(INDICAR)

7.1. DOS TITULARES

A seguir identificaremos para cada área de negócio e para cada atividade quem são os
titulares de dados envolvidos nas operações de tratamento de dados pessoais:

ÁREA (INDICAR)
 ATIVIDADE FINALIDADE TITULAR

ÁREA (INDICAR)

ATIVIDADE FINALIDADE TITULAR

7.2. DOS FLUXOS E CICLO DE VIDA DOS DADOS

Legenda
Cor Operação de Tratamento
Coleta
Processamento
Compartilhamento interno
Compartilhamento externo
Armazenamento
Descarte

EXEMPLO: ÁREA COMERCIAL

 Celebração de
Contato com clientes Cadastro de clientes Envio de propostas contratos
(coleta) (coleta) (processamento)
(processamento)

Compartilhamento Os dados ficam

Compartilhamento Acompanhamento de
com parceiro permanentemente
interno com a área contratos
(operador) do armazenados
operacional (armazenamento) software de CRM (não há descarte)

7.3. DA TAXONOMIA DE RISCOS

Nessa fase é feita uma avaliação de maturidade jurídica e de nível de conformidade da

CLIENTE com base nos seguintes critérios que possam gerar impacto à proteção de dados pessoais:
processos, contratos, sistemas e pessoas.

No que tange à avaliação dos riscos, cabe salientar que a metodologia envolve um
processo sistemático de identificação de perigos e riscos associados. Com base no resultado da Fase
de Data Mapping, diante das informações e documentos encaminhados pela CLIENTE, a Fase de
GAP Analysis busca analisar as operações de tratamento, a natureza, o escopo e as finalidades das
operações para identificar os GAPS com bases em controles legais estabelecidos pela LGPD.

Considerando a análise de ameaças, ativos e vulnerabilidades, os riscos mapeados nos

Clientes serão subdivididos em categorias macro para entendimento adequado e eficiente, nesse
sentido, a taxonomia reflete a classificação dos gaps identificados e podem ser resumidas em:

Direitos dos titulares: Assegurar que os direitos do titular dos dados pessoais sejam
atendidos.

Segurança da Informação: Aplicação de medidas necessárias alinhadas aos riscos

identificado e que devem refletir na Política de Segurança da
Informação.

Visa elevar o grau de maturidade de proteção do dado, mas

Gestão de Risco: preparar a empresa no caso de algum incidente, contemplando
planos de resposta relacionados ao tema de privacidade de dados.
O processo de gestão de incidentes de violação deve ser testado e
validado regularmente para avaliar a capacidade de atendimento
aos requisitos de privacidade relevantes.
 Agentes de Tratamento –
obrigações internas:
O art. 37 da LGPD traz a obrigação que a empresa tenha
conhecimento e mantenha registro de todas as atividades de
tratamento. Além de identificar e analisar os processos que
envolvem dados pessoais, direcionando as inconsistências, é
relevante definir os papéis dos agentes de tratamento, além das
obrigações e deveres delimitados para atender as exigências
legais.

Governança: Categoria composta por regras, práticas, processos,

procedimentos e controles que viabilizam o crescimento da
empresa, através de implementação de boas práticas, buscando
elevar o grau de maturidade da empresa através do engajamento
integral da organização.

Gestão de Terceiros: A LGPD estabelece em termos de responsabilidade civil que, tanto

controlador como o operador são obrigados a reparar
solidariamente dano causado em razão de uma atividade de
tratamento de dados pessoais que esteja violando a lei. A gestão
de terceiros torna-se essencial para garantir que as práticas de
Privacidade e Proteção de Dados estejam alinhadas entre as
partes, observando as adequações necessárias para mitigação de
riscos aos direitos dos titulares.

Operações – compliance Atender a legislação de proteção de dados, monitorar e auditar a

LGPD: privacidade sob os aspectos legais da LGPD.

Para análise do GAP ANALYSIS, são mapeados todos os “processos” operacionais

existentes nas áreas de negócio entrevistadas, com a elaboração do fluxo de dado para
acompanhamento do ciclo de vida do dado dentro das atividades de tratamento realizadas pela
empresa.

É necessário identificar os processos operacionais que tratam dados pessoais para:

(i) relacionar a base legal prevista da LGPD para legitimar o processo;

(ii) identificar eventuais vulnerabilidades e possíveis atualizações; e
(iii) determinar o ciclo de vida do dado em cada processo que coleta dados pessoais.

A gestão de riscos é a identificação, avaliação e priorização de riscos seguida pela

aplicação coordenada de recursos para minimizar, monitorar e controlar a probabilidade ou impacto de
eventos indesejados e buscando ainda maximizar a realização de oportunidades.
 Para análise de riscos identificados, definiu-se a probabilidade de ocorrência do evento de
risco e o possível impacto caso o evento aconteça; avaliando assim o potencial risco de cada evento,
lacuna ou gap. Os parâmetros escalares utilizados que representam os níveis de criticidade são
apresentados como:

▪ Baixo | 5 pontos

▪ Moderado | 10 pontos

▪ Alto | 15 pontos

NÍVEL IMPACTO DO GAP (INCONGRUÊNCIA) URGÊNCIA PARA A AÇÃO

Pode acarretar implicações jurídicas à Não há controles ou os controles

alta administração, colocar indivíduos em existentes são inefetivos e
risco ou ocasionar restrições insuficientes para garantir a
significativas ao livre exercício das observância da obrigação de
atividades, violar o dever de cuidado, conformidade, necessário
provocar grandes perdas financeiras e/ou planejamento/execução de ação
Alto
danos prolongados à imagem da imediata e acompanhamento
reputação do cliente. Pode ainda ensejar contínuo da situação.
suspensão temporária de atividades,
advertências e/ou penalidades, bem
como a abertura de sindicâncias ou
inquéritos.
 Pode deflagrar inspeções, sindicâncias Os controles existentes são
ou inquéritos administrativos, provocar efetivos, a análise de
pequenas perdas financeiras e/ou danos probabilidade e impacto apontam
Médio
à imagem do cliente. para que a garantia da
observância da obrigação de
conformidade possibilita
planejamento/execução de ação
sem prazo determinado.

Pode causar impacto reduzido. Não Baixa probabilidade de ocorrência

Baixo provoca significantes perdas financeiras e impacto mensurado pelos
e/ou danos à imagem do cliente. controles existentes e efetivos.

A seguir listamos um resumo das análises dos riscos mapeados em razão dos GAPs
encontrados nas operações de tratamento de dados com base em controles jurídicos trazidos e
estabelecidos pela LGPD:

EXEMPLO DE GRÁFICO

RISCOS

5%
BAIXO
30% MÉDIO
ALTO

65%
 7.4. DOS GAPS E RISCOS IDENTIFICADOS NAS OPERAÇÕES DA CLIENTE E DAS
SUGESTÕES DE MELHORIA (PLANO DE AÇÃO)

Com base nas informações, documentos e no resultado do Data Mapping, nos controles
acima indicados e na metodologia de taxonomia de riscos, indicamos a seguir os GAPS encontrados,
as sugestões de medidas corretivas para cada uma das áreas de negócio da CLIENTE:

ÁREA DE NEGÓCIO: Recursos Humanos

OPERAÇÃO
DE
CD GAP ENCONTRADO CONTROLE RECOMENDAÇÃO COMENTÁRIOS RISCO
TRATAMENTO
- atividade
Estabelecer
processo que
garanta a
obtenção do
consentimento
por meio físico
ou digital, bem
como seu
Processo
armazenamento
seletivo para Ausência de Termo de Elaboração de
em local seguro.
contratação Consentimento para Art. 7º, I Termo de
DT1 Garantir que Alto
de novos utilização dos dados Art. 8º, §1º Consentiment
estão
colaboradore pessoais coletados o Expresso.
destacados de
s
documentos
primários como
contratos de
prestação de
serviço,
contratos de
trabalho, entre
outros.
7.5. DOS GAPS CONTRATUAIS
Legenda para Referência (associação às cláusulas contratuais)
Item 1 - Abrangência da LGPD (art. 1º);
Item 2 - Fundamentos gerais da LGPD (art. 2º);
Item 3 - Aplicação territorial e extraterritorial da LGPD
(art. 3º);
Item 4 - Exceção de aplicabilidade da LGPD (art. 4º);
Item 5 - Definições e conceitos da LGPD (art. 5º);
Item 6 - Referência aos princípios da LGPD: finalidade,
adequação, necessidade, livre acesso, qualidade dos
dados, transparência, segurança, prevenção, não
discriminação, responsabilização e prestação de
contas (art. 6);
Item 7 - Base legal: consentimento (art. 7º, I)
Item 8 - Base legal: cumprimento de obrigação legal |
regulatória (art. 7º, II)
Item 9 - base legal: execução de políticas públicas
(art. 7º, III)
Item 10 - Base legal: estudos por órgãos de
pesquisas (art. 7º, IV)
Item 11 - Base legal: execução de contrato (art. 7º,
V)
Item 12 - Base legal: exercício regular de direitos
em processo judicial (art. 7º, VI)
Item 13 - Base legal: proteção da vida |
incolumidade física do titular ou terceiro (art. 7º, VII)
Item 14 - Base legal: tutela da saúde (art. 7º, VIII)
Item 15 - Base legal: legítimo interesse do
controlador ou terceiro (art. 7, IX)
Item 16 - Base legal: proteção ao crédito (art. 7º, X)
 Item 17- Proibição do compartilhamento pelo operador
(art. 7º, §5º);
Item 18 - Necessidade de compartilhamento pelo
operador (art. 7º, §5º);
Item 19 - Referência sobre gestão de consentimentos
(art. 8º e 9º);
Item 20 - Restrição da finalidade originária atribuída
pelo controlador (art.9º, §2º);
Item 21 - Indicação de canal de comunicação aos
titulares. Direitos dos titulares e livre acesso aos dados
tratados (art. 9º);
Item 22 - Cláusula de consentimento específico para
tratamento de dados sensíveis (art. 11, i);
Item 23 - Hipótese de dispensa de consentimento para
tratamento de dados pessoais sensíveis (art. 11, ii);
Item 24 - Vedação à comunicação/ uso compartilhado
de dados sensíveis com controladores/operadores com
o objetivo de obter vantagem econômica (art. 11, §3º e
4º);
Item 25 - Vedação tratamento de dados pessoais
sensíveis referentes à saúde, pelos operadores, para
prática de seleção de riscos na contratação (art. 11,
§5º);
Item 26 - Consentimento específico e destacado para
tratamento de dados de crianças por seus responsáveis
(art. 14º, §1º e §5º);
Item 27 - Item que estabeleça publicidade por parte dos
controladores sobre os tipos de dados coletados, forma
de utilização e procedimentos para exercício de direito
dos titulares - dados de crianças (art. 14º, §2º);
Item 28 - Cláusula geral que contemple a forma de
coleta, tratamento e proteção de dados pessoais (art. 9º,
II);
Item 29 - Definição de término de tratamento e formas
de eliminação dos dados (art. 15º e 16º)
Item 30 – Item de comunicação em caso de os dados
serem preservados para cumprimento de obrigações
legais pelo controlador (art. 16º, I);
Item 31 - Cláusula que informe e/ou assegure os direitos
dos titulares de dados pessoais (art. 18º);
Item 32 - Indicação de canal de comunicação aos
titulares de dados pessoais (art. 41º, § 1º);
Item 33 - Transferência internacional de dados (art. 33º,
IX);
Instrumentos analisados (descrever)
Item 34 - Previsão de registro das operações de
tratamento de dados pessoais pelos agentes (art.
37º);
Item 35 - Previsão sobre atividades de tratamento
definidas pelo controlador que serão realizadas pelo
operador (art. 39º);
Item 36 - Previsão de item estabelecendo
obrigatoriedade de o operador seguir instruções do
controlador para tratamento (art. 39º);
Item 37 - Previsão que contemple indicação de
atribuição pela realização da coleta de dados
pessoais (art. 39º);
Item 38 - Previsão quanto às decisões de tratamento
por parte do controlador (art. 39º);
Item 39 - Definição expressa de qual empresa
exercerá as funções de controlador e de operador
(art. 39º);
Item 40 - Previsão de elaboração de relatório de
impacto (art. 38º);
Item 41 - Item indicando encarregado de dados do
controlador (art. 41º);
Item 42 – Delimitação de responsabilidade
controlador/operador - definição de papéis, resp. e
direito de regresso (art. 42º);
Item 43 - Clausula geral de proteção a dados
pessoais controlador/operador (art. 46º);
Item 44 – Requisitos de segurança, boas práticas e
governança no relacionamento entre partes
envolvidas (art. 46º);
Item 45 – Comunicação de incidentes de segurança
ao controlador (art. 48º);
Item 46 – Previsão do monitoramento fiscalização
das atividades do controlador que serão realizadas
pelo operador (art. 46º);
Item 47 – Previsão de procedimentos claros e
específicos de regras de boas práticas incluindo
atendimento aos direitos dos titulares (art. 50º e 51º);
Item 48 - Previsão à futuras adequações da LGPD e
ANPD.
 FINALIDADE DO RECOMENDAÇÃO
CONTRATO OBSERVAÇÕES
CONTRATO (INCLUSÃO)