Escolar Documentos
Profissional Documentos
Cultura Documentos
Operações de
Tratamento de
Dados Pessoais
SUMÁRIO
02. Implementação:
(i) Execução e implementação das atividades jurídicas previstas no Plano de Ação elaborado.
03. Monitoramento:
.................................................................................................................................................
..................
1
LGPD | art.5º, X: “tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção,
classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação,
avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;”
iii. o atendimento correto das solicitações dos titulares de dados pessoais;
iv. demonstrar conformidade à LGPD;
v. cumprimento dos princípios2 previstos na LGPD;
vi. aplicação dos controles corretos de segurança e para fins de trilha de auditoria em caso de
fiscalização pela Autoridade Nacional de Proteção de Dados Pessoais.
A Lei Federal nº 13.709/2018, a Lei Geral de Proteção de Dados (“LGPD”) foi sancionada
em agosto de 2018 e entrou em vigor em agosto de 2020, tendo como escopo a definição e o
estabelecimento de regras e diretrizes sobre (i) coleta, (ii) armazenamento, (iii) tratamento e (iv)
2
LGPD I art. 6º As atividades de tratamento de dados pessoais deverão observar a boa-fé e os seguintes princípios:
I - finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de
tratamento posterior de forma incompatível com essas finalidades;
II - adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento;
III - necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados
pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados;
IV - livre acesso: garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a
integralidade de seus dados pessoais;
V - qualidade dos dados: garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a
necessidade e para o cumprimento da finalidade de seu tratamento;
VI - transparência: garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e
os respectivos agentes de tratamento, observados os segredos comercial e industrial;
VII - segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de
situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;
VIII - prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais;
IX - não discriminação: impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos;
X - responsabilização e prestação de contas: demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a
observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.
compartilhamento de dados pessoais, bem como impõe a adoção de medidas técnicas, jurídicas e
administrativas aptas a proteger os dados pessoais, disciplinando ainda sobre as penalidades em caso
de descumprimento.
A LGPD envolve em proporções iguais as áreas (i) jurídica; (ii) tecnologia e (iii) processos,
bem como, as áreas de recursos humanos, marketing, compliance, serviço, logística, comercial,
compras, financeiro, produtos e novos negócios, desenvolvimento de softwares e TI, análise de dados,
segurança da informação, entre outras áreas.
3.1.1 INTRODUÇÃO
A (INDICAR), pessoa jurídica de direito privado, localizada na (INDICAR), e-mail de
contato: (INDICAR), inscrita no CNPJ sob o n. (INDICAR), ora “CLIENTE”, empresa pertencente ao
Grupo (INDICAR), fundado há mais de (INDICAR) anos que opera a nível (INDICAR), especializado
na (INDICAR), que oferta e executa os se seguintes serviços:
(INDICAR)
(INDICAR)
(INDICAR)
Por fim, a CLIENTE possui como canais de atendimento comercial, os seguintes meios:
o site: (INDICAR)
Descrever operações de tratamento realizadas no site comercial.
e-mail corporativo; e
Para confecção deste ROTDP, todas as diretorias e áreas de negócio que a CLIENTE nos
informou foram consultadas e entrevistadas. Para fins de evidências, as áreas entrevistadas
encontram-se listadas abaixo:
(INDICAR)
(INDICAR)
(INDICAR)
(INDICAR)
(INDICAR)
O Assessment Inicial, incluindo aculturamento, mapeamento e GAP Analysis no que tange
ao diagnóstico e a avaliação da conformidade da CLIENTE à LGPD teve início em (INDICAR), e, foi
executado, de acordo com as informações e documentos disponibilizados pela CLIENTE, segundo
modelo metodológico apresentado acima e nas melhores práticas do mercado.
ÁREA (INDICAR)
(INDICAR)
ÁREA (INDICAR)
(INDICAR)
ÁREA (INDICAR)
(INDICAR)
ÁREA (INDICAR)
(INDICAR)
ÁREA (INDICAR)
(INDICAR)
ÁREA (INDICAR)
(INDICAR)
3.1.5 PLATAFORMAS/SISTEMAS/SOFTWARES UTILIZADOS POR FUNCIONÁRIO EM REGIME
DE HOME OFFICE E EM REGIME PRESENCIAL
ÁREA (INDICAR)
(INDICAR)
ÁREA (INDICAR)
(INDICAR)
ÁREA (INDICAR)
(INDICAR)
1) (INDICAR)
2) (INDICAR)
3) (INDICAR)
ÁREA (INDICAR)
ÁREA (INDICAR)
3
LGPD I art. 7º O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses:
I - mediante o fornecimento de consentimento pelo titular;
II - para o cumprimento de obrigação legal ou regulatória pelo controlador;
III - pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas
previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres, observadas as disposições do
Capítulo IV desta Lei;
IV - para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;
V - quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o
titular, a pedido do titular dos dados;
VI - para o exercício regular de direitos em processo judicial, administrativo ou arbitral, esse último nos termos da Lei nº 9.307, de 23
de setembro de 1996 (Lei de Arbitragem) ;
VII - para a proteção da vida ou da incolumidade física do titular ou de terceiro;
VIII - para a tutela da saúde, em procedimento realizado por profissionais da área da saúde ou por entidades sanitárias;
VIII - para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade
sanitária; (Redação dada pela Lei nº 13.853, de 2019) Vigência
IX - quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e
liberdades fundamentais do titular que exijam a proteção dos dados pessoais; ou
X - para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente.
4
LGPD | art. 11º Art. 11. O tratamento de dados pessoais sensíveis somente poderá ocorrer nas seguintes hipóteses:
I - quando o titular ou seu responsável legal consentir, de forma específica e destacada, para finalidades específicas;
II - sem fornecimento de consentimento do titular, nas hipóteses em que for indispensável para:
a) cumprimento de obrigação legal ou regulatória pelo controlador;
b) tratamento compartilhado de dados necessários à execução, pela administração pública, de políticas públicas previstas em leis ou
regulamentos;
c) realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais sensíveis;
d) exercício regular de direitos, inclusive em contrato e em processo judicial, administrativo e arbitral, este último nos termos da Lei nº
9.307, de 23 de setembro de 1996 (Lei de Arbitragem);
e) proteção da vida ou da incolumidade física do titular ou de terceiro;
f) tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;
ou (Redação dada pela Lei nº 13.853, de 2019)
g) garantia da prevenção à fraude e à segurança do titular, nos processos de identificação e autenticação de cadastro em sistemas
eletrônicos, resguardados os direitos mencionados no art. 9º desta Lei e exceto no caso de prevalecerem direitos e liberdades
fundamentais do titular que exijam a proteção dos dados pessoais.
sentido, ou uma atividade se enquadra em uma das 10 (dez) hipóteses trazidas pelo Artigo 7 da LGPD
ou ela será considerada ilícita e irregular.
Por tanto, a seguir para cada uma das áreas de negócio da CLIENTE e para cada
finalidade de tratamento identificada no item acima, foram identificadas as bases legais
correspondentes:
ÁREA (INDICAR)
ÁREA (INDICAR)
(INDICAR)
A seguir identificaremos para cada área de negócio e para cada atividade quem são os
titulares de dados envolvidos nas operações de tratamento de dados pessoais:
ÁREA (INDICAR)
ATIVIDADE FINALIDADE TITULAR
ÁREA (INDICAR)
Legenda
Cor Operação de Tratamento
Coleta
Processamento
Compartilhamento interno
Compartilhamento externo
Armazenamento
Descarte
No que tange à avaliação dos riscos, cabe salientar que a metodologia envolve um
processo sistemático de identificação de perigos e riscos associados. Com base no resultado da Fase
de Data Mapping, diante das informações e documentos encaminhados pela CLIENTE, a Fase de
GAP Analysis busca analisar as operações de tratamento, a natureza, o escopo e as finalidades das
operações para identificar os GAPS com bases em controles legais estabelecidos pela LGPD.
Direitos dos titulares: Assegurar que os direitos do titular dos dados pessoais sejam
atendidos.
▪ Baixo | 5 pontos
▪ Moderado | 10 pontos
▪ Alto | 15 pontos
A seguir listamos um resumo das análises dos riscos mapeados em razão dos GAPs
encontrados nas operações de tratamento de dados com base em controles jurídicos trazidos e
estabelecidos pela LGPD:
EXEMPLO DE GRÁFICO
RISCOS
5%
BAIXO
30% MÉDIO
ALTO
65%
7.4. DOS GAPS E RISCOS IDENTIFICADOS NAS OPERAÇÕES DA CLIENTE E DAS
SUGESTÕES DE MELHORIA (PLANO DE AÇÃO)
Com base nas informações, documentos e no resultado do Data Mapping, nos controles
acima indicados e na metodologia de taxonomia de riscos, indicamos a seguir os GAPS encontrados,
as sugestões de medidas corretivas para cada uma das áreas de negócio da CLIENTE:
OPERAÇÃO
DE
CD GAP ENCONTRADO CONTROLE RECOMENDAÇÃO COMENTÁRIOS RISCO
TRATAMENTO
- atividade
Estabelecer
processo que
garanta a
obtenção do
consentimento
por meio físico
ou digital, bem
como seu
Processo
armazenamento
seletivo para Ausência de Termo de Elaboração de
em local seguro.
contratação Consentimento para Art. 7º, I Termo de
DT1 Garantir que Alto
de novos utilização dos dados Art. 8º, §1º Consentiment
estão
colaboradore pessoais coletados o Expresso.
destacados de
s
documentos
primários como
contratos de
prestação de
serviço,
contratos de
trabalho, entre
outros.
7.5. DOS GAPS CONTRATUAIS
Item 1 - Abrangência da LGPD (art. 1º); Item 9 - base legal: execução de políticas públicas
(art. 7º, III)
Item 2 - Fundamentos gerais da LGPD (art. 2º);
Item 10 - Base legal: estudos por órgãos de
Item 3 - Aplicação territorial e extraterritorial da LGPD pesquisas (art. 7º, IV)
(art. 3º);
Item 11 - Base legal: execução de contrato (art. 7º,
Item 4 - Exceção de aplicabilidade da LGPD (art. 4º); V)
Item 5 - Definições e conceitos da LGPD (art. 5º); Item 12 - Base legal: exercício regular de direitos
em processo judicial (art. 7º, VI)
Item 6 - Referência aos princípios da LGPD: finalidade,
adequação, necessidade, livre acesso, qualidade dos Item 13 - Base legal: proteção da vida |
dados, transparência, segurança, prevenção, não incolumidade física do titular ou terceiro (art. 7º, VII)
discriminação, responsabilização e prestação de
Item 14 - Base legal: tutela da saúde (art. 7º, VIII)
contas (art. 6);
Item 7 - Base legal: consentimento (art. 7º, I) Item 15 - Base legal: legítimo interesse do
controlador ou terceiro (art. 7, IX)
Item 8 - Base legal: cumprimento de obrigação legal |
Item 16 - Base legal: proteção ao crédito (art. 7º, X)
regulatória (art. 7º, II)
Item 17- Proibição do compartilhamento pelo operador Item 34 - Previsão de registro das operações de
(art. 7º, §5º); tratamento de dados pessoais pelos agentes (art.
37º);
Item 18 - Necessidade de compartilhamento pelo
operador (art. 7º, §5º);
Item 23 - Hipótese de dispensa de consentimento para Item 38 - Previsão quanto às decisões de tratamento
tratamento de dados pessoais sensíveis (art. 11, ii); por parte do controlador (art. 39º);
Item 24 - Vedação à comunicação/ uso compartilhado Item 39 - Definição expressa de qual empresa
de dados sensíveis com controladores/operadores com exercerá as funções de controlador e de operador
o objetivo de obter vantagem econômica (art. 11, §3º e (art. 39º);
4º);
Item 40 - Previsão de elaboração de relatório de
Item 25 - Vedação tratamento de dados pessoais impacto (art. 38º);
sensíveis referentes à saúde, pelos operadores, para
prática de seleção de riscos na contratação (art. 11, Item 41 - Item indicando encarregado de dados do
§5º); controlador (art. 41º);
Item 26 - Consentimento específico e destacado para
tratamento de dados de crianças por seus responsáveis Item 42 – Delimitação de responsabilidade
(art. 14º, §1º e §5º); controlador/operador - definição de papéis, resp. e
direito de regresso (art. 42º);
Item 27 - Item que estabeleça publicidade por parte dos
controladores sobre os tipos de dados coletados, forma Item 43 - Clausula geral de proteção a dados
de utilização e procedimentos para exercício de direito pessoais controlador/operador (art. 46º);
dos titulares - dados de crianças (art. 14º, §2º);
Item 44 – Requisitos de segurança, boas práticas e
Item 28 - Cláusula geral que contemple a forma de governança no relacionamento entre partes
coleta, tratamento e proteção de dados pessoais (art. 9º, envolvidas (art. 46º);
II);
Item 45 – Comunicação de incidentes de segurança
Item 29 - Definição de término de tratamento e formas ao controlador (art. 48º);
de eliminação dos dados (art. 15º e 16º)
Item 46 – Previsão do monitoramento fiscalização
Item 30 – Item de comunicação em caso de os dados das atividades do controlador que serão realizadas
serem preservados para cumprimento de obrigações pelo operador (art. 46º);
legais pelo controlador (art. 16º, I);
Item 47 – Previsão de procedimentos claros e
Item 31 - Cláusula que informe e/ou assegure os direitos específicos de regras de boas práticas incluindo
dos titulares de dados pessoais (art. 18º); atendimento aos direitos dos titulares (art. 50º e 51º);
Item 32 - Indicação de canal de comunicação aos Item 48 - Previsão à futuras adequações da LGPD e
titulares de dados pessoais (art. 41º, § 1º); ANPD.
Item 33 - Transferência internacional de dados (art. 33º,
IX);