Adequação à

Lei Geral de
Proteção de
Dados - LGPD
 Adequação à Lei Geral de Proteção de Dados - LGPD

Sumário
Projeto de adequação do
Grupo Carrefour Brasil à LGPD .......................................... 3

Fase 1: Mapeamento .................................................................... 6

• Primeiros passos ................................................................................ 7

Fase 2: Adequação ........................................................................ 8

• Iniciativas em destaque ................................................................... 9
• Área de Privacidade e Proteção de Dados ............................. 9
• 9 Princípios de Privacidade ........................................................ 10
• Central e Portal de Privacidade .................................................. 11

Principais Desafios ....................................................................... 13

• Passo-a-passo para a adequação
(lembrando que a lei já está em vigor) .................................... 14

Fase 3: Operacionalização ................................................... 17

• Onde estamos .................................................................................. 18

2
 Adequação à Lei Geral de Proteção de Dados - LGPD

Projeto de
adequação do
Grupo Carrefour
Brasil à LGPD

3
 Adequação à Lei Geral de Proteção de Dados - LGPD

Pioneiro no varejo brasileiro há mais de 40 anos, o

Grupo Carrefour Brasil se reinventa constantemente
para oferecer a melhor experiência aos seus milhões de
consumidores em todo o país.

E foi com base na premissa “o cliente no centro de

tudo”, que a companhia se preparou nos últimos dois
anos para estar na vanguarda da implementação e
adequação à LGPD (Lei Geral de Proteção de Dados),
no setor varejista.

A legislação está em vigor desde 18 de setembro de

2020 e foi instituída para proteger seus dados pessoais.
Olhando da perspectiva jurídica, a LGPD complementa
outras leis que você já deve conhecer, como a
Lei do Cadastro Positivo, o Código de Defesa do
Consumidor e o Marco Civil da Internet. É importante
ressaltar que esse conjunto de leis resguarda seus
direitos nas relações de consumo.

4
 Adequação à Lei Geral de Proteção de Dados - LGPD

Com o expressivo
volume de dados
pessoais recolhidos
de titulares (clientes,
funcionários e
prestadores de
serviço), tais como
nome, número de
documentos, endereço,
e-mail, telefone, etc., o
Grupo Carrefour Brasil
passa a se pautar nas
regras estabelecidas
pela nova lei para a proteção dessas informações durante
a coleta, armazenamento, uso, retenção, transferência e
exclusão (coletivamente chamados de “tratamento”).

É importante lembrar que, antes mesmo da aprovação

da LGPD, o Grupo Carrefour Brasil já estava bem
estruturado no ambiente digital em relação ao uso de
dados on-line, respeitando as regras estabelecidas pelo
Marco Civil da Internet, em 2014. Neste mesmo ano, a
companhia lançou o seu e-commerce no país.

O fato de ser uma multinacional também trouxe à

empresa a vantagem de se apoiar na experiência
adquirida em outros países. Na Europa, a Regulação
Geral de Proteção de Dados (GDPR, na sigla em inglês)
foi implementada em maio de 2018, inspirando não
só a legislação brasileira, como também os nossos
procedimentos por aqui.

Conheça, a seguir, todo o plano de ação do Grupo

Carrefour Brasil para estar em conformidade com a LGPD.
Criamos esta cartilha com o objetivo de compartilhar,
com colaboradores e clientes, os esforços e os processos
dedicados ao ciclo de implementação de um projeto
referência no mercado nacional.

Guarde este material em um local de fácil acesso e

consulte-o sempre que necessário.
5
 Adequação à Lei Geral de Proteção de Dados - LGPD

Fase 1:
Mapeamento

6
 Adequação à Lei Geral de Proteção de Dados - LGPD

Primeiros passos
Duração: 7 meses
Em 2019, o primeiro passo do grupo foi realizar um
mapeamento geral de todos os processos da empresa
que utilizavam dados pessoais. Gerenciamento de
relacionamento com o cliente, recursos humanos, comércio
eletrônico e atendimento ao cliente são exemplos das áreas
que fazem maior uso deles.

Nesta etapa, o grande desafio foi coletar o máximo possível

de informações considerando o tamanho da nossa empresa.

O processo de levantamento e organização dos dados levou

sete meses para ser concluído. Com essas informações,
tivemos insumos para entender a situação dos processos
diretamente relacionados com a LGPD e elaborar planos
de ação para mitigar vulnerabilidades e riscos encontrados.

Todos os canais da empresa, nos quais ocorrem interações

com pessoas físicas, foram avaliados e passaram por
adequações como coletar apenas os dados que precisamos,
implementar barras nos sites para gestão de cookies,
avisos de privacidade e até notificações automáticas que
apresentam a finalidade da coleta dado a dado.

Ações e
números

+ de 480 entrevistas realizadas

+ de 400 processos mapeados
+
 de 600 planos de ação elaborados

+ de 60 avisos de privacidade implementados

+ de 18 parceiros envolvidos

7
 Adequação à Lei Geral de Proteção de Dados - LGPD

Fase 2:
Adequação

8
 Adequação à Lei Geral de Proteção de Dados - LGPD

Iniciativas em destaque
Duração: 7 meses
Em janeiro de 2020, chegamos na fase de
adequação. A adequação consistiu em
reduzir os riscos levantados na fase 1 através
da implementação dos planos de ação.
O envolvimento do Comitê Executivo (Comex)
foi essencial para estabelecer a importância de priorizar as
ações de adequação à LGPD. O progresso de cada área foi
monitorado e discutido, mensalmente, para criar sinergia de
execução das ações e atingir a visão do Grupo sobre o tema.
Além da execução dos planos de ação, podemos destacar
outras importantes ações realizadas neste período, como a
criação da área de Privacidade e Proteção de Dados, cujas
primeiras iniciativas foram atualizar as políticas de privacidade
da companhia, internas e externas, criar processos para a
governança da privacidade, bem como implementar um canal
de atendimento para responder às solicitações de titulares
em até 15 dias. Destaca-se nesta fase também, as ações do
Jurídico, que trabalhou de forma incansável na negociação e
adequação de mais de 190 contratos com fornecedores.

Área de Privacidade
e Proteção de Dados
A nova área de Privacidade e Proteção de Dados conduz todas
as ações do Grupo Carrefour Brasil para estar em conformidade
com a LGPD, fomentando a execução dos princípios de
privacidade e a sinergia entre as unidades do Grupo.
Neste sentido, o Jurídico e a Segurança da Informação trabalham
em conjunto para prestar o devido suporte legal e técnico.
Em agosto de 2020, a equipe elaborou a política
de privacidade do grupo para definir os padrões e
comportamentos esperados quanto ao processamento de
dados pessoais; aumentar a conscientização de todos sobre a
importância de proteger a privacidade de indivíduos; e, ajudar o
grupo a cumprir responsabilidades legais e regulatórias.
Para tal, foram elaborados 9 Princípios de Privacidade
essenciais, norteados pelas normas da LGPD.
9
 Adequação à Lei Geral de Proteção de Dados - LGPD

9 PRINCÍPIOS DE PRIVACIDADE

1 Bases legais 5 Minimização

Obter e processar Coletar apenas os
dados pessoais dados pessoais que
legalmente. precisamos.

2 Direito dos titulares 6 Qualidade

Conscientizar todos sobre Garantir às pessoas
os direitos dos titulares exatidão, clareza,
e atendê-los de forma relevância e atualização
transparente e acessível. dos seus dados.

3 Transparência 7 Retenção e expurgo

Fornecer avisos de Reter dados pessoais
privacidade. apenas durante o tempo
necessário.

4 Finalidade e 8 Segurança
adequação Manter dados pessoais
Utilizar dados pessoais confidenciais e
de acordo com a seguros.
finalidade informada.

9 Compartilhamento
Garantir que as empresas parceiras com quem
compartilhamos dados estejam aderentes à Lei.

10
 Adequação à Lei Geral de Proteção de Dados - LGPD

Central e Portal de Privacidade

Ainda em agosto de 2020, foi criada a Central de
Privacidade – uma página especial acessada pelo site
institucional do Grupo, que visa esclarecer ao público
os compromissos da companhia com a proteção de
dados pessoais e disponibilizar um canal para atender às
solicitações dos titulares de dados. Isso inclui:
 uais informações pessoais são
Q
coletadas e processadas;
 uais razões e propósitos
Q
para tal;
 om quais outras
C
empresas os dados
são compartilhados;
 que o Grupo Carrefour
O
Brasil faz para proteger
estes dados;
 or quanto tempo os dados
P
são armazenados;
 uais são os direitos do titular e como ele pode
Q
exercê-los;
Canais de contato para tirar dúvidas.

11
 Adequação à Lei Geral de Proteção de Dados - LGPD

Já o Portal de Privacidade foi concebido para ser um

centro informativo de Privacidade e Proteção de Dados
aos colaboradores da companhia. Nele, é possível ter
acesso às políticas de privacidade, materiais educativos,
informações sobre eventos relacionados ao tema, como
webinars e treinamentos. Por lá, o colaborador também
pode acessar o Portal de Autoatendimento, onde é
possível realizar solicitações diretamente para a área de
Privacidade e Proteção de Dados como: implantação
de privacidade desde a concepção (Privacy by Design),
mapeamento ou atualização de processos, reporte de
incidentes com dados pessoais, avaliação de fornecedores,
regulamentos, termos e políticas de privacidade, campanhas,
materiais publicitários e avisos de privacidade.

12
 Adequação à Lei Geral de Proteção de Dados - LGPD

Principais
desafios

13
 Adequação à Lei Geral de Proteção de Dados - LGPD

Passo-a-passo para a adequação

(lembrando que a lei já está em vigor)

N
 omear um DPO e formalizar a estrutura
de Governança de Privacidade e Proteção
de Dados Pessoais;

 riar um comitê periódico e incluir os principais

C
stakeholders (TI, Segurança da Informação,
Jurídico, Governança de Dados, etc);

S
 elecionar bons parceiros (aprender com quem
já fez com certeza irá acelerar o processo);

Formalizar e distribuir a Política de Proteção

de Dados para clientes, fornecedores e
colaboradores (seja simples na maneira de se
comunicar, o tema já é complicado por si só!);

Disponibilizar ao menos um canal

para atendimento aos titulares;

 romover webinars, criar um E-Learning e

P
um plano de capacitação e divulgação das
mudanças culturais que estão por vir;

Decidir se utilizará alguma solução

tecnológica e aí então mapear os tratamentos
realizados com dados pessoais (não se
esqueça de volumetria, periodicidade,
fornecedores, ativos e bases de dados);

Aprofundar-se na análise dos ativos e

fornecedores que processam os dados
pessoais em sua responsabilidade (é daí que
vem boa parte da probabilidade do risco se materializar);

M
 apear os pontos de coleta de dados (são
ótimos candidatos para ações de minimização,
transparência e coleta de consentimento, se
essa for a base legal adequada, é claro!);

14
 Adequação à Lei Geral de Proteção de Dados - LGPD

D
 efinir base legal e tempo de retenção (será
fundamental para operacionalizar os processos
de exclusão e o atendimento aos titulares);

Paralelo ao mapeamento, elaborar e executar os planos

de ação para minimização dos riscos.
A lei já está em vigor e não há tempo a perder.
(Metodologia Ágil vai bem nessa etapa!);

 riar um processo de Privacy by Design para que as

C
mudanças ou os novos processos já venham
adequados (criar vários gatilhos para esse
processo, compras, novos projetos, gestão de
mudanças e times de inovação);

C
 riar um processo para análise de
fornecedores (contratação e de forma
periódica) e realizar a análise dos fornecedores
críticos o mais rápido que puder;

C
 riar um pacote de cláusulas padrão e fazer a
revisão dos contratos existentes;

Garantir que a gestão dos

consentimentos funcione (não adianta
dar a opção se não funcionar);

E
 laborar e executar um plano para exclusão /
anonimização de dados, seja por solicitação
do titular ou por tempo de retenção (analisar
qual é a melhor e mais viável estratégia);

M
 anter-se informado sobre a lei;

Compartilhar suas dificuldades e suas vitórias!

15
 Adequação à Lei Geral de Proteção de Dados - LGPD

Toda mudança traz desafios. E com o projeto de adequação

do Grupo Carrefour Brasil à LGPD não foi diferente. A
principal delas foi a cultural, reconhecer que privacidade é
algo essencial. A partir daí, foi preciso sensibilizar todas as
áreas e colaboradores sobre a importância do tema.
Outro grande desafio, pelo tamanho da corporação,
atuante em todo o país, foi a escala do projeto que incluía
mudanças de sistemas e ambientes em processo de
desativação e migração.
Também foi desafiador entender, avaliar e negociar,
considerando todos os aspectos jurídicos da nova lei,
a adequação contratual de
fornecedores e prestadores de
serviços e a inserção desses
profissionais, na prática,
no modelo de negócio do
Grupo Carrefour Brasil.

16
 Adequação à Lei Geral de Proteção de Dados - LGPD

Fase 3:
Operacionalização

17
 Adequação à Lei Geral de Proteção de Dados - LGPD

Onde estamos
A partir de setembro de 2020, as áreas de negócios
começam a se envolver mais com a privacidade desde
a concepção (Privacy by Design), em que a privacidade
é integrada na criação, desenvolvimento, seleção e
usabilidade de aplicações, serviços e produtos. Com esta
iniciativa, o Grupo passa a antecipar e prevenir riscos
relacionados à privacidade antes que eles se materializem.
Os esforços para realizar treinamentos e promover a
conscientização sobre a importância da privacidade e
como aplicá-la no dia a dia é constante. O aculturamento
passou a ser um dos grandes esforços da área de
Privacidade para que todos que atuem em nome do
Grupo Carrefour Brasil tratem a privacidade de indivíduos
com respeito e como um dos pilares de conduta e ética.
De dezembro de 2020 a abril de 2021, o Grupo Carrefour
Brasil treinou cerca de 24 mil pessoas e fez com que
esse treinamento se tornasse obrigatório para todos os
novos colaboradores.
À medida que novos
projetos são criados,
produtos e serviços
desenvolvidos,
e fornecedores
cadastrados, a área de
Privacidade e Proteção
de Dados se mantém
alerta para direcionar
os esforços onde
é mais preciso. E o
trabalho será contínuo.
O ponto em comum
para o sucesso em todas as fases do plano de adequação
e operacionalização do Programa de Privacidade no
Grupo foi o suporte e orientação dos parceiros envolvidos
(técnicos, jurídicos, entre outros), bem como o total apoio
da alta gestão.

18
 Adequação à Lei Geral de Proteção de Dados - LGPD

O Grupo Carrefour Brasil tem como compromisso garantir

que os dados pessoais de seus colaboradores, clientes e
parceiros sejam utilizados de forma adequada e segura,
sempre alinhado com nosso código de conduta ética.
Nosso agradecimento a todos os profissionais que
participaram dos esforços e processos dedicados à
implementação do projeto de adequação à Lei Geral de
Proteção de Dados (LGPD).

E vem muito mais por aí...

Fazer com que o cuidado com a Privacidade e Proteção
de Dados esteja sempre presente nos valores do Grupo
e na rotina de trabalho de todos que atuam em nome do
Carrefour, é um trabalho contínuo.
Por isso, nossas atividades não param por aqui!
Estamos diariamente colocando novas ações em prática
e contamos com você no nosso time!

19