10

- UM GUIA DE -

BOAS PRÁTICAS LGPD

- PARA UMA -

EMPRESA SEGURA
 Introdução
Adequar-se à Lei Geral de Proteção de Dados (LGPD)
envolve uma série de medidas, que variam de acordo
com as particularidades de cada organização. No
entanto, esse processo é facilitado com a
implementação de algumas boas práticas de proteção
de dados e privacidade. Pensando nisso, nós da
Estruture Negócios criamos um guia prático com 10
dicas para você aplicar e deixar sua empresa de acordo
com a lei.
 1. Mapeamento de Dados

O mapeamento de dados não é apenas uma boa prática,

mas uma etapa essencial para garantir a conformidade com
a LGPD.

Trata-se de conhecer o ciclo de vida dos dados pessoais que

a empresa custodia, entendendo todos os canais de coleta,
locais de armazenamento, com quem são compartilhados,
quem possui acesso, período de armazenamento e
destinação final dentre outras questões.

Esse conhecimento adquirido no mapeamento de dados é o

que permite criar um plano de governança e de adequação à
lei.

Sem o Data Mapping, não é possível identificar os riscos aos

quais a empresa está exposta, como tratamento irregular e
coleta desnecessária de dados sensíveis.

Além disso, o mapeamento de dados também garante à

organização ter clareza e entendimento na gestão dos dados.

Afinal de contas, só é possível proteger aquilo que se

conhece.
 2. Investir em Privacy by Design

O Privacy by Design é um framework que, além de facilitar a

adequação à LGPD, também configura uma boa prática no
tratamento de dados pessoais.

Ele tem como proposta central incorporar a privacidade e a

proteção de dados pessoais em todos os projetos
desenvolvidos por uma organização, desde a sua concepção.

O conceito foi desenvolvido na década de 90 por uma

especialista em privacidade de dados, a Ph.D. canadense Ann
Cavoukian, mas ganhou força com o surgimento de novas
regulamentações de privacidade.

A LGPD, por exemplo, determina que os controladores devem

adotar medidas de segurança desde a fase de concepção do
produto ou serviço até a sua execução, o que é justamente
uma das metas do Privacy by Design.

Como explicamos em detalhes nesse ebook sobre o

assunto, os passos previstos pela metodologia também
facilitam a adequação à LGPD e ajudam a reduzir custos.
Isso porque permitem começar um projeto, serviço ou
tecnologia já de forma aderente à lei, mesmo com poucos
recursos.
 3. Manter um registro das
operações de tratamento
Outra boa prática da proteção de dados
é manter um registro das operações de
tratamento. Pensando em termos de
LGPD, esse registro deve incluir a
classificação das operações de acordo
com sua base legal e a sua finalidade.

O registro é fundamental para

demonstrar a órgãos de fiscalização,
como a ANPD (Autoridade Nacional de
Proteção de Dados), que o tratamento de
dados é feito de forma legal e que a
empresa está comprometida com a
proteção de dados e a adequação à lei.

O registro de operações pode ser criado

após a etapa de mapeamento dos dados
pessoais que a empresa custodia,
compreendendo-se todo o seu ciclo de
vida.
 3.1 Legítimo interesse e o registro
das operações de tratamento

Um ponto de atenção na hora de registrar as atividades de

tratamento é quando a base legal –ou seja, a hipótese da LGPD
que justifica o tratamento de dados— for o legítimo interesse.

O legítimo interesse é uma das bases legais mais genéricas e

flexíveis previstas na LGPD. A lei diz que dados pessoais podem
ser tratados “quando necessário para atender aos interesses
legítimos do controlador ou de terceiro”, desde que isso não se
sobreponha a direitos e liberdades fundamentais do titular.

Justamente por seu caráter genérico, o legítimo interesse traz

também mais responsabilidades para a empresa, que tem que
estar preparada para justificar a qualquer momento o uso dos
dados.

Portanto, é uma boa prática manter um registro da avaliação

feita em relação ao legítimo interesse que a empresa pretende
atender, identificando-o como necessário e avaliando se não
existem direitos fundamentais que se sobreponham a este
interesse.

Além disso, a LGPD deixa claro que, se o tratamento tiver como

fundamento o legítimo interesse, a ANPD pode solicitar ao
controlador o Relatório de Impacto à Proteção de Dados
Pessoais, documento sobre o qual falaremos no próximo item.
 4. Elaborar o Relatório de Impacto à
Proteção de Dados Pessoais

O Relatório de Impacto à Proteção de Dados Pessoais (RIPD) é

um documento que deve ser elaborado pelo controlador
sempre que o processo de tratamento de dados pessoais
possa gerar riscos às liberdades civis e aos direitos
fundamentais.

Basicamente, o RIPD cumpre a função de demonstrar que o

controlador avaliou os riscos nas operações de tratamento de
dados pessoais e adotou medidas para mitigá-los. Em outras
palavras, é uma ferramenta de gestão de riscos à privacidade.

A LGPD prevê que a ANPD poderá solicitar este relatório a

qualquer momento. Por isso, é fundamental manter-se em dia
com essa obrigação.

Porém, mais do que uma obrigação legal, o RIPD configura boa

prática da organização para mitigar os riscos envolvidos em
determinada operação de tratamento de dados pessoais.
5. Anonimizar dados quando possível

A anonimização é uma técnica recomendada pela LGPD em

determinados casos, como nos estudos realizados por órgãos
de pesquisa e nos estudos em saúde pública.
Além disso, ela é considerada uma boa prática nas situações
em que for útil e puder ser aplicada pelo controlador dos
dados.

Segundo a LGPD, a anonimização de dados é a “utilização de

meios técnicos razoáveis e disponíveis no momento do
tratamento, por meio dos quais um dado perde a possibilidade
de associação, direta ou indireta, a um indivíduo”.

Ou seja, a anonimização é o processo de fazer com que seja

impossível identificar uma pessoa a partir do dado disponível.

Assim, deixando de ser dado pessoal, a informação fica fora do

escopo de aplicação da LGPD.

Para as empresas, a anonimização pode ser uma boa opção

quando ainda é possível usufruir do valor da informação sem a
necessidade de identificar o titular. Essa é uma situação
comum, por exemplo, na realização de estudos estatísticos.

Um ponto importante a destacar é que, por lei, o processo de

anonimização deve ser irreversível. Ou seja, o dado não pode
ser restaurado nem recuperado.
 6. Investir em Segurança da
Informação
A Segurança da Informação para garantir a proteção de dados
pessoais é não apenas uma boa prática, mas também um
requisito de conformidade da LGPD.

A lei estabelece a segurança como um de seus dez princípios

básicos, determinando que devem ser adotadas medidas
técnicas e administrativas para proteger os dados pessoais “de
acessos não autorizados e de situações acidentais ou ilícitas de
destruição, perda, alteração, comunicação ou qualquer forma
de tratamento inadequado ou ilícito”.

Além disso, a LGPD também determina que o agente de

tratamento ou qualquer outra pessoa que intervenha em uma
das fases do tratamento é responsável por garantir a
segurança dos dados pessoais, mesmo após o fim do
tratamento.
 6.1 Princípios da Segurança da
Informação na LGPD
Na LGPD, a segurança norteia-se pelos seguintes princípios:
Confidencialidade (informação conhecida apenas por quem
necessita conhecê-la);
Integridade (informação mantida íntegra, inalterada
indevidamente);
Disponibilidade (informação disponível quando necessária).

Lembre-se que a LGPD é, acima de tudo, uma lei voltada para

proteger dados pessoais — e uma premissa básica da proteção
de dados é adotar medidas para garantir que eles estejam
seguros de fato.
 7. Escolher parceiros comprometidos
com a proteção de dados
Por mais que uma organização invista em proteção de dados e
privacidade, todo esse esforço pode ir por água abaixo caso
seus parceiros e colaboradores não adotem a mesma postura.

Um vazamento de dados ocorrido após uma falha de um

parceiro comercial, por exemplo, traz implicações legais e
danos de reputação a todos os envolvidos.

Portanto, é uma boa prática fundamental estabelecer critérios

para avaliar e exigir o cumprimento de medidas de proteção de
dados e privacidade de todos os parceiros.

Isso pode ser feito através de medidas jurídicas, com a revisão

de contratos, a inclusão de cláusulas específicas e a assinatura
de acordos de confidencialidade. No entanto, o ideal é que a
organização vá além e procure entender, de fato, como seus
parceiros tratam a questão da proteção de dados.

O parceiro já indicou um DPO (encarregado)? Adota medidas

de proteção de dados e segurança da informação? Controla o
acesso de colaboradores a dados pessoais? Treina a equipe
para sensibilizá-la a respeito do assunto?
Essas são todas questões que devem ser levadas em
consideração na hora de avaliar a maturidade de um parceiro
em relação à privacidade.
 8. Criar um protocolo de resposta a
incidentes envolvendo dados pessoais
Toda organização precisa estar preparada para lidar com um
incidente de segurança envolvendo dados pessoais.

Vazamento, acesso indevido, alteração ou eliminação de

dados… infelizmente, nenhuma empresa está imune a
incidentes como esses.

Portanto, é uma boa prática criar um protocolo de resposta a

incidentes envolvendo dados pessoais, de forma a responder o
mais rapidamente possível à situação.

Este protocolo é basicamente um passo a passo de como agir

caso a empresa vivencie um incidente de segurança
envolvendo dados pessoais. Ele deve se basear, claro, nas
determinações da LGPD para estabelecer o modus operandi
em situações como essa.
 9. Comunicação de incidente de
segurança à ANPD
A LGPD estabelece a obrigação de comunicação do incidente à
Autoridade Nacional e aos titulares de dados caso o incidente
em questão possa acarretar em risco ou dano relevante aos
titulares.

Tal comunicação deverá ser feita em prazo razoável e

mencionar, no mínimo:
A descrição da natureza dos dados pessoais afetados;
As informações sobre os titulares envolvidos;
A indicação das medidas técnicas e de segurança utilizadas
para a proteção dos dados;
Os riscos relacionados ao incidente;
Os motivos da demora, no caso de a comunicação não ter
sido imediata; e
As medidas que foram ou que serão adotadas para reverter
ou mitigar os efeitos do prejuízo.

Além disso, a ANPD (Autoridade Nacional de Proteção de

Dados) avalia a gravidade do incidente e pode determinar que
o caso seja amplamente divulgado nos meios de comunicação
dentre outras medidas.
 10. Treinar e conscientizar a equipe
Por fim, mas não menos importante, uma boa prática essencial
é treinar e conscientizar a equipe a respeito da proteção de
dados pessoais.

Isso facilita a adequação à LGPD e demais regulamentações de

privacidade e ajuda a reduzir o risco de incidentes de
segurança.

Afinal, uma equipe consciente do papel e das exigências da

LGPD consegue identificar situações de tratamento irregular de
dados e atuar de forma a proteger as informações com as
quais a organização lida.

Além disso, treinar a equipe regularmente é uma forma de

demonstrar à ANPD que a organização atua para garantir a
conformidade com a lei.

Esse treinamento pode ser na forma de cursos online ou

presenciais. O importante é escolher o formato que melhor se
adequa às necessidades da empresa.