O GUIA

DESCOMPLICADO
DA LGPD

Partner
A Lei Geral de Proteção dos Dados (LGPD) foi aprovada no Brasil em
agosto de 2018 e tem por base o Regulamento Geral de Proteção de
Dados da União Europeia (GDPR – General Data Protection Regulation).
É importante que as empresas comecem a analisar e implementar
as adequações necessárias para minimizar a ocorrência de possíveis
problemas.

A ANPD (Autoridade Nacional de Proteção dos Dados) é o órgão

responsável por fiscalizar e regulamentar os critérios da LGPD.
A nova lei dispõe sobre a coleta e tratamento de dados pessoais, onde
deverão ser cumpridas diversas obrigações legais, além de procedimentos
preliminares de segurança e governança.

Nossa equipe de consultores especializados em Direito Digital e Gestão

e Governança de TI, por meio de uma abordagem prática, sugerem
algumas etapas a serem seguidas para implantação de governança e
adequação à LGPD.
APLICAÇÃO
DA LGPD

Aplica-se a qualquer empresa pública ou

privada, envolvida na coleta, tratamento e
utilização de dados pessoais.

VIGÊNCIA
1 DA LGPD:
A Lei passará a ter vigência em
agosto de 2020.

PRINCIPAIS OBJETIVOS
2 DA LGPD:
Além do desenvolvimento
econômico e tecnológico, o
principal objetivo da LGPD é
respeitar os direitos fundamentais
das pessoas, protegendo a
privacidade, intimidade e liberdade
de expressão.
 NÃO SE APLICA À LGPD O
3 TRATAMENTO DE DADOS PESSOAIS:
Realizado para fins particulares, jornalísticos,
artísticos, acadêmicos ou para fins de segurança
pública, defesa nacional e investigações penais.

AS ATIVIDADES DE TRATAMENTO DE DADOS

4
SERÃO REALIZADAS RESPEITANDO-SE:

• Finalidade pelo o qual o dado foi coletado e informado ao titular

• Tratamento ao mínimo necessário
• Garantia aos titulares a consulta e o livre acesso aos seus dados
• Transparência no processo da coleta.
• A proteção dos dados pessoais, adoção de medidas preventivas
e demonstração pela empresa da adoção e eficácia das
medidas de proteção.
TRATAMENTO DE
DADOS PESSOAIS
 ACEITE DO TITULAR
1
(CONSENTIMENTO)
• Fornecimento do aceite pelo titular, por escrito
ou por outro meio que demonstre sua vontade.
• Cabe à empresa provar que o aceite foi obtido
de forma legal.
• Proibido o tratamento de dados sem o aceite do
titular.
• O aceite não poderá ser para finalidade
genérica, sob pena de nulidade.
• O titular terá o acesso facilitado às informações
sobre o tratamento de seus dados.

TRATAMENTO DE DADOS
2 PESSOAIS SENSÍVEIS:
• São considerados dados pessoais sensíveis todas
as informações sobre a origem racial ou étnica,
convicção religiosa, opinião política, filiação, além
de dados referentes à saúde, dados genéticos,
biométricos ou à vida sexual.
• Fornecimento da aprovação pelo titular ou seu
representante legal, de forma específica e para
fins específicos.
 TRATAMENTO DE DADOS
3
PESSOAIS DE CRIANÇAS E
ADOLESCENTES:
• Fornecimento de aprovação específica
por pelo menos um dos pais ou pelo
responsável legal.
• As empresas deverão dispor de
tecnologias capazes de verificar que a
aprovação foi dado pelo responsável
da criança e/ou adolescente.

TÉRMINO DO
4 TRATAMENTO DE DADOS:
• Quando a finalidade da coleta foi
alcançada ou quando os dados deixarem
de ser necessários ou pertinentes ao
alcance da finalidade almejada.
• Através da solicitação do titular.
• Por determinação da Agencia Nacional
de Proteção de Dados (ANPD)
DIREITOS
DO TITULAR
• Titular é a pessoa a quem se referem os dados pessoais, e a ele são
garantidos os seguintes direitos.
• Confirmação da existência de tratamento.
• Acesso facilitado aos dados.
• Correção de dados incompletos, inexatos ou desatualizados.
• Anonimização, bloqueio ou eliminação de dados desnecessários,
excessivos ou tratados em desconformidade com a LGPD.
• Portabilidade de dados a outro fornecedor de serviço ou produto.
• Informações sobre compartilhamento de dados.
• Anulação do aceite
AGENTES DE
TRATAMENTO
DE DADOS
1 CONTROLADOR E OPERADOR:
• Controlador: empresa a quem compete as
decisões referentes ao tratamento de dados
pessoais.
• Operador: empresa que realiza o tratamento
de dados pessoais em nome do controlador.
• Devem manter registro das operações de
tratamento de dados que realizarem.
• A autoridade nacional (ANPD) poderá
determinar ao controlador que elabore
relatório de impacto à proteção de dados,
contendo a descrição dos tipos de dados
coletados, a metodologia utilizada para a
coleta e para a garantia da segurança das
informações e mecanismos de mitigação de
riscos adotados.

ENCARREGADO PELO
2 TRATAMENTO DE DADOS:
• O controlador deverá indicar um
profissional encarregado (pessoa física ou
jurídica) pelo tratamento de dados pessoais,
o qual deverá conhecer em detalhes todas
as operações da empresa.
• Ao encarregado caberá aceitar reclamações
e comunicações dos titulares e adotar
providências, receber comunicações da
autoridade nacional e adotar providências,
orientar os funcionários e contratados sobre
as práticas a serem adotadas em relação ao
tratamento e proteção dos dados.
ANPD
AUTORIDADE
NACIONAL
DE PROTEÇÃO
DE DADOS

CRIADA A AUTORIDADE
1 NACIONAL DE PROTEÇÃO DE
DADOS, A QUEM PERTENCE:
• Zelar pela proteção dos dados pessoais.
• Editar normas e procedimentos.
• Decidir sobre a interpretação da LGPD,
inclusive sobre casos omissos.
• Requisitar informações às empresas que
realizam tratamento de dados.
• Implementar mecanismos para o registro
de reclamações.
• Fiscalizar e aplicar sanções.
SEGURANÇA E
BOAS PRÁTICAS

SEGURANÇA E
1 SIGILO DE DADOS:
• A empresa deve adotar medidas de
segurança aptas à proteção dos dados
desde a coleta até a sua exclusão.
• Necessidade de comunicação à
autoridade nacional e ao titular de
eventual incidente de segurança que
possa acarretar risco ou dano.
• Implantação de medidas técnicas
adequadas que tornem os dados
ininteligíveis em caso de incidente de
segurança.
 BOAS PRÁTICAS
2 E GOVERNANÇA:
Formulação de regras de boas práticas
e de governança que estabeleçam:
• As condições de organização,
• O regime de funcionamento,
• Os procedimentos de reclamações e
solicitações de usuários,
• As normas de segurança,
• Os padrões técnicos,
• As obrigações específicas para os
envolvidos no tratamento,
• As ações educativas,
• Os mecanismos internos de
supervisão e de mitigação de riscos,
• Demais aspectos relacionados ao
tratamento de dados pessoais.

RESPONSABILIDADE E
3 INDENIZAÇÃO DE DANOS:
• A empresa será obrigada à reparação de
danos causados no exercício da atividade
de tratamento de dados sempre que um
incidente de segurança ocorrer e causar
danos aos titulares dos dados envolvidos.
• Os agentes não serão responsabilizados
quando provarem não terem realizado o
tratamento de dados, não terem violado a
LGPD ou quando o dano for decorrente de
culpa exclusiva do titular dos dados.
PUNIÇÕES

• Advertência.
• Multa simples de até 2% do faturamento da empresa ou
grupo econômico, limitada à R$ 50.000.000,00 (cinquenta
milhões de reais) por infração.
• Publicização da infração.
• Bloqueio dos dados pessoais a que se refere a infração.
• Eliminação dos dados pessoais a que se refere a infração.
• Além de eventuais sanções administrativas, civis e penais
definidas em legislação específica.
 FRAMEWORK
DE IMPLANTAÇÃO
Após o lançamento do programa LGPD, os profissionais e empresas enfrentam
o desafio de fazer a transição dos artigos da lei e seus resultados para o dia-a-
dia, bem como implantar um conjunto de processos que se tornarão parte do
modelo padrão de processos organizacionais.

O modelo de processos agrupa as atividades em torno de nove processos

centrais. Para cada processo central, existem vários subprocessos que cobrem
aspectos detalhados de dados pessoais em conformidade com a LGPD. Entenda:

FRAMEWORK DE PROCESSOS LGPD

01 Manter Governança de Dados

02 03 04 09

Coletar, Identificar Gerenciar

Gerenciar risco de
e Classificar Segurança
dados pessoais
Dados Pessoais de Dados Pessoais

Manter
Controles
05 06 07
Internos
Gerenciar
Dados Pessoais Gerenciar Criar e Manter a
na Cadeia de Incidentes e Consciência
Suprimentos Reclamações

08 Organize a função PDO (Data Protection Officer)

Este framework cobre todos os requisitos e artigos da LGPD e é baseado em boas

práticas de governança e segurança da informação, como ITIL, COBIT, ISO27000,
ISO20000, ISO29100. Para implantação, os profissionais devem aproveitar as práticas
de governança e segurança já existentes e utilizados na organização.

DICAS UTEIS PARA IMPLANTAÇÃO:

• O Importante é integrar esses processos aos processos já existentes.
• É importante evitar duplicação de processos e esforços sempre que possível.
• Inconsistências ou fraquezas são remediadas ao longo do tempo, importante man-
ter processos de QA e DPCA para melhoria contínua.
• Para o sucesso do projeto, cubra o desenho do processo, capacitação das pessoas
e ajustes das ferramentas existentes.
MANTER GOVERNANÇA LGPD GERENCIAR RISCOS

• Estabelecer Framework LGPD • Realizar Avaliação de Risco

• Manter Logs de Tratamento de dados • Conduzir a Avaliação de Impacto
• Manter Normas Corporativas • Gerenciar Tratamento de Risco
Obrigatórias • Realizar Validação de Risco
• Manter Normas de Consentimento
• Manter Normas de Solicitações
• Manter Normas para Gestão de GERENCIAR INCIDENTES
Reclamações E RECLAMAÇÕES

• Gerenciamento de Incidentes
COLETAR, IDENTIFICAR • Gerenciamento de Crises
E CLASSIFICAR • Gerenciar a Comunicação e Notificações
DADOS PESSOAIS • Gerenciar as Evidências e Reclamações

• Gerenciar o Ciclo de Vida dos Dados

• Conduzir a Identificação de CRIAR E MANTER A
Dados Pessoais CONSCIÊNCIA
• Manter Classificação de Dados Pessoais
• Manter o Registro de Dados Pessoais • Manter a Conscientização
• Gerenciar a Exclusão e Alteração • Gerenciar Habilidades e Educação
de dados • Gerenciar Treinamentos
GERENCIAR SEGURANÇA GERENCIAR A CADEIA
DE DADOS PESSOAIS DE SUPRIMENTOS

• Gerenciar Níveis de Proteção • Gerenciar terceiros de acordo com LGPD

• Gerenciar Anonimato • Manter acordos SLAs, termos e contratos
• Gerenciar Criptografia • Gerenciar o impacto da cadeia de
• Gerenciar Acessos suprimentos
• Gerenciar testes e assessment • Obter controles de terceiros (testes,
evidencias, auditoria)

ORGANIZAR AS FUNÇÕES
MANTER CONTROLES INTERNOS
Controlador | Operador | Encarregado)
• Gerenciar orçamento e recursos • Manter controles de dados de terceiros
• Gerenciar interfaces organizacionais • Manter processos de manutenção
• Gerar e gerenciar relatórios internos • Manter controles de armazenamento
e externos • Manter controles de exclusão
• Gerenciar serviços externos • Manter controles de monitoramento
Realizar revisão independente QA LGPD
 ELABORAÇÃO DO
PLANO DE AÇÃO

LGPD
COMITÊ ASSESSMENT CAPACITAÇÃO CONTROLES CONFORMIDADE

PASSO 1 PASSO 2 PASSO 3 PASSO 4 PASSO 5

Formação de Mapear dados, Realizar Executar. Momentos e

comitê com apresentar treinamento e Ajustar a avaliações
representantes pareceres engajar para Governança, periódicas.
chaves de técnicos e mudança de processos e Estar em
Negócio, jurídicos. cultura. ferramentas. conformidade
como TI, RH, Entender e até agosto 2020.
Marketing, planejar.
Jurídico.

INICIAR O PROJETO DE ADEQUAÇÃO COM A FORMAÇÃO DO

COMITÊ E ASSESSMENT LGDP

O Assessment tem como objetivo obter um diagnóstico da organização

em relação a maturidade, aderência, governança e processos
solicitados pela Lei Geral de Proteção de Dados (LGDP). As atividades
serão realizadas através da técnica de comparação dos processos ou
procedimentos utilizados na organização com as práticas exigidas pela
Lei Geral de Proteção de Dados (LGDP).

Através do resultado do Assessment e da experiência adquirida nas

atividades de condução deste, é alcançado além do diagnóstico um
relatório de recomendações com plano de ação para um melhor modelo
de implantação LGPD. O assessment deve contar com uma equipe de
especialistas em governança de TI e advogados especialistas em direito
digital e LGPD.
 SOBRE A ASSAF
O grupo assaf tem como objetivo ajudar empresas de todos
os segmentos e portes a entender e implantar a LGPD,
conseguindo aderência real e permanentes.

Veja aqui alguns dos cases e perceba na prática como a

governança pode ser aplicado na realidade!

CONHEÇA MAIS MATERIAIS EDUCATIVOS

Saiba mais em grupoassaf.com