E-book Guia LGPD Para Empresas

Prévia do material em texto

www.atheniense.com
1LGPD PAR A EMPRESA S
www.atheniense.com
EMPRESAS
LGPD PARA
30 anos
www.atheniense.com
2 LGPD PAR A EMPRESA S
SÃO PAULO
Avenida Paulista 1079,
Torre João Salem, 8º andar 
São Paulo - SP
55 11 99901-8128
BELO HORIZONTE
Avenida Afonso Pena,
4273, 4º andar 
Belo Horizonte - MG
55 31 3318-1414
BRASÍLIA
SCS, Quadra 09, Bloco C, 
Torre C, 10º andar
Comercial Sul, Brasília
55 61 99622-8128
www.atheniense.com
3LGPD PAR A EMPRESA S
Photo by Sean Pollock on Unsplash
www.atheniense.com
4 LGPD PAR A EMPRESA S
Com a sanção da Lei Geral de Proteção de Dados, o que antes era considerado boas prá-
ticas agora passará a ser obrigação. A equipe de Alexandre Atheniense Advogados está 
preparada para guiar empresas de todos os tamanhos no processo de adequação à LGPD. 
A seguir, algumas competências envolvidas: 
Proteção de dados pessoais:
Avaliação das lacunas e riscos jurídicos e operacionais sobre a proteção de dados pessoais, 
elaboração de um plano de ação para implantação de medidas visando a conformidade 
legal, revisão de contratos, regulamentação interna, relativa à privacidade e proteção de 
dados, medidas de enfrentamento dos incidentes, consultoria junto a desenvolvedores 
de softwares para adequações sistêmicas e de processos internos necessárias à confor-
midade com a LGPD, GDPR e outras normas de proteção de dados.
Segurança cibernética
Avaliação e elaboração de um plano de ação para suprir as lacunas jurídicas, sistêmicas 
e estratégicas quanto à segurança da informação, tais como: elaboração de regulamen-
tação interna, obrigações legais, políticas e procedimentos internos quanto ao uso das 
informações digitais que revelem fatores de risco jurídico, e a necessidade de adoção de 
medidas para enfrentamento de incidentes de segurança da informação.
Reputação digital
Análise e preservação de provas em conformidade legal de conteúdos gerados por tercei-
ros como comentários, críticas falsas, fake news, perfis falsos e ataques ofensivos que fo-
rem divulgados e indexados com relevância nas principais ferramentas de busca e redes 
sociais, que revelem fatores de risco e necessidade de adoção de medidas extrajudiciais 
ou judiciais para proteger a reputação da organização na maior brevidade possível.
Compliance
Elaboração e implantação de um conjunto de medidas para fazer cumprir as normas le-
gais e regulamentares, políticas, regras e diretrizes estabelecidas para o negócio e para 
as atividades da organização, bem como, evitar, detectar e tratar qualquer desvio ou des-
conformidade.
Governança Digital Corporativa
O somatório das consultorias jurídicas anteriores forma o escopo da Governança Digital 
Corporativa. Em outras palavras, trata-se de assessoria jurídica contínua para mutuamen-
te fiscalizar os mecanismos de controle sobre todas as atividades da organização envol-
vendo o tratamento de dados pessoais, segurança cibernética, incidentes de reputação 
digital e compliance, bem como, o breve enfrentamento jurídico de incidentes nessas 
áreas para reduzir os danos inerentes.
Sobre o Alexandre Atheniense Advogados
www.atheniense.com
5LGPD PAR A EMPRESA S
Sobre o Alexandre Atheniense Advogados 4
O que você vai aprender neste guia? 5
LGPD para empresas 6
1. Os termos mais importantes para entender a LGPD 8
2. O que os empresários precisam saber sobre a LGPD 10
3. Proteção de dados pessoais agora tem 
um valor e a irresponsabilidade tem um preço 12
4. O que vai mudar na rotina das empresas 15
5. O que as pessoas podem fazer com os seus 
dados pessoais tratados pela empresa? 16
6. O espírito da lei: a LGPD e seus princípios 17
7. Os fundamentos legais do tratamento dos dados pessoais 20
8. Mãos à obra: 10 passos para executar um plano 
para começaro trabalho de adequação à LGPD 23
9. A proteção de dados pessoais como pilar 
da Governança Digital Corporativa 30
10. Conclusão 34
O que você vai
aprender neste guia
www.atheniense.com
6 LGPD PAR A EMPRESA S
LGPD para empresas
Alexandre Atheniense 
Sócio fundador de Alexandre Atheniense Advogados1
mpresários precisam estar atentos aos menores detalhes da sua 
organização e da vida de seus colaboradores e fornecedores so-
bre assuntos societários, financeiros, negócios e outros mais.
Nessas atividades, a empresa deve resguardar sigilo. A ética profissio-
nal é uma questão de sobrevivência.
O problema é que guardar um segredo nem sempre é uma escolha.
Uma empresa não pode ser forçada a revelar seus segredos de negócio, 
mas não se pode dizer o mesmo dos computadores.
Google, Visa, o Pentágono, o Tribunal Superior Eleitoral no Brasil, além 
de vários bancos e bases de dados públicas protegidas com sistemas 
considerados extremamente seguros já foram invadidos, expondo in-
formações pessoais de centenas de milhões de pessoas.
Isso sem mencionar a extensa lista de personalidades que já tiveram 
sua intimidade exposta online. Quem pode dizer que está seguro neste 
mundo?
Empresários também estão na mira. Já foi há muito tempo a era ro-
mântica dos hackers, quando garotos invadiam computadores pelo 
prazer de superar o desafio de acessar ambientes protegidos. 
O cybercrime tornou-se uma atividade extremamente lucrativa e em 
franco crescimento, porque ainda encontra um mundo desprotegido, 
que guarda tesouros digitais com cadeados frágeis e senhas previsí-
veis.
1 Colaboraram neste guia Lucas Balsemão, Pedro Resende, Alexandre Secco e Gabriel Attuy
E
www.atheniense.com
7LGPD PAR A EMPRESA S
Embora não se trate do assunto 
abertamente, aqui mesmo no 
Brasil já tivemos vários casos 
de empresas que tiveram seus 
computadores acessados sem 
autorização, dados sequestrados 
mediante pedidos de resgate, 
sob ameaça de destruição das in-
formações e divulgação de docu-
mentos sigilosos na internet.
Qualquer empresa é um grande 
depósito de informações sensí-
veis e de grande valor, seja nos 
emails trocados internamente 
pelos sócios ou na documenta-
ção arquivada: detalhes sobre a 
esfera privada de clientes e cola-
boradores, patentes, contratos 
comerciais, preços e valores, etc. 
O potencial de dano decorren-
te da exposição pública dessas 
informações é incalculável. É 
nesse contexto a enorme im-
portância para os empresários a 
Lei Geral de Proteção de Dados 
(LGPD), Lei nº 13.709, sanciona-
da em agosto de 2018 no Brasil 
e com vigência a partir de 14 de 
agosto de 2020.
O período de adequação pode pa-
recer longo, mas não é. O “dever 
de casa” é complexo e precisa co-
meçar desde já, sobretudo, para 
as empresas que sejam alvo da 
GDPR - General Data Protection 
Regulation, vigente desde 25 de 
maio de 2018, ou de outras leis 
de proteção de dados interna-
cionais, em decorrência do tra-
tamento de dados pessoais de 
colaboradores ou clientes es-
trangeiros.
A LGPD dita normas sobre tra-
tamento de dados pessoais, 
de pessoas físicas, o que atin-
ge diretamente advogados que 
atuam em qualquer área do Di-
reito onde ocorra a necessidade 
de lidar com informações des-
ta natureza.Além disso, coloca 
em evidência a necessidade de 
seguir várias obrigações legais, 
que antes eram apenas boas prá-
ticas no trato da informação. As 
punições em caso de desconfor-
midade legal são pesadíssimas... 
Podem variar entre punições ad-
ministrativas, condenações judi-
ciais, multas contratuais e, a pior 
delas, um considerável impacto 
na reputação profissional. As 
multas são pesadíssimas poden-
do chegar a 50 milhões de reais 
por infração.
O cumprimento das regras é 
obrigatório e vale para empre-
sas de todos os tamanhos, de 
uma microempresa numa cidade 
do interior, a uma grande e lu-
www.atheniense.com
8 LGPD PAR A EMPRESA S
crativa sociedade anônima. 
A proposta deste guia é apresentar de forma dirigida especialmente 
para empresários ou colaboradores das empresas que estarão envolvi-
dos sobre o tema, um roteiro com dez pontos de atenção, para execu-
ção passo a passo, de forma prática, concisa, com base na nossa expe-
riência profissional em diversas consultorias jurídicas em andamento.
 
1. Os termos mais importantes 
para entender a LGPD 
Agentes de tratamento
O controlador da base de dados: pessoa física ou jurídica, de direito pú-
blico ou privado, responsável pelas decisões referentes ao tratamento 
de dados pessoais.
O operador da base de dados: pessoa física ou jurídica que realiza o 
tratamento de dados pessoais estritamente conforme as obrigações e 
finalidades definidas pelo controlador.
Anonimização
A lei define o que são dados anonimizados e também o processo de 
anonimização. Um dado anonimizado é aquele que não permite identi-
ficar o titular, por ter sido tratado de alguma forma, como criptografia, 
ou quando são excluídas informações de modo a impedir associação 
direta ou indireta a uma pessoa. A lei define que dado anonimizado é: 
“dado relativo a titular que não possa ser identificado, considerando a 
utilização de meios técnicos razoáveis e disponíveis na ocasião de seu 
tratamento”.
www.atheniense.com
9LGPD PAR A EMPRESA S
Autoridade Nacional de Proteção de Dados
Órgão da administração pública responsável por zelar, implementar e 
fiscalizar o cumprimento desta Lei.
Dados pessoais
Segundo a lei, é uma “informação relacionada à pessoa natural identi-
ficada ou identificável”. Tudo que possa identificar direta ou indireta-
mente uma pessoa como nome, números de documentos, fotografias, 
registros biométricos, etc; ou, indiretamente, dados que podem ser 
cruzados, ou que podem levar a informações, como um email corpora-
tivo, ou um endereço IP.
Dados sensíveis
Aqueles que podem resultar em danos imediatos caso sejam divulga-
dos indevidamente, Seu tratamento requer cuidados especiais e eles 
só podem ser solicitados para finalidades específicas. Entre eles, estão 
os dados sobre: origem racial ou étnica, convicção religiosa, opinião po-
lítica, filiação a sindicato, filiação religiosa, sobre a saúde, sobre a vida 
sexual, dados genéticos, informações biométricas.
Dados de crianças e adolescentes
O tratamento de dados de crianças e adolescentes também requer cui-
dados especiais e só pode ser realizado com o consentimento específi-
co de um responsável.
Encarregado de 
tratamento de dados pessoais
Pessoa indicada pelo controlador para atuar como canal de comunica-
www.atheniense.com
10 LGPD PAR A EMPRESA S
ção entre o controlador, os titulares dos dados e a Autoridade Nacional 
de Proteção de Dados.
Titular dos dados pessoais
O titular dos dados é sempre uma pessoa física. Nos termos da lei: “pes-
soa natural a quem se referem os dados pessoais que são objeto de trata-
mento” (leia a seguir o significado de “tratamento”).
Tratamento de dados pessoais
Uma das definições mais importantes preceituadas na lei é a do tra-
tamento de dados. Tratamento é a expressão usada na lei que serve 
como um guarda-chuva para uma série de procedimentos envolvendo 
dados. Exemplos de ações de tratamento:
2. O que os empresários 
precisam saber sobre a LGPD 
Toda longa jornada começa com um primeiro passo. O processo de ade-
quação à LGPD será mais fácil se todos os escritórios estiverem familia-
rizados com os conceitos da lei, seus objetivos e peculiaridades. Lista-
mos 13 pontos essenciais sobre a lei, que dizem respeito diretamente 
as empresas.
. Coleta. Produção. Recepção. Classificação. Utilização. Acesso. Reprodução
. Transmissão. Distribuição. Processamento. Arquivamento. Armazenamento. Eliminação. Avaliação
. Controle. Modificação. Comunicação. Transferência. Difusão. Extração
www.atheniense.com
11LGPD PAR A EMPRESA S
1. A adequação à LGPD não é “só um problema do pessoal de 
informática”. Como dizem os especialistas, é transversal, envol-
ve todos os níveis de decisão e operação, em todas as áreas da 
empresa, da base ao topo.
2. A LGPD é obrigatória para todas empresa de todos os ta-
manhos.
3. As penalidade são muito pesadas para quem cometer infra-
ções. As multas,conforme a gravidade, podem chegar a 2% do 
faturamento líquido anual, limitadas a 50 milhões de reais por 
infração, podendo ser aplicadas cumulativamente.
4. O processo de adequação é relativamente complexo e envol-
ve uma ampla revisão das políticas de segurança e adoção de 
novos procedimentos.
5. A lei já foi aprovada e entra em vigor em agosto de 2020. 
6. A lei tem uma abrangência ampla, vale para o tratamento de 
dados realizado no Brasil ou quando os dados forem coletados 
de pessoas no Brasil.
7. A LGPD vale para tratamento de dados digitais, ou não, fora, 
ou dentro da internet.
8. A lei abrange apenas dados de pessoas físicas.
9. Em caso de vazamento, ou quando for solicitado, cabe ao 
controlador demonstrar que os dados foram obtidas segundo 
as regras da LGPD.
10. O titular tem o direito de ter acesso aos dados, exigir corre-
ções e revogar o consentimento de uso.
11. Em caso de vazamento ou uso indevido dos dados é obri-
gação do controlador da base de dados pessoais tomar as me-
www.atheniense.com
12 LGPD PAR A EMPRESA S
didas para mitigar os danos, informar sobre o vazamento e res-
ponder pelo prejuízo causado.
12. O objetivo da lei é assegurar a titularidade de dados pes-
soais e garantir os direitos fundamentais de liberdade, intimi-
dade e privacidade, além dos demais previstos na LGPD.
13. Caberá às empresas, ou aos chamados “agentes de trata-
mento” um inventário detalhado de como a lei interfere em 
suas atividades.
3. Proteção de dados 
pessoais agora tem um valor e a 
irresponsabilidade tem um preço
A economia de dados pessoais tem tomado proporções cada vez maio-
res no mundo contemporâneo. Chamados de “O Novo Petróleo”, os da-
dos pessoais têm enorme potencial para aumentar a produtividade de 
atividades já existentes e de criar modelos de negócios completamente 
novos. Para muitos especialistas, estamos entrando na era da economia 
de dados.
Dados sobre reservas de passagens e hotéis revelam para onde vamos; 
pagar o supermercado com cartão permite saber como nos alimenta-
mos; uma ficha de atendimento médico mostra nosso estado de saúde. 
Há vários exemplos de uso indevido desses tipos de dados. Na esfera 
pública, a coleta de informações de perfis pessoais em redes sociais per-
mitiu a interferência no plebiscito que decidiu pela saída do Reino Uni-
do da Comunidade Europeia e na campanha pela eleição do presidente 
Donald Trump, nos Estados Unidos. 
No âmbito pessoal, já se sabe que empresas de seguros e instituições 
financeiras cruzam dados pessoais para recusar pedidos de crédito e ne-
www.atheniense.com
13LGPD PAR A EMPRESA S
gar reembolso de despesas com 
saúde. Candidatos são eliminados 
de processos de seleção a partir 
de informações que eles próprios 
forneceram em suas redes so-
ciais. A cada dia, aparecem novos 
detalhesde como o Google, o Fa-
cebook e outras empresas de tec-
nologia vêm atravessando todos 
os limites éticos para transformar 
nossos dados pessoais em negó-
cios.
Portanto, é obrigação dos mem-
bros do board participar direta-
mente das decisões sobre o as-
sunto pois, caso ocorram sanções, 
as responsabilidades ou even-
tuais multas não recairão sobre 
os colaboradores da área ope-
racional, mas na figura daqueles 
que exercem o poder diretivo.
Engana-se quem compreende 
que o processo de adequação ou 
a gestão corporativa digital de-
vam ser exercidos apenas como 
meio de reduzir riscos relaciona-
É equivocado pensar que o 
projeto de adequação à LGPD 
é mais uma atividade da área 
de TI. Trata-se, na verdade, de 
um dos pilares da Governança 
Digital Corporativa. 
dos ao tratamento de dados. A 
abordagem deve ser ampla, pois 
sabemos que se trata de uma mu-
dança cultural e multidisciplinar 
nas empresas envolvendo a parti-
cipação direta de setores estraté-
gicos como recursos humanos, ju-
rídico, tecnologia e segurança da 
informação, marketing, controla-
doria, compliance entre outros.
A Lei Geral de Proteção de Dados 
pode ser comparada, em vários 
aspectos, ao Código de Defesa do 
Consumidor. São criados uma sé-
rie de direitos e deveres para pes-
soas e empresas que podem ter 
consequências profundas no mo-
delo e organização corporativa 
de um negócio. Assim como toda 
nova regulação, traz desafios e 
oportunidades para as empresas 
que se adequarem de imediato.
Com a vigência da LGPD, a pro-
teção de dados será encarada 
como um bem imaterial valioso e 
quantificável. Os dados pessoais 
adquiriram valor próprio. Por con-
sequência, o risco e a responsabi-
lidade serão compartilhados com 
colaboradores e fornecedores 
que tratam dados pessoais, mas 
as penalidades recairão sobre o 
board.
Pense nisso! É hora de começar... 
www.atheniense.com
14 LGPD PAR A EMPRESA S
3.1. Aspectos positivos: diferencial de 
mercado, competitividade, confiança, 
transparência
As leis de proteção de dados pessoais já estão presentes em mais de cem 
países. A GDPR e a LGPD são leis transnacionais, ou seja, para que uma 
empresa brasileira possa expandir seus negócios destinados à União Eu-
ropéia, é necessário estar em conformidade com ambas legislações. Por-
tanto, a adequação imediata das empresas brasileiras às leis de proteção 
de dados é mandatória e se torna vantagem competitiva de mercado, seja 
ele externo ou interno.
3.2. Aspectos negativos: incidentes e 
penalidades 
Vivemos na era dos negócios nas plataformas digitais. Vazamentos de 
dados são noticiados continuamente. As bases de dados pessoais das 
empresas são atrativos tanto para o mercado lícito quanto para o mer-
cado ilícito de informações, os quais lucram a partir da obtenção e re-
venda de tais bases de dados para finalidades distintas daquelas para 
as quais os cidadãos cederam as informações. 
Nesse contexto, um incidente de segurança pode acarretar diversas 
penalidades aplicáveis mesmo antes da vigência da LGPD, mediante a 
atuação do Ministério Público. No contexto de vigência da LGPD, quem 
ficará encarregado de fiscalizar e aplicar as sanções administrativas 
será a Autoridade Nacional de Proteção de Dados. Essas sanções admi-
nistrativas compreendem a aplicação de multas, entre outras medidas, 
veja:
. Advertência, com 
indicação de prazo para 
adoção de medidas 
corretivas; 
. Multa simples, de até 2% 
do faturamento da empresa 
ou conglomerado no Brasil, 
limitada, no total, a R$ 50 
milhões por infração; 
www.atheniense.com
15LGPD PAR A EMPRESA S
Além das penalidades administrativas, existem os riscos judiciais de-
correntes de ações indenizatórias como consequência do uso indevido 
dos dados, que podem ser movidas pelo Ministério Público e pelos titu-
lares dos dados tratados.
Por último e, talvez a pior consequência, está o dano reputacional. 
Toda reputação empresarial é construída ao longo de anos de atuação 
e qualquer abalo a essa reputação pode ter efeitos catastróficos nas 
vendas e no faturamento. Nesse sentido, a empresa que estiver em 
conformidade, terá todas as obrigações legais atendidas, o que evitará 
aplicações de sanções mais pesadas, além de contar com o acompanha-
mento de uma equipe especializada e treinada, pronta para responder 
a esses desafios e evitar uma exposição indevida e negativa do nome 
da empresa. 
4. O que vai mudar 
na rotina das empresas 
Será necessário abandonar velhos hábitos e adquirir outros novos. O 
caminho da conformidade à LGPD não tem uma reta de chegada. É um 
processo contínuo, portanto, não espere encerrar a questão do dia para 
noite. Tão importante quanto estar conforme é se manter conforme . A 
lei preceitua a necessidade de construir uma cultura de valoração dos 
. Multa diária, observado o 
limite acima;
. Publicização da infração 
após devidamente apurada e 
confirmada a sua ocorrência, 
o que pode acarretar severos 
danos reputacionais; 
. Bloqueio dos dados 
pessoais a que se refere 
a infração até a sua 
regularização;
. Eliminação dos dados 
pessoais a que se refere a 
infração.
www.atheniense.com
16 LGPD PAR A EMPRESA S
dados pessoais, a exemplo do que ocorreu no passado em relação aos 
direitos individuais relativos às relações de consumo.
Será necessário abandonar velhos hábitos e adquirir outros novos. Ta-
refas rotineiras como solicitar informações a um cliente por e-mail exi-
girão alguma camada extra de proteção. Portanto, paciência. 
Para tornar as coisas ainda mais desafiadoras existem muitos dispositi-
vos que ainda precisam ser regulamentados e já deixam margem para 
dúvidas. Por isso, além de paciência será preciso manter a atenção e 
percorrer o caminho da adequação com segurança, pois é possível que 
durante o processo alguns incidentes venham a acontecer e necessita-
rão ser enfrentados na maior brevidade possível.
Esse guia tem a ambição de ajudar a introduzir a discussão dentro dos 
escritórios de advocacia de todos os tamanhos, para ajudá-los a dar os 
primeiros passos em segurança.
5. O que as pessoas podem 
fazer com os seus dados pessoais 
tratados pela empresa? 
Segundo a LGPD, toda pessoa “tem assegurada a titularidade de seus 
dados pessoais e garantidos os direitos fundamentais de liberdade, de 
intimidade e de privacidade” (artigo 17 da LGPD). Diz ainda: “O titular 
dos dados pessoais tem direito a obter do controlador, em relação aos 
dados do titular por ele tratados, a qualquer momento e mediante re-
quisição” (artigo 18 da LGPD). São direitos dos titulares:
. Confirmação da existência de 
tratamento. 
. Acesso aos seus dados 
pessoais. 
www.atheniense.com
17LGPD PAR A EMPRESA S
6. O espírito da lei: 
a LGPD e seus princípios 
A LGDP preceitua dez princípios aos quais todo empresário deve estar 
alerta.
PRESTAÇÃO
DE CONTAS
NÃO 
DISCRIMINAÇÃOFINALIDADE
ADEQUAÇÃO
NECESSIDADE
LIVRE 
ACESSO
QUALIDADE
DOS DADOS
TRANSPARÊNCIA
SEGURANÇA
PREVENÇÃO
. Correção de dados 
incompletos, inexatos ou 
desatualizados. 
. Anonimização, bloqueio 
ou eliminação de dados 
desnecessários, excessivos ou 
tratados em desconformidade 
com o disposto na lei. 
. Opor-se a tratamento 
realizado. 
. Portabilidade dos 
dados a outro fornecedor 
de serviço ou produto, 
mediante requisição expressa 
e observados os segredos 
comercial e industrial, de 
acordo com a regulamentação 
do órgão controlador. 
. Revogação do 
consentimento para 
tratamento.
www.atheniense.com
18 LGPD PAR A EMPRESA S
Finalidade
Tratamento de dados pessoais para propósitos legítimos, específicos, 
explícitos e informados ao titular, sem a possibilidade de tratamento 
posterior de forma incompatível com essas finalidades;
AdequaçãoTratamento compatível com as finalidades informadas ao titular, de 
acordo com o contexto do tratamento;
Necessidade
Tratamento limitado ao mínimo necessário para a realização de suas 
finalidades, com abrangência dos dados pertinentes, proporcionais e 
não excessivos em relação às finalidades do tratamento de dados;
Livre acesso
Garantia aos titulares de consulta facilitada e gratuita sobre a forma 
e a duração do tratamento, bem como, sobre a integralidade de seus 
dados pessoais;
Qualidade dos dados
Garantir aos titulares a exatidão, clareza, relevância e atualização dos 
dados, de acordo com a necessidade e para o cumprimento da finalida-
de de seu tratamento;
www.atheniense.com
19LGPD PAR A EMPRESA S
Transparência
Assegurar aos titulares quanto às informações claras, precisas e facil-
mente acessíveis sobre a realização do tratamento e os respectivos 
agentes de tratamento, observados os segredos comerciais e indus-
triais;
Segurança
Utilizar medidas técnicas e administrativas aptas a proteger os dados 
pessoais de acessos não autorizados e de situações acidentais ou ilíci-
tas de destruição, perda, alteração, comunicação ou difusão;
Prevenção
Adotar medidas para prevenir a ocorrência de danos em virtude do tra-
tamento de dados pessoais;
Não discriminação
Impossibilidade de realização do tratamento de dados pessoais para 
fins discriminatórios ilícitos ou abusivos;
Responsabilização e prestação de contas
Demonstrar por meio da elaboração de relatórios previstos em lei de-
monstração, pelo agente, da adoção de medidas eficazes e capazes de 
comprovar a observância e o cumprimento das normas de proteção de 
dados pessoais e, inclusive, da eficácia dessas medidas.
www.atheniense.com
20 LGPD PAR A EMPRESA S
7. Os fundamentos legais do 
tratamento dos dados pessoais 
A lei define dez bases legais para o processamento válido de dados 
pessoais. Para cada finalidade atribuída ao uso de um dado pessoal, o 
controlador deverá indicar uma base legal como justificativa . Conheça 
as hipóteses:
LEGÍTIMO
INTERESSE
CONSENTIMENTOOBRIGAÇÃO
LEGAL
POLÍTICAS
PÚBLICAS
PESQUISA
EXECUÇÃO DE
CONTRATOS
EXERCÍCIO
REGULAR DE
DIREITO
PROTEÇÃO 
DA VIDA
TUTELA DA
SAÚDE
PROTEÇÃO AO 
CRÉDITO
Consentimento
O consentimento é o ato de coleta da permissão junto ao titular de da-
dos pessoais onde existe a previsão quanto a finalidade determinada 
do tratamento, bem como os nomes dos operadores da base de dados 
e suas respectivas atividades. O consentimento só será considerado vá-
lido quando ele for dado de forma livre, mediante informação clara e 
inequívoca.
www.atheniense.com
21LGPD PAR A EMPRESA S
Obrigação Legal
Os dados pessoais poderão ser tratados nos casos em que a empresa 
esteja atendendo a obrigação legal ou em regulações emitidas pelas 
autoridades competentes.
Políticas Públicas
A administração pública poderá se valer dessa base legal para realizar o 
tratamento de dados pessoais necessários para a execução de políticas 
públicas, sempre prevalecendo o interesse público.
Pesquisa
Os dados pessoais poderão ser tratados para realização de estudos por 
órgão de pesquisa, sendo recomendada a garantia da anonimização 
desses dados, quando for possível.
Execução de Contrato
Muitos contratos só terão eficácia mediante o tratamento de dados 
pessoais. Por exemplo, uma empresa de entrega à domicílio, somente 
poderá prestar seu serviço de forma efetiva se tiver acesso ao endere-
ço, nome e contato do titular destinatário.
Exercício regular de direito
A lei estabelece uma série de casos em que é necessário haver o trata-
mento de dados pessoais É o caso do Direito Processual que exige das 
partes a qualificação dos dados pessoais e documentos necessários 
para a instrução do processo.
www.atheniense.com
22 LGPD PAR A EMPRESA S
Proteção da Vida
Uma vez identificado o estado de perigo ou risco de vida do titular, 
alguns dados deverão ser coletados para que o socorro seja efetivado. 
Por exemplo, em casos onde uma pessoa está inconsciente e perdendo 
sangue, o médico necessita coletar os dados sanguíneos dessa pessoa 
para poder fazer a transfusão e salvar a sua vida.
Tutela da Saúde
O serviço de saúde necessita de dados pessoais essenciais para presta-
ção de serviço.. Sendo assim, o legislador previu que para esses casos 
os dados do paciente poderão ser tratados por profissionais da área da 
saúde ou por entidades sanitárias.
Legítimo Interesse
O dado pessoal poderá ser tratado com base no legítimo interesse do 
controlador ou de terceiro. Contudo, esse legítimo interesse não é um 
cheque em branco, pois precisa ser devidamente fundamentado. Uma 
importante metodologia para realizar a validação do tratamento com 
base nessa hipótese é o teste dos quatro passos. Esse teste consiste 
em: (i) analisar se o tratamento do dado pessoal está sendo feito com 
base em uma finalidade legítima; (ii) se estão sendo coletados apenas 
os dados necessários ao objetivo da empresa; (iii) se está sendo obser-
vada a legítima expectativa do titular; e (iv) quais as salvaguardas estão 
sendo adotadas. Por exemplo: transparência, mecanismo de oposição 
do titular, uso de instrumentos de redução de riscos e respeito aos di-
reitos e liberdades fundamentais dos titulares.
Proteção de crédito
Essa hipótese visa garantir as entidades que trabalham com banco de 
dados visando a proteção do crédito tenham uma base legal para legi-
timar o tratamento de dados pessoais, diminuindo os riscos de inadim-
www.atheniense.com
23LGPD PAR A EMPRESA S
plência e os custos de financiamento. Cabe mencionar que essa base 
legal é uma peculiaridade da nossa legislação, não havendo nada simi-
lar no mundo em leis de proteção de dados. Dessa forma, sua aplicação 
deve ser feita com cautela para evitar abusos e insegurança jurídica. 
8. Mãos à obra: 10 passos para 
executar um plano para começar o 
trabalho de adequação à LGPD 
1. Decisão Top Down 
A decisão de colocar em prática o projeto de adequação à LGPD deve 
ser uma medida “Top Down”, ou seja, deve partir da iniciativa daque-
les que exercem o poder diretivo. Esses devem estar conscientizados 
de que o orçamento para o projeto deve ser da Diretoria e não de um 
setor operacional, pois são os gestores que exercem a governança que 
serão os responsáveis por eventuais incidentes futuros.
2. Criação de comitê multidisciplinar 
Diante disso, o passo primordial é a criação de um comitê multidisci-
plinar, envolvendo setores de uma empresa que sejam estratégicos 
quanto ao tratamento de dados pessoais, ou seja: negócios, produ-
tos, jurídico, RH, segurança, infraestrutura, comunicação, marke-
ting, desenvolvimento e, sobretudo, um membro que seja do board 
da organização para exercer o poder decisório com maior brevidade. 
Esse comitê deve ter a função de: apurar informações e compreen-
der com celeridade vários aspectos estratégicos que se relacionam 
com o tratamento de dados pessoais; as normas vigentes que regu-
lamentam o tema, os processos internos e externos e os requisitos 
www.atheniense.com
24 LGPD PAR A EMPRESA S
sistêmicos relacionados. 
Além disso, o Comitê terá as seguintes atribuições: exercer o poder de-
cisório para executar o plano de ação e aprovar as medidas corretivas 
quanto aos incidentes que irão surgir com relação ao tratamento de 
dados pessoais; dar suporte para a consultoria elaborar um diagnósti-
co e avaliação de riscos e gravidade adequada e decidir mutuamente 
quais são os melhores caminhos a serem trilhados para a execução do 
plano de ação a fim de alcançar a conformidade antes da vigência da 
Lei Geral de Proteção de Dados em agosto de 2020.
A execução das medidas corretivas se desdobrará em três frentes de 
trabalho para a efetivação da revisão dos mecanismosde controle 
quanto aos riscos jurídicos envolvidos.
3. Análise e revisão normativa 
4. Análise e revisão dos 
processos internos e externos
3.1. Levantamento, leitura e análi-
se de todas as normas internas em 
uso na empresa sobre tratamento 
de dados; 
3.2. Apuração de todas as partes 
envolvidas com as quais a empresa 
se relaciona a partir do tratamento 
de dados pessoais, seja no ambiente 
interno ou externo; 
3.3. Revisão de todos os 
contratos em vigor que se 
relacionam com o tratamen-
to de dados pessoais;
3.4. Elaboração ou revisão 
de políticas, relatórios e ou-
tros documentos exigidos 
por lei.
www.atheniense.com
25LGPD PAR A EMPRESA S
5. Análise e revisão dos Sistemas 
6. Utilizar software específico 
para execução do plano de adequação
Diante do volume e especificações das informações coletadas e anali-
sadas, e a necessidade de verificação constante dos mapas de riscos e 
gravidade, além da emissão de relatórios, é indispensável o uso de um 
software específico de DPMS - Data Protection Management System. 
As funcionalidades essenciais que este software deve apresentar são: 
possuir uma plataforma para centralizar toda a operação de coleta, 
análise e emissão de relatórios, geração de mapas de riscos, elabora-
ção de relatórios exigidos por lei, desburocratização da execução das 
atividades com a desnecessidade de operar simultaneamente diversas 
planilhas e documentos.
4.1. Mapeamento de todos os pro-
cessos internos e externos que tra-
tam dados pessoais da organização;
4.2. Identificação das lacunas rela-
tivas a riscos quanto a privacidade 
e proteção de dados pessoais nos 
processos mapeados;
4.3. Assessoria na revisão 
dos processos envolvidos 
para adequá-los de acor-
do com a política de pri-
vacidade e outras obriga-
ções legais.
5.1. Identificação de lacunas 
nos sistemas que possam re-
presentar risco de vazamen-
to ou de uso indevido de da-
dos pessoais;
5.2. Assessoria e cooperação com 
o time de tecnologia da informação 
para promover alterações e mudan-
ças nos sistemas utilizados de forma 
a adequá-los à política de privacida-
de e às obrigações legais.
www.atheniense.com
26 LGPD PAR A EMPRESA S
7. Nomear um Encarregado 
de Proteção de Dados
A lei também obriga todas as empresas a nomear um Encarregado de 
Proteção de Dados (DPO – Data Protection Officer). Sua principal obri-
gação é zelar pela aplicação e disseminar boas práticas em relação ao 
tratamento de dados.
Além disso, ele será a interface com a Autoridade Nacional de Prote-
ção de Dados (ANPD). O EPD também será responsável por receber 
reclamações e informes dos titulares e órgãos competentes e prestar 
esclarecimentos, além de adotar providências e orientar funcionários 
sobre as boas práticas A identidade e as informações de contato do 
EPD precisam ser divulgadas publicamente, com clareza e objetividade 
no site do controlador.
No caso de EPD, DPO e ANPD, por enquanto temos apenas siglas, que 
ainda dependem de regulamentação. Nossa sugestão é que as empre-
sas comecem a se habituar a essas exigências.
Um plano para começar o trabalho de adequação à LGPD já está ex-
presso em procurações. O importante é identificar as várias situações 
para tomar as medidas adequadas.
O cargo de DPO poderá ser exercido por um grupo de pessoas estra-
tegicamente nomeadas que unam os seus talentos para atuarem neste 
encargo.
8. Mapear o fluxo de dados
Entender como os dados circulam pela empresa, quem lida com eles e 
para onde são encaminhados é uma das etapas mais importantes desse 
trabalho.
www.atheniense.com
27LGPD PAR A EMPRESA S
Daí ser fundamental o envolvimento de todos os níveis hierárquicos e 
uma ideia clara de quantas pessoas diferentes têm acesso a informa-
ções sensíveis. Note que a lei fala em dados, aplicando-se tanto aos 
que circulam em formato digital e pela internet, como os que estão em 
arquivos de papel.
Que tipos de 
tratamentos de dados 
pessoais são realizados?
Envio de mensagens
Arquivamento de conteúdos
Anexação
Consulta
Relatórios
Cópias em dispositivos 
informáticos
Currículos
Fichas Cadastrais
Prontuários médicos
Onde ficam esses 
dados?
Contas pessoais de email
Sistemas Especialistas
Bases de dados na nuvem
Servidores locais
Discos rígidos de desktops 
e notebooks
Pendrives, CDs e DVDs
Backups
Em que forma circulam 
os dados pessoais 
dentro da empresa?
Contratos
Fichas cadastrais
Emails
Boletos de pagamento
Documentos
Processos
Formulários online
Arquivos de imagem, vídeo 
e áudio
Quem são as pessoas 
que tratam esses dados 
pessoais?
Colaboradores da área de 
Recursos Humanos
Equipe de Marketing
Assistentes
Recepcionistas
Colaboradores
Advogados
Prestadores de serviços
Fornecedores
www.atheniense.com
28 LGPD PAR A EMPRESA S
9. Mapear os fatores de risco e 
executar um plano de ação imediato
Depois de compreender a lógica de circulação dos dados pela empresa, 
chega a hora de mapear os riscos e definir as providências a ser toma-
das. Aqui, a noção de risco está associada, especialmente, às chances 
de uma informação vazar, ou de ser conhecida por quem não deveria. 
Existem vários fatores de riscos, que normalmente giram em torno de 
quatro pontos:
9.1. Equipamentos e sistemas
A rede, computadores e demais equipamentos estão protegidos ade-
quadamente com firewall, armazenamento em nuvem e outros dispo-
sitivos de segurança? Aqui, naturalmente, o nível de segurança exigido 
varia de empresa para empresa. Porém, é consenso entre especialistas 
que, hoje, nenhuma empresa deve prescindir de algum nível de prote-
ção envolvendo uso de softwares que propiciem maior controle sobre 
os riscos de segurança da informação e tratamento de dados pessoais 
para repelir invasões, antivírus e manutenção periódica dos equipa-
mentos e atualização de softwares. É extremamente recomendável a 
contratação de profissional especializado, que poderá sugerir um nível 
de segurança adequado.
9.2. Políticas e procedimentos
Um dos aspectos mais importantes da LGPD é quanto à exigência de 
se manter registros escritos, trilhas para auditoria e procedimentos 
operacionais claros. Começa do nível mais básico, como a adoção de 
critérios para geração de senhas seguras e outros procedimentos. Por 
exemplo: o que uma recepcionista deve fazer se receber, por engano, 
informações de um cliente? Onde deve ser mantido um arquivo de no-
tas tomadas em uma reunião? Que informações devem ser destruídas? 
Além disso, as escritórios deverão produzir ou revisar seus próprios 
www.atheniense.com
29LGPD PAR A EMPRESA S
termos de procedimentos operacionais para obter consentimento para 
uso de dados pessoais. No caso das empresas com seus colaboradores, 
o recomendado é anexar e formalizar o termo de consentimento ao 
contrato de trabalho. O importante é identificar as várias situações em 
que os dados pessoais circulam para tomar as medidas adequadas.
9.3. Pessoas
As pessoas são os elos mais frágeis de uma cadeia de segurança. A 
melhor forma de lidar com isso é mantê-las devidamente informadas 
sobre os procedimentos, treinadas para lidar com eles e sistematica-
mente avaliadas. A LGPD é extremamente exigente em relação a es-
ses pontos. Mais do que um sistema de direitos e responsabilidades, a 
LGPD quer estimular o desenvolvimento de uma cultura de proteção 
de dados pessoais e, por essa razão, valorizar a adoção de medidas nes-
se sentido, inclusive como critério para redução de eventuais punições. 
Por isso, é fundamental manter a equipe sempre treinada e informada 
a respeito.
9.4. Tipos de dados pessoais tratados
A lei define a existência de dados considerados sensíveis, que podem 
resultar em danos imediatos caso sejam divulgados. Eles requerem cui-
dados especiais e só podem ser solicitados para finalidadesespecíficas. 
Entre eles, dados sobre: origem racial ou étnica, convicção religiosa, 
opinião política, filiação a sindicato, filiação religiosa, sobre a saúde, 
sobre a vida sexual, dados genéticos, informações biométricas. O trata-
mento de dados de crianças e adolescentes requer cuidados especiais 
e só pode ser realizado com consentimento específico de responsável.
10. Implementar um registro de 
tratamento de dados, processos e sistemas
A lei determina a adoção de uma metodologia de data mapping que 
www.atheniense.com
30 LGPD PAR A EMPRESA S
consiste em manter registros da coleta até a exclusão em toda e qual-
quer atividade de tratamento de dados pessoais, indicando quais da-
dos serão coletados, a base legal que autoriza seu uso, às suas finali-
dades, o tempo de retenção, as práticas de segurança de informação 
implementadas no armazenamento, e com quem os dados podem ser 
eventualmente compartilhados. Ou seja, o trabalho consiste em deta-
lhar, organizar e manter registros dessas operações.
11. Verificações periódicas e treinamentos in 
company
A garantia de eficiência da efetivação e manutenção das mudanças e 
revisões operacionais demandam que a organização execute verifica-
ções periódicas de modo a assegurar sempre o menor risco jurídico 
quanto ao tratamento de dados pessoais. Essas auditorias visam man-
ter normas, processos e sistemas em nível adequado de conformidade 
com as leis de proteção de dados.
Capacitar e formalizar continuamente esta atividade com todos os co-
laboradores e fornecedores envolvidos com o tratamento de dados 
pessoais é indispensável para dar legitimidade a empresa em inciden-
tes e, sobretudo, para dar continuidade ao programa de governança 
digital corporativo.
9. A proteção de dados pessoais 
como pilar da Governança Digital 
Corporativa 
Além da proteção de dados pessoais, a gestão da Governança Digital 
Corporativa compreende outros três pilares essenciais para fechar um 
ciclo virtuoso: Segurança Cibernética, Reputação Digital e Compliance. 
A partir da nossa experiência profissional, inovamos ao criar o conceito 
www.atheniense.com
31LGPD PAR A EMPRESA S
de Governança Digital Corporativa para definir um serviço abrangente 
e de suma relevância estratégica para as empresas . Percebemos que 
tudo o que se lia sobre Governança Digital se conectava ao exercício 
exclusivo do Poder Estatal de exercer sua atividade de governar. Por 
outro lado, o termo Governança Corporativa não é novidade no meio 
empresarial, mas as práticas difundidas estavam essencialmente liga-
das ao mundo analógico. Ao percebermos essa lacuna, compreende-
mos a necessidade de levar ao mercado uma solução de consultoria 
jurídica contextualizada que se refere ao exercício do poder decisório 
corporativo no mundo digital mitigando os riscos envolvidos.
É necessário que o board mantenha sempre amplo controle sobre as 
atividades relacionadas ao tratamento de dados, pessoais ou não, se-
gurança cibernética, reputação digital e compliance do seu negócio in-
clusive nas plataformas digitais.
O exercício da governança não é uma tarefa isolada de qualquer área 
operacional da organização. É atribuição exclusiva do board, pois esse 
tem a necessidade de envolver-se com o tema e de ter agilidade na to-
mada de decisões para evitar que um fato se torne uma crise. 
Sabemos que o enfrentamento dos incidentes ocorre, em média, de 
forma tardia e desordenada. Com o advento da lei e a aplicação de 
penalidades pesadas, é mandatório que o poder diretivo se aproxime 
mais da área operacional e aprove as medidas corretivas necessárias 
para abreviar o tempo de resposta a fim de mitigar os riscos jurídicos 
envolvidos.
Quem governa deve continuamente exercer ou fiscalizar os mecanis-
mos de controle sobre todas as atividades da organização envolvendo 
tratamento de dados pessoais, segurança da informação, incidentes de 
reputação digital e compliance. Os eventuais ônus das sanções serão 
de sua exclusiva responsabilidade.
www.atheniense.com
32 LGPD PAR A EMPRESA S
SEGURANÇA
CIBERNÉTICA
REPUTAÇÃO 
DIGITAL
COMPLIANCE PROTEÇÃO DE DADOS
Em síntese, os pilares das governança digital corporativa são:
Segurança cibernética
São diversas medidas para avaliação de riscos operacionais e elabora-
ção de um plano de ação para suprir as lacunas jurídicas, sistêmicas e 
estratégicas quanto à segurança da informação tais como: elaboração 
ou revisão de regulamentação interna, obrigações legais, políticas e 
procedimentos internos quanto ao uso das informações digitais que 
revelem fatores de risco, análise e preservação de provas dos inciden-
tes em conformidade legal e a necessidade de adoção de medidas jurí-
dicas ou não, para enfrentamento de incidentes com a maior brevidade 
possível.
www.atheniense.com
33LGPD PAR A EMPRESA S
Reputação digital
O perfil de uma empresa no mundo digital não é construído apenas 
por informações que a própria organização divulgue a seu respeito. As 
informações ou comentários gerados por terceiros possuem também 
grande relevância e riscos. A internet guarda surpresas que precisam 
ser monitoradas e enfrentadas para que um fato não se transforme 
numa crise. Por este motivo, o contingenciamento de problemas para 
este assunto é mandatório. Será necessário definir atribuições como 
análise e preservação de provas em conformidade legal dos conteú-
dos impróprios gerados por terceiros como: comentários, críticas fal-
sas, fake news, perfis falsos e ataques ofensivos que forem divulgados 
publicamente, alcançando grande relevância nas pesquisas do Google 
e redes sociais. 
A possível remoção desses conteúdos, judicialmente ou não, ou a 
adoção de outras estratégias equivalentes, devem ser executadas na 
maior brevidade possível, pois os mesmos representam graves fatores 
de risco quanto à reputação da organização, de seus gestores ou cola-
boradores.
Compliance
Elaboração e implantação de um conjunto de medidas para fazer cum-
prir as normas legais, regulamentares e políticas, com a finalidade de 
evitar a aplicação de sanções anticorrupção, bem como, detectar e tra-
tar qualquer desvio ou desconformidade.
www.atheniense.com
34 LGPD PAR A EMPRESA S
10. Conclusão 
A LGPD é uma conquista da sociedade brasileira e coloca o Brasil num 
patamar alinhado com mais de cem países, onde se valoriza o respeito 
à privacidade. 
As empresas terão problemas para se adequar por conta própria. Por 
isso, dependendo da complexidade do tratamento de dados pessoais, 
será necessária a ajuda de profissionais especializados.
É chegada a hora de dar início nesta caminhada!
Bom trabalho.
Julho / 2019
www.atheniense.com
35LGPD PAR A EMPRESA S
FALE COM A GENTE
São Paulo . Belo Horizonte . Brasília
www.atheniense.com
facebook.com/alexandreathenienseadvogados
contato@alexandreatheniense.com.br
Av. Afonso Pena, 4273, 4º andar - Belo Horizonte, MG
Alexandre Atheniense é 
advogado formado pela 
Universidade Federal de 
Minas Gerais (UFMG), es-
pecializado em Internet 
Law na Berkman Center – 
Harvard Law School e só-
cio-fundador do Alexandre 
Atheniense Advogados.
Com experiência profissio-
nal de 32 anos é um dos 
precursores do Direito Di-
gital no Brasil. Possui vasta 
experiência acadêmica e 
institucional, tendo exer-
cido por oito anos (2002-
2010) a presidência da Co-
missão de Tecnologia da 
Informação da OAB Federal, representando a entidade na discussão de 
projetos de lei no Congresso Nacional sobre os temas relacionados a 
Tecnologia da Informação. Coordenador da Comissão de Direito Digital 
do CESA - Centro de Estudos das Sociedade de Advogados. Árbitro em 
questões relacionadas à Propriedade Intelectual e Tecnologia da Infor-
mação na Camarb, CAMINAS e ABPI e autor de diversas obras sobre 
Direito Digital no Brasil e noexterior.
www.atheniense.com
36 LGPD PAR A EMPRESA S
SÃO PAULO
Avenida Paulista 1079,
Torre João Salem, 8º andar 
São Paulo - SP
55 11 99901-8128
BELO HORIZONTE
Avenida Afonso Pena,
4273, 4º andar
Belo Horizonte - MG
55 31 3318-1414
BRASÍLIA
SCS, Quadra 09, Bloco C, 
Torre C, 10º andar
Comercial Sul, Brasília
55 61 99622-8128
30 anos
www.atheniense.com