[eBook] LGPD para Pequenas e Médias Empresas passo a passo para se adequar e evitar multas - Mais de 500 Materiais Gratuitos de Marketing e Vendas

Prévia do material em texto

EBOOK
[eBook] LGPD para Pequenas e
Médias Empresas: passo a passo
para se adequar e evitar multas
Con�ra tudo que precisa para �car em conformidade com a Lei,
além de conhecer o real impacto para as PMEs.
Entenda a importância da Segurança e da
Privacidade da Informação
Um estudo do Instituto Ponemon, realizado em 2019, sobre segurança global apontou que 63%
das PMEs sofreram algum tipo de incidente com vazamento de dados.
O mesmo estudo mostrou que o Brasil é o país mais propenso a sofrer violações de segurança,
com a taxa de risco de 43% de ser atacado, enquanto países como Alemanha e Austrália
apresentam riscos de 14% e 17% respectivamente.
Outro dado relevante, segundo pesquisa de 2019 da National Cyber Security Alliance, aponta que
25% das PMEs que sofreram ataques cibernéticos não conseguem continuar operando seus
negócios.
Apesar do cenário agitado e receoso diante da LGPD e suas exigências, investir em proteção de
dados pessoais é um assunto (e obrigação) que vem de longa data.
No Brasil, a temática teve abordagem em alguns marcos importantes, como veremos na linha do
tempo a seguir:
Esses marcos evidenciam que os temas proteção de dados pessoais e “privacidade” vêm
ganhando força, impulsionados pelas tecnologias emergentes que atuam diretamente com uma
grande massa de dados, muitas vezes, sem garantir a segurança e privacidade devidas.
Já do outro lado do continente, mais especi�camente na terra da Rainha Elisabeth, os grandes
escândalos contábeis da década de 80, provocaram uma forte discussão nos anos seguintes que
originou as teorias e os marcos regulatórios. Em 1992, foi publicado na Inglaterra o Relatório
Cadbury, considerado o primeiro código de boas práticas de governança corporativa.
O contexto sobre segurança da informação foi impulsionado com o objetivo de auxiliar as
companhias britânicas, que comercializavam produtos para segurança de Tecnologia da
Informação (TI) por meio da criação de critérios para avaliação da segurança.
Em 1995, o Department of Trade Centre (DTI) criou o Comercial Computer Security Centre (CCSC) e
lançou a norma British Standard 7799, tornando-se referência para empresas que precisam
aumentar a maturidade quanto à proteção do negócio, resiliência empresarial e segurança da
informação, assim resultando na devida proteção de dados pessoais e diminuição dos riscos para
[eBook] LGPD para Pequenas e Médias Empresas: pass... https://resultadosdigitais.com.br/materiais-educativos/...
1 of 15 08/02/2021 20:58
Mas qual a ligação dessas normas com a LGPD?
Atores no tratamento de dados pessoais
Classi�cando dados pessoais
investidores, acionistas e titular dos dados.
Nos anos seguintes, surgiram outras normas com o foco de proteger a informação e a
privacidade, sendo que a mais conhecida aqui no Brasil é a norma ISO/IEC 27001.
Para compreender a evolução da norma britânica que se tornou referência mundial con�ra a
cronologia das normas da família ISO/IEC 27000.
Agora con�ra abaixo a linha do tempo das normas de segurança e privacidade da informação:
A ligação dessas normas com a LGPD existe, visto que, em dezembro 2019, a ABNT – Associação
Brasileira de Normas Técnicas, lançou a norma NBR ISO/IEC 27701:2019 – Técnicas de
segurança — extensão da ABNT NBR ISO/IEC 27001 e ABNT NBR ISO/IEC 27002 para gestão da
privacidade da informação — requisitos e diretrizes.
Essa norma veio para endossar a implementação e a adequação da LGPD. E segundo Ariosto
Farias Júnior, Líder da Delegação do Brasil nas reuniões do ISO/IEC JTC 1/SC 27, membro do
Comitê responsável pela elaboração das normas ISO 27001, ISO 27002, ISO 27701 e demais
normas que apoiam a ISO 27701 e Relator do projeto NBR ISO/IEC 27701, a norma:
“Representa os anseios da sociedade, em decorrência do Regulamento Geral de Proteção de Dados
(General Data Protection Regulation) da União Europeia, como também da nossa Lei Geral de Proteção
de Dados Pessoais (LGPD)” (Fonte: abnt.org.br)
Não existe bala de prata para garantir privacidade e proteção de dados. O recomendado é seguir
as normas e as melhores práticas existentes para uma gestão de segurança da informação,
gestão de serviços de tecnologias e�ciente e investir na capacitação e educação em todos os
níveis organizacionais.
Adequar-se à LGPD é uma responsabilidade social e, ao mesmo tempo, um diferencial competitivo.
Em um contexto geral, a LGPD é uma lei que traz muitas obrigações que terão impacto direto em,
praticamente, qualquer empresa.
Vale ressaltar que ela não veio para impedir a coleta de dados pessoais, mas sim, de�nir
diretrizes de como esses dados são classi�cados, tratados, protegidos e usados. Con�ra abaixo
os termos mais importantes, de acordo com a LGPD:
Dados pessoais são quaisquer informações relacionadas à pessoa natural, identi�cada ou
identi�cável. Em suma, são informações sobre um determinado indivíduo, independentemente
de ser privada ou não, que sejam de conhecimento público ou sobre a sua vida pro�ssional.
Como qualquer informação pessoal, precisa – e deve – ser devidamente protegida. Informações
tais como: RG, CPF, endereço e data de nascimento levam consigo muitos valores fundamentais
para a manutenção da segurança e carecem de cuidados. Outros dados, como histórico de
compras, localização geográ�ca e preferências de consumo, também são considerados como
“pessoais”.
[eBook] LGPD para Pequenas e Médias Empresas: pass... https://resultadosdigitais.com.br/materiais-educativos/...
2 of 15 08/02/2021 20:58
Tipo de dados pessoais
Dados pessoais sensíveis
origem racial ou étnica;
convicção religiosa;
opinião política;
�liação a sindicato ou a organização de caráter religioso, �losó�co ou político;
referente à saúde ou à vida sexual, genética ou biometria.
Dados anonimizados
Banco de dados
Nome
E-mail não corporativo
Documentos: CPF, RG, CNH
Endereço residencial
Telefones residencial e celular
Posição geolocalização
Internet Protocol (IP)
Cookie / Log (IP + hora de acesso)
Hábito de navegação isolado
Conjunto de hábitos de navegação
Conjunto de características pessoais
Interesses e preferências
A LGPD não aborda qualquer proibição no uso dos dados pessoais, apenas determina um
rigoroso tratamento em sua proteção e exige transparência ao titular com o seu uso. Por isso,
re�etir sobre formas de utilização e criar uma rotina de controle mais adequada é imprescindível.
São os dados que possuem essas características:
É o dado relativo ao titular que não possa ser identi�cado, considerando a utilização de meios
técnicos razoáveis e disponíveis na ocasião de seu tratamento. Em regra, é quando uma pesquisa
de mercado aponta resultado de dados quantitativos, pois não identi�cam uma pessoa
especí�ca.
É o conjunto estruturado de dados pessoais estabelecidos, em um ou em vários locais, em
suporte eletrônico ou físico.
Exemplos de dados pessoais
[eBook] LGPD para Pequenas e Médias Empresas: pass... https://resultadosdigitais.com.br/materiais-educativos/...
3 of 15 08/02/2021 20:58
E-mail corporativo
Dados detidos por um hospital ou médico
o número de registo de empresa;
um endereço de correio eletrônico como info@empresa.com;
dados anonimizados.
Como saber se a empresa se enquadra na classi�cação de
PMEs
O que é preciso saber sobre a Lei GDPR e a LGPD
Exemplos de dados não considerados pessoais
Impactos da LGPD para as PMEs
É importante deixar um ponto muito claro aqui: a LGPD não faz diferenciação
de requisitos para empresas de diferentes portes.
Esse é um ponto diferente do GDPR (General Data Protection Regulation), que é o regulamento
sobre privacidade e proteção de dados pessoais aplicável a todos os indivíduos na União
Europeia. Lá a lei prevê que a ANPD poderá estipular regras diferentes para pequenas e médias
empresas.
De acordo com o Conselho Federal da Administração, as micros e as pequenas empresas
representam a maioria de todos os negócios formais do país. Elas são responsáveis por uma
grande fatia do faturamento de todas as empresas brasileiras, contratando mais da metadeda
mão de obra formal, ou seja, são importantes no cenário econômico do país.
Órgãos de serviços de apoio às PMEs, como o SEBRAE, estão atentos a esta realidade da LGPD e
buscam analisar um plano especial de adequação à nova lei para esta categoria que
enfrentará di�culdades maiores se considerarmos somente o capital que dispõem.
Com isto, se faz necessário diretrizes que corrijam essa desvantagem econômica e que dê
oportunidade de crescimento também para as pequenas e as médias empresas.
A classi�cação de uma PME está em consonância com a Lei Complementar n° 123, de 14 de
dezembro de 2006, conhecida como Lei Geral da Micro e Pequena Empresa. Con�ra tabela
abaixo:
Considerando que a LGDP fará aplicação de multas, sem fazer distinção de tamanho e de porte
das empresas, e que muitas PMEs são alvos bem fáceis para ataques cibernéticos, é importante
compreender a lei, assim como buscar formação especí�ca e iniciar a adequação o quanto antes.
As conexões entre a GDPR e a LGPD vão muito além das siglas com quatro letras. A GDPR é o
[eBook] LGPD para Pequenas e Médias Empresas: pass... https://resultadosdigitais.com.br/materiais-educativos/...
4 of 15 08/02/2021 20:58
Se existir oferta de bens e/ou serviços para indivíduos localizados na União Europeia;
Se existir monitoramento do comportamento de titulares de dados na União Europeia.
Suécia: lei 289 de 11 maio de 1973, o Datalegen;
Alemanha: desde 1977, a Alemanha tem uma lei federal de proteção de uso ilícito de dados
pessoais;
Dinamarca: regulamenta a questão da proteção de dados pelas Leis 243 e 244, ambas de 08
de julho de 1978, que estenderam a proteção também para as pessoas jurídicas;
França: tem a Lei 78-77, de 06 de janeiro de 1978;
Portugal: a Constituição de Portugal de 1977 tem texto ainda mais completo (Art. 35), pois
contempla a previsão do direito do cidadão de conhecer os dados que lhe são concernentes,
de que esses dados sejam utilizados de acordo com a �nalidade para o qual foram recolhidos
e, ainda, de reti�cá-los (em caso de erro) e de atualizá-los.
Diferenças entre LGPD e GDPR
O que acontece se minha PME não se adequar à LGPD?
regulamento europeu aplicável ao titular dados o direito sobre privacidade e proteção de dados
pessoais proposto em 2012, aprovado em abril de 2016, e está em vigor desde 25 de maio de
2018.
Já a LGPD foi sancionada pelo presidente Michel Temer, em 14 de agosto de 2018, e entrou em
vigor em setembro de 2020.
Entretanto, no mundo globalizado no qual vivemos, é viável que o GDPR se aplique aqui e a
brasileira em território internacional. A dualidade acontece porque ambas regem a captura, uso,
tratamento e proteção de dados, que extrapolam fronteiras físicas através da internet.
Em linhas gerais, a GDPR tem validade para empresas brasileiras nas seguintes condições:
É importante você saber que outros países saíram na frente e já contam com o princípio do
direito à privacidade há algum tempo, tais como:
O exemplo desses países aponta o pioneirismo da Europa no desenvolvimento da legislação que
visa a privacidade.
Como já deu para entender, tanto a LGPD quanto a GDPR podem impactar a operação da sua
empresa, então é importante entender melhor como os itens das leis se relacionam e se
referenciam. Con�ra a tabela abaixo com os principais itens.
A cronologia da temática da segurança e da privacidade da informação, mostra que não é de hoje
que existe essa discussão. As leis brasileiras e as leis de outros países possuem semelhanças,
mesmo com as culturas bem diferentes. Portanto, o mundo caminha para garantir mais
controle e proteção aos dados pessoais, visando ao titular a melhor transparência de uso do
que é seu por direito.
Já vimos que países da União Europeia, onde a GDPR é praticada, iniciaram as discussões há
décadas, como no Brasil com a LGPD, e mesmo assim países de primeiro mundo encontraram
di�culdades nas adaptações.
[eBook] LGPD para Pequenas e Médias Empresas: pass... https://resultadosdigitais.com.br/materiais-educativos/...
5 of 15 08/02/2021 20:58
Quando a lei não se aplica?
Um hospital responsável pelo processamento de grandes conjuntos de dados con�denciais;
Uma empresa de segurança que atua no monitoramento de shoppings e espaços públicos;
Uma pequena empresa de caça-talentos administradora de per�s de indivíduos.
Um médico da comunidade local que processa dados pessoais de seus pacientes;
Um pequeno escritório de advocacia que mantém informações pessoais de seus clientes.
Violações e Vazamentos de Dados Pessoais
Como a LGDP não faz diferenciação do porte de empresa, é preciso se adequar, mesmo que
ainda haja expectativas da ANPD editar normas, orientações e procedimentos simpli�cados e
diferenciados para as PMEs.
Quando observado os valores das multas, percebe-se a importância e a necessidade de reforçar
a representatividade e magnitude, tanto da LGPD quanto da GDPR.
Além da multa, também são previstas advertências, determinações de bloqueio ou eliminação
dos dados, suspensões totais ou parciais do banco de dados correspondente e outros no caso da
GDPR.
Existem exceções sobre a LGPD. Ela não se aplica para alguns casos no tratamento de dados.
Veja na íntegra o Artigo da lei:
Art. 4º Esta Lei não se aplica ao tratamento de dados pessoais:
I – Realizado por pessoa natural para �ns exclusivamente particulares e não econômicos;
II – Realizado para �ns exclusivamente:
a) jornalístico e artísticos; ou
b) acadêmicos, aplicando-se a esta hipótese os Art. s. 7º e 11 desta Lei;
III – Realizado para �ns exclusivos de:
a) segurança pública;
b) defesa nacional;
c) segurança do Estado; ou
d) atividades de investigação e repressão de infrações penais;
Já na União Europeia, a GDPR não se aplica em alguns casos, por exemplo, na nomeação de
, o Encarregado descrito na LGDP.DPO – Data Protection O�cer
Um DPO é obrigatório, por exemplo, quando sua empresa ou organização é:
Porém, o DPO deixa de ser obrigatório em alguns casos:
[eBook] LGPD para Pequenas e Médias Empresas: pass... https://resultadosdigitais.com.br/materiais-educativos/...
6 of 15 08/02/2021 20:58
Por onde começar?
Passo 1 – Entendimento do Negócio
Empresa nacional ou multinacional?
Porte: micro, pequena, média ou grande empresa?
Atividades exercidas: serviços ou produtos?
Assim como a GDPR, a LGPD obriga que o controlador comunique a ocorrência de incidentes de
segurança que possam trazer riscos ou afetar os titulares dos dados.
A primeira comunicação detalhada deve ser feita à ANPD, em prazo razoável a ser de�nido pela
autoridade. Dependendo da gravidade, a ANPD poderá indicar necessidade de divulgação
ampla do fato.
Diante de qualquer incidente sobre falha na segurança de dados, com possibilidades de danos
ou riscos aos titulares, é dever do controlador informar a ANPD e aos demais titulares dos dados.
A partir daí, o próprio órgão �ca responsável pela averiguação e a gravidade do caso. Cabe à
autoridade solicitar que o controlador divulgue amplamente o incidente nos meios de
comunicação ou tome providências para reverter ou mitigar os efeitos aos titulares.
Por meio de medidas técnicas e para impedir que terceiros não autorizados acessem os dados
envolvidos, o nível de gravidade do ocorrido deve considerar que os mesmos se encontram
ininteligíveis.
Em 2020, o mês de outubro foi um show de violação e vazamento de dados, porém uma empresa
teve destaque positivo frente a tantas notícias de ataques cibernéticos de sucesso. Essa empresa
foi a Prudential, empresa do segmento de seguros, que de maneira objetiva e clara relatou seu
incidente ao mercado e aos titulares dos dados.
Esse é um exemplo importante que pode servir de exemplo para as demais empresas que
sofrerem com algum incidente semelhante.
Boas práticas para entrar em
conformidade com a LGPD
Pensando que muitas PMEs podem estar na estaca zero da adequação, seja
por falta de recursos ou de conhecimento, preparamos uma seção de boas
práticas.
Já é importante �car claro que as mudanças elencadas aqui podem ser feitas dia adia, mesmo
que a empresa ainda não possua estrutura para iniciar uma adequação completa. Nossa
intenção é incentivar os pequenos empreendedores a começarem seu processo de adequação,
mesmo que não seja de forma tão acelerada.
Diante de tantas informações sobre a LGDP, existe uma certa urgência para qualquer empresa
iniciar o processo de adequação. Por isso, são sugeridos seis passos:
Independentemente da Lei, uma empresa precisa ter claro alguns pontos sobre sua própria
gestão:
[eBook] LGPD para Pequenas e Médias Empresas: pass... https://resultadosdigitais.com.br/materiais-educativos/...
7 of 15 08/02/2021 20:58
Regime sindical?
Quais são os outros órgãos reguladores?
Qual é o modelo de negócio?
Qual é o quadro de funcionários?
Qual é a relação com os prestadores de serviços?
E com os fornecedores?
Passo 2 – Conhecimento e Compreensão da Lei
Passo 3 – Entendimento dos Dados Coletados
Quais são os dados que eu coleto? Faz sentido coletar esse dado?
De qual categoria de pessoas? Menor de idade? Pessoa física ou jurídica?
Qual será a hipótese legal para o tratamento? (ver Art. 7 da Lei)
Em qual local? Armazenamento Físico (papel, pendrive, CD, etc) ou Armazenamento Digital
(Sistema, e-mail, redes sociais)?
Por que ele precisa ser guardado?
Por quanto tempo ele precisa/pode ser armazenado? Alguma legislação e regulamento a ser
seguido?
É possível anonimizá-lo?
O dado está sendo duplicado? Aqui é pensar em coisas simples, se uma �cha de cadastro foi
enviada por e-mail e foi impressa, o dado já foi duplicado.
Será transferido para país estrangeiro?
Em suma, conhecer bem o negócio e toda a sua atividade é um pilar fundamental no
processo de concepção e desenvolvimento das estratégias de gestão empresarial.
Todo processo de conscientização deve começar pela capacitação em fundamentos, conceitos e
práticas da LGPD. A empresa deve ter conhecimento e saber da importância e da aplicabilidade
ao negócio.
Como a LGPD afeta todos os setores, um efeito cascata poderá ocorrer. A empresa poderá, por
exemplo, ter que prestar contas de como faz o tratamento dos dados e, como consequência, terá
que cobrar isso de um fornecedor que atue no processo de onde o dado é processado.
Portanto, toda a capacitação sobre a Lei é o passo primordial para disseminar o conhecimento
para a adequação das diretrizes.
Quando se tem o entendimento completo de uma gestão empresarial e a compreensão da lei,
�ca mais fácil entender quais dados circulam pela empresa. Para isso, é fundamental que se
tenha uma documentação dos mapeamentos dos processos com a classi�cação dos dados
pessoais.
Para entender melhor o que se deve saber, con�ra o roteiro de questionamento que auxiliará
na jornada de adequação à LGPD:
[eBook] LGPD para Pequenas e Médias Empresas: pass... https://resultadosdigitais.com.br/materiais-educativos/...
8 of 15 08/02/2021 20:58
Passo 4 – Fases dos Ciclos de Tratamento dos Dados
Passo 5 – Elaboração e Revisão de Contratos, Políticas e Termos
Passo 6 – Nomeação de um encarregado de Proteção de Dados
1. Aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar
providências;
2. Receber comunicações da autoridade nacional e adotar providências;
3. Orientar os funcionários e os contratados da entidade a respeito das práticas a serem
tomadas em relação à proteção de dados pessoais; e
4. Executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas
complementares.
Segurança integrada é uma boa governança de dados
Esses questionamentos são imprescindíveis para garantir o controle e proteção dos dados. E o
mais importante: deve ser de ciência de todos os colaboradores.
Uma das atividades mais importantes é entender as fases de tratamento dos dados. Esse ciclo é
composto pelo Art. 5 X da lei.
A operação de tratamento “acesso” (LGPD, Art. 5º, X) está presente em todas as fases do ciclo de
vida dos dados pessoais, pois de alguma forma temos que realizar acesso ao dado pessoal para
viabilizar sua coleta, retenção, processamento, compartilhamento ou eliminação.
Documentar diretrizes, normas, procedimentos e políticas é de suma importância para uma
gestão e�ciente. Para aqueles que têm esse costume, será necessário fazer ajustes para
contemplar os objetivos da LGPD. Para aqueles que não possuem, nada melhor que começar
agora.
Documentos como contratos, seja de prestação de serviço com fornecedores e clientes, de
trabalho CLT ou autônomo, entre outros, deverão conter ajustes em consonância com a lei.
No Art. 41 são descritas as atividades que um encarregado deverá cumprir. Portanto a nomeação
é para todos os tipos de empresas e as atividades que o encarregado tem como responsabilidade
são:
A ANPD poderá estabelecer ajustes nas atribuições do encarregado. Há muitas expectativas e
especulações sobre a dispensa da nomeação de encarregado dos dados nas PMEs.
O apoio, o engajamento e o envolvimento da Alta Administração são fundamentais e
representam a diferença entre o sucesso e o fracasso da adequação. Deve �car claro que todos
na organização são responsáveis, pois é uma nova forma de entender e lidar com dados
pessoais.
Deve haver uma boa sinergia e entrosamento entre os departamentos de TI, Marketing, Vendas e
Relacionamento para que tudo ocorra da melhor forma.
Como uma parcela signi�cativa da captação e utilização de dados do usuário se encontra no
[eBook] LGPD para Pequenas e Médias Empresas: pass... https://resultadosdigitais.com.br/materiais-educativos/...
9 of 15 08/02/2021 20:58
Os 10 princípios da LGPD
1. PRINCÍPIO DA FINALIDADE: quais dados estão na base? Por que e de qual forma serão
tratados?
2. PRINCÍPIO DA ADEQUAÇÃO: a utilização dos dados está compatível com a �nalidade em
curso?
3. PRINCÍPIO DA NECESSIDADE: é realmente relevante tratar esses dados para a �nalidade que
quero?
4. PRINCÍPIO DA TRANSPARÊNCIA: como garantir que os dados sejam exatos?
5. PRINCÍPIO DA NÃO DISCRIMINAÇÃO: como informar os processos realizados com os dados?
6. PRINCÍPIO DA SEGURANÇA: existem processos técnicos adequados para manter a proteção
dos dados?
7. PRINCÍPIO DA PREVENÇÃO: há medidas preventivas para que os dados seguros sejam
mantidos em plena segurança?
8. PRINCÍPIO DA RESPONSABILIZAÇÃO E PRESTAÇÃO DE CONTAS: de que forma podemos
conscientizar sobre a importância da privacidade?
9. PRINCÍPIO DO LIVRE ACESSO: é possível comprovar à agência e ao titular estar aderente à
Lei?
Marketing, Vendas e Relacionamento com os clientes (ou seja, comunicação, cadastros,
relacionamento etc.), a plena integração do departamento de TI se torna fundamental.
Na prática, Tecnologia da Informação (TI) ou Tecnologia da Informação e Comunicação (TIC) são
os maiores atores nesse trabalho e o mapeamento irá exigir muitas informações coletadas
com tecnologias, reuniões e entrevistas, portanto, prepare seu time e parceiros para essas
interações.
A cada ação de Marketing Digital, por exemplo, é importante que a TI revise os procedimentos
de proteção de dados dos usuários. O mesmo deve ocorrer com outros departamentos que
utilizam essas informações (no caso de vendas, por exemplo). Todos devem estar alinhados para
contemplar as diretrizes da LGPD e, assim, se bene�ciar com a integração junto ao departamento
de tecnologia.
Para uma lei, os princípios são seus nortes. São muito mais que simples regras, a�nal os
princípios estabelecem algumas limitações, fornecem diretrizes e tem como objetivo possibilitar a
correta compreensão e interpretação da lei em questão.
Na LGPD esses princípios foram elencados e é bom ter ciência deles:
[eBook] LGPD para Pequenas e Médias Empresas: pass... https://resultadosdigitais.com.br/materiais-educativos/...
10 of 15 08/02/2021 20:58
10. PRINCÍPIO DA QUALIDADE DOS DADOS: como garantir a consulta dos dados aos titulares?
Dicas de uma boa relação com o titular dos dados
1. Implemente recursos visuais
2. Políticas de privacidade acessíveis
3. Titular deve estar no comando
4. Gerenciamento de dados
Vamos exempli�cara situação de uma compra de medicamentos ou itens de farmácia. É uma
prática comum no Brasil ser solicitado o CPF e outros dados na hora de realizar o pagamento ou
até mesmo para a consulta do produto com o farmacêutico, não é mesmo? Então vamos analisar
as seguintes situações:
Situação 1: para iniciar o processo de pagamento o operador do caixa solicitar, imediatamente, o
CPF, convênio médico ou outros dados para que descontos sejam liberados e a compra
�nalizada. Nesse caso, é necessário que seja noti�cado como os dados coletados serão utilizados
para envio de ofertas e análise do per�l de consumo do usuário.
Situação 2: ao comprar medicamentos controlados, os dados (CPF, RG, número de telefone,
endereço e outros) devem ser, obrigatoriamente, enviados para o SNGPC (Sistema Nacional de
Gerenciamento de Produtos Controlados), que é controlado pela AVISA. Todo esse processo de
envio, armazenamento e compartilhamento de dados deve �car claro para o cliente.
Situação 3: muitas redes de drogarias são dirigidas por uma única empresa matriz e, dessa
forma, compartilham entre si dados em até diferentes estados do Brasil. Esse tipo de informação
também deve ser noti�cado ao cliente quando o CPF é fornecido.
Vale reforçar que não é necessário fornecer esses dados caso a emissão da Nota Fiscal Paulista,
por exemplo, seja negada pelo cliente.
Por isso, é muito importante colocar em prática os princípios previstos na lei e as demais práticas
aplicadas ao ramo de negócios.
A con�ança se consegue através de uma boa comunicação e transparência, ou seja, quanto mais
visual e acessível estiver a informação de como faz o tratamento do dado, mais preparada a
empresa estará. Con�ra dicas fáceis de implementar:
Deixe acessível como é feita a coleta e o tratamento dos dados do cliente. Isto gera uma ótima
experiência da parte do usuário. Portanto, use e abuse de imagens, tabelas, vídeos e infográ�cos
pelo estabelecimento ou site da empresa.
Seja claro, objetivo e mantenha com fácil acesso às informações, políticas e termos em suas
redes sociais e website. Destaque, se necessário, para que o consumidor tenha facilidade em e
encontrá-las.
O titular deve poder optar em concordar ou não com o fornecimento dos dados pessoais, desde
que possível e não obrigatório, mediante outras leis e regulamentações. Portanto, evite coletar
dados excessivos. É recomendável esclarecer o motivo da solicitação dos dados.
Por meio das tecnologias é possível deixar o titular escolher a forma que os seus dados serão
[eBook] LGPD para Pequenas e Médias Empresas: pass... https://resultadosdigitais.com.br/materiais-educativos/...
11 of 15 08/02/2021 20:58
5. Disponibilidade para o titular
6. Política de descarte dos dados
7 etapas para a criação do DPIA
1. Identi�cação da necessidade de um RIPDP
usados. Uma prática já comum é quando você recebe e-mails promocionais.
Conseguir efetuar o cancelamento desses e-mails apenas clicando na opção de descadastrar-se
no �nal da mensagem é um diferencial para o cliente, a�nal, ele precisa ter o direito de escolha.
Essa prática deve ser ampliada para gerenciamento dos dados por parte do titular.
O exercício dos direitos dos titulares deve ser simpli�cado. Portanto, investir na criação de um
canal de atendimento aos titulares para esclarecimento de dúvidas sobre temas variados é
sempre uma boa opção. Para uma PME, por exemplo, pode-se criar o espaço Perguntas e
Repostas, como um FAQ.
Dados também tem um prazo de validade. É necessário que, com certa periodicidade, seja
avaliada a necessidade de continuar armazenando determinados dados e se eles ainda são úteis
e cumprem com algum propósito. Estabelecer prazos internos para determinar o tempo de
permanência dos dados na empresa é uma boa prática.
Passo a passo para a adequação
Após entender todos os aspectos, impactos e pontos de atenção com a LGPD,
é preciso colocar a mão na massa e se adequar de verdade, o quanto antes.
O desa�o envolve muito trabalho e paciência, pois a jornada inclui etapas que geram mudanças
signi�cativas na cultura e comportamento dos colaboradores, desde o diagnóstico, mapeamento
de dados, implantação de controles e ações de conscientização.
Um instrumento essencial e muito importante nessa fase é o RIPDP – Relatório de Impacto à
Proteção de Dados Pessoais, também conhecido como DPIA (
). Esse instrumento é utilizado pelo controlador e é fundamental em situações onde
o tratamento de dados pessoais gere algum risco à liberdade civil e aos direitos fundamentais
dos titulares. Resumidamente, ele é uma ferramenta que identi�ca e destaca os mecanismos de
mitigação de riscos.
Data Protection Impact
Assessment
O uso dessa ferramenta ainda é envolto de algumas polêmicas e as orientações da ANPD são
aguardadas, porém é recomendável adotar uma postura proativa e já garantir uma estruturação
de RIPDP.
Elaboração de um Relatório de Impacto à Proteção de Dados Pessoais (RIPDP)
A lei não informa nenhum passo a passo para essa elaboração, porém uma adaptação do
modelo de Avaliação do Impacto da Privacidade (PIA), do Information Commissioner’s O�cer (ICO),
é uma ótima maneira de criar o documento.
Conheça o passo a passo necessário para o desenvolvimento do DPIA.
Para conduzir um relatório da melhor forma possível é necessária uma ação planejada e quanto
mais rápido ele for iniciado, melhor. Isso facilitará muito o andamento para que a organização se
prepare e se organize, além de incorporar as medidas para identi�car riscos durante o
[eBook] LGPD para Pequenas e Médias Empresas: pass... https://resultadosdigitais.com.br/materiais-educativos/...
12 of 15 08/02/2021 20:58
Quando o tratamento de dados pessoais tiver como fundamento o interesse legítimo do
Controlador. (Art. 10º, II, § 3º, LGPD);
Quando o tratamento de dados pessoais gerar riscos às liberdades civis e aos direitos
fundamentais dos titulares. (Art. 5º, XVII, LGPD);
Quando ocorrer o tratamento de dados pessoais sensíveis, especialmente em grandes
volumes. (Art. 38º, LGPD);
Quando o tratamento for relativo a dados pessoais provenientes de fora do território
nacional e que não sejam objeto de comunicação, no uso compartilhado de dados com
agentes de tratamento brasileiros ou objeto de transferência internacional de dados com
outro país que não o de proveniência. (Art. 4º, IV, § 3º, LGPD).
2. Descrever o tratamento dos dados pessoais
3. Realização de consultas
4. Avaliar a necessidade e proporcionalidade
5. Identi�car e avaliar riscos
6. Identi�car medidas para tratar o risco
tratamento de dados pessoais.
É importante lembrar que um RIPDP passa a ser obrigatório em casos especí�cos, como
situações em que o tratamento de dados pessoais resulte em um alto risco para os direitos e
liberdades dos titulares. A LGPD menciona condições básicas referentes à necessidade do
documento:
Após garantir a necessidade do relatório, é necessário descrever todo o processo e tipo de
tratamento que será realizado com esses dados.
Nessa etapa, os detalhes sobre as informações internas, operações e tratamentos dos dados
serão detalhados. Ou seja, coleta, armazenamento, descarte e, inclusive, o desenho do �uxo dos
dados pessoais nos processos de negócios precisam serem descritos.
Consultar todas as partes interessadas no tratamento dos dados pessoais é necessário e muito
importante. Em algumas situações pode ser preciso descrever e coletar opiniões dos titulares e
entender se o processo contou com a participação de especialistas em segurança da informação.
É indispensável que conste no relatório qual a sua base legal para o tratamento de dados
pessoais ou de que forma a organização garantirá a qualidade e a minimização dos dados. Logo,
os requisitos de necessidade e proporcionalidade devem ser levados em conta.
O grande objetivo do Relatório de Impacto à Proteção de Dados Pessoais é compreender e
reduzir os riscos envolvidos no tratamento. Para isso, é necessária uma visão clara de todas as
vulnerabilidades do tratamento dos dados pessoais. Esses riscos devem sercatalogados com
indicadores de gravidade sobre qualquer impacto negativo sobre os direitos e liberdades
individuais.
Após a catalogação dos riscos, é necessário identi�car como eles serão controlados, reduzidos ou
eliminados. A organização deve de�nir as soluções e ações para mitigar, evitar, transferir ou
aceitar os riscos. O objetivo dessa etapa é reduzir ao máximo os impactos negativos.
[eBook] LGPD para Pequenas e Médias Empresas: pass... https://resultadosdigitais.com.br/materiais-educativos/...
13 of 15 08/02/2021 20:58
7. Assinar e registar os resultados do RIPDP
diagnósticos;
mapeamento de dados;
implantação de controles;
ações de conscientização;
mudanças culturais corporativa.
Após a decisão do processo de tomada dos riscos, é fundamental que um registro dos resultados
do relatório de impacto seja criado e assinado pelos responsáveis mencionados.
Com isto, o mais indicado é adotar uma abordagem proativa e focada em padronizar os
processos da proteção dos dados pessoais. Importante: integre as soluções de proteção de
dados ao projeto para garantir que os resultados DPIA, como os controles de segurança, por
exemplo, estejam integrados ao seu projeto.
Revise e revisite o DPIA quando necessário, especialmente nos casos em que houver uma
mudança signi�cativa de projeto.
Agora que você já está por dentro do que é a LGPD, seus termos, impactos, benefícios e pontos
de atenção, é hora de mãos à obra. Não faltam desa�os para as empresas que precisam cumprir
�elmente a lei. Garantir a conformidade com a LGPD passa por incluir o respeito, tanto aos
princípios fundamentais da proteção de dados pessoais como aos direitos dos titulares.
Em alguns casos, pode ser uma longa jornada, que inclui:
Entre outros pontos da LGPD, o Relatório de Impacto à Proteção de Dados Pessoais (RIPDP) se
destaca como o instrumento usado pelo controlador em situações onde o tratamento de
dados pessoais possa gerar riscos às liberdades civis e aos direitos fundamentais dos
titulares. Ou seja, servindo como uma ferramenta para identi�car medidas e demais
mecanismos de mitigação de riscos.
Conclusão
No geral, os critérios de consentimento e utilidade são bases cruciais para
não descumprir a lei.
Assim sendo, se o um negócio usa táticas escusas, as implicações legais se tornarão um desa�o
signi�cativo e permanente com a vigência da lei. Compra ou uso, não autorizados, de mailings e
ausência de controle sobre a gestão de dados pessoais dos públicos internos e externos deverão
ser evitados.
Em outras palavras, se sua empresa acredita que gestão de riscos é exclusividade de grandes
empresas, podem existir problemas. Adequar-se dentro do prazo e gerenciar o negócio em
conformidade com aquilo que a LGPD exige é complexo, mas viável e alcançável.
Para isso, conte com um parceiro especializado que possa auxiliar na transição e na continuidade
de uma gestão apropriada. Se sua empresa necessita de suporte, a Daryus Consultoria possui
expertise e experiência em Segurança da Informação, Governança e Gestão de Riscos, atributos
mais do que oportunos para o contexto atual e para as projeções da Lei Geral de Proteção de
Dados.
[eBook] LGPD para Pequenas e Médias Empresas: pass... https://resultadosdigitais.com.br/materiais-educativos/...
14 of 15 08/02/2021 20:58
E para conseguir garantir tudo que é necessário para �car em conformidade nas áreas de Marketing e
Vendas, você pode contar com os recursos do RD Station focados em LGPD. Temos times de
Produto e Engenharia focados em mudanças e melhorias relacionadas à privacidade e proteção de
dados nos dois produtos: RD Station Marketing e RD Station CRM.
Desejamos todo o sucesso nas suas ações!
[eBook] LGPD para Pequenas e Médias Empresas: pass... https://resultadosdigitais.com.br/materiais-educativos/...
15 of 15 08/02/2021 20:58