LGPD- Sebrae

Prévia do material em texto

SUMÁRIO
Introdução.............................................................................................................
Conhecendo a LGPD...........................................................................................
Você sabe o que é a LGPD e como ela afeta o seu dia a dia
pessoal e profissional?...........................................................................................
Importância dos dados..........................................................................................
Mas, afinal, o que é a LGPD e para que serve a proteção de dados?.........
Objetivo da LGPD...................................................................................................
Casos que não se aplicam à LGPD.....................................................................
Dados pessoais e dados pessoais sensíveis......................................................
Dados pessoais de crianças e adolescentes....................................................
Quais são os casos em que o tratamento de dados é permitido?............... 
Em quais casos não é necessário consentimento do titular?........................
A LGPD nas empresas ........................................................................................
Como você preserva a integridade das informações da sua empresa.........
e os dados dos seus clientes?............................................................................... 
Principais danos provocados por vazamento de dados..................................
Integridade e confidencialidade .........................................................................
Mas o que os especialistas recomendam para a conformidade 
com a LGPD?........................................................................................................... 
O que tenho que fazer para me adequar à LGPD?......................................... 
Quem vai fiscalizar a LGPD? ...............................................................................
Boas práticas........................................................................................................ 
O que a minha empresa pode fazer para começar a......................................
cumprir a LGPD?.................................................................................................... 
Compliance como responsável pela adequação das...................................... 
organizações à LGPD.............................................................................................
03
04
05
06
07
09
10
11
12
13
15
16
17
17
18
18
19
19
20
21
21
22
23
24
Se você é uma pessoa conectada, certamente já leu algo sobre a Lei Geral 
de Proteção de Dados, a LGPD. Mas, você sabe exatamente como ela fun-
ciona, quais são suas diretrizes e os impactos da sua implementação? Neste 
e-book, você descobrirá como a LGPD mudará a maneira de as empresas 
lidarem com dados pessoais. 
Boa leitura!
01
02
Conhecendo a LGPD
Você sabe o que é a LGPD e como ela afeta o seu dia a 
dia pessoal e profissional?
“Dados são o novo petróleo, exceto por um pequeno detalhe.”
AJAY BANGA, CEO GLOBAL DA MASTERCARD.
Atualmente, uma das maiores riquezas das organizações são os seus dados, 
que muitas vezes são utilizados com papel estratégico nos negócios. 
As novas tecnologias como Internet das Coisas, Aprendizado das Máqui-
nas e Inteligência Artificial já são sistemas que aprendem sozinhos com 
a coleta, a análise e a comparação dos dados, transformando-os em in-
formações e conhecimento valioso na competitividade do mercado.
Importância dos dados
Números de Ataques Cibernéticos 
Um dos principais motivos para o surgimento de leis de proteção de dados 
é o crescente volume de ataques cibernéticos às organizações. Veja a se-
guir alguns números.
02
COMO USAR O PODER DE COMPRA DO 
ESTADO PARA FOMENTO ÀS MPES
0303
Conforme dados reportados ao CERT.br, foram 875.327 incidentes de 
Tecnologia da Informação (TI) em 2019.
De acordo com o Internet Security Thread Report de fevereiro de 2019, 
houve um aumento de 56% de ataques web.
De acordo com o website Information is Beautiful, abaixo estão (em in-
glês) as maiores violações e hackeamento de dados do mundo.
Mas, afinal, o que é a LGPD e para que serve a proteção 
de dados?
A Lei Geral de Proteção de Dados é a Lei nº 13.709, aprovada em agosto 
de 2018 no Brasil. Ela cria normas para a coleta e o tratamento de dados 
pelas empresas. Seu objetivo é assegurar a privacidade e a proteção de 
dados pessoais e promover a transparência na relação entre pessoas físicas 
e jurídicas. 
A LGPD aplica-se a qualquer pessoa natural ou jurídica de direito público 
ou privada, que realize tratamento de dados pessoais, ou seja, que exerça 
atividade em que se utilizem dados pessoais (coleta, armazenamento, com-
partilhamento, exclusão) em meio digital e físico. 
Essa lei é extremante abrangente incluindo a maior parte das atividades e 
dos projetos do cotidiano das organizações, envolvendo diversos processos 
como:
• Compliance
• Desenvolvimento de Softwares
• Direito
• Financeiro
• Gestão de Produtos
• Inteligência de Mercado
• Recursos Humanos
• Serviço de Atendimento ao Cliente (SAC)
Objetivo da LGPD
A LGPD tem como intuito proteger os direitos fundamentais de liberdade 
e de privacidade e a livre formação de cada indivíduo. Traz alinhamento 
ao tratamento de dados feito por pessoa física ou jurídica de direito públi-
co ou privado e engloba um amplo conjunto de operações efetuadas em 
meios físicos e digitais. 
Por meio dela, as empresas passam a seguir os fundamentos listados abai-
xo para realizarem o tratamento dos dados pessoais.
• Respeito à privacidade
• Direitos humanos, o livre desenvolvimento da personalidade
• Autonomia, livre concorrência e a defesa do consumidor
• Desenvolvimento econômico, tecnológico e inovador
• Inviolabilidade da intimidade, da honra e da imagem
• Liberdade de expressão, de informação, de comunicação e de opinião
• Autodeterminação informativa
• Dignidade e o exercício da cidadania pelas pessoas naturais
04
02
Saiba que, apesar de ampla, a LGPD também tem exceções. Acompanhe a 
seguir. 
Casos que não se aplicam à LGPD
A LGPD não se aplica ao tratamento de dados pessoais, quando:
• Realizado por pessoa natural para fins exclusivamente particulares e não 
econômicos.
• Realizado para fins exclusivamente:
a) jornalístico e artísticos;
b) acadêmicos.
• Realizado para fins exclusivos de:
a) segurança pública;
b) defesa nacional;
c) segurança do Estado;
d) atividades de investigação e repressão de infrações penais.
• Provenientes de fora do território nacional.
Mas o que são os dados pessoais, objeto da proteção da LGPD? Saiba mais 
adiante. 
Dados pessoais e dados pessoais sensíveis 
Dados Pessoais
De acordo com a LGPD, dados pessoais são qualquer informação que di-
recione à identificação de uma pessoa, direta ou indiretamente. O mesmo 
pode ser diferenciado como Identificada e Identificável, como demonstra o 
exemplo abaixo.
05
Dados pessoais sensíveis 
São informações relacionadas à pessoa natural identificada ou identificá-
vel, que pode gerar qualquer tipo de discriminação. Sendo elas:
• origem racial ou étnica;
• convicção religiosa ou filosófica; 
• opinião política; 
• filiação sindical ou à organização de caráter religioso; 
• orientação sexual; 
• histórico criminal; 
• dado referente à saúde; 
• dado genético ou biométrico, quando vinculado a uma pessoa natural.
Dados pessoais de crianças e adolescentes 
Caso a sua empresa, por meio de produtos ou serviços, faça o tratamen-
to de dados pessoais de crianças e de adolescentes, siga atentamente a 
LGPD. 
• Crianças - até 12 anos de idade
• Adolescentes - 13 a 17 anos de idade
06
0207
§ 1o - O tratamento de dados pessoais de crianças deverá ser realizado 
com o consentimento específico e em destaque dado por pelo menos um 
dos pais ou pelo responsável legal. (LGPD, Art. 14). 
Para ajudá-lo a compreender melhor o que é otratamento de dados, ação 
que será muito discutida neste curso, preparamos um exemplo. Acompa-
nhe!
Como você pôde ver através da animação, o tratamento de dados consiste 
em toda ação realizada pelos agentes de tratamento com dados pessoais. 
Na maioria dos casos, é preciso de permissão (consentimento do titular) 
para esse tratamento. Mas nem sempre isso é necessário. Veja as explica-
ções adiante.
Quais são os casos em que o tratamento de dados é permitido?
O tratamento de dados pessoais somente poderá ser realizado:
• mediante o fornecimento de consentimento pelo titular;
• para o cumprimento de obrigação legal ou regulatória pelo Controlador;
• pela administração pública, para o tratamento e uso compartilhado de 
dados necessários à execução de políticas públicas;
• para a realização de estudos por órgão de pesquisa;
• quando necessário para a execução de contratos;
• para o exercício regular de direitos em processo judicial, administrativo 
ou arbitral;
• para a proteção da vida ou da incolumidade física do titular ou de ter-
ceiro;
• para a tutela da saúde, exclusivamente, em procedimento realizado por 
profissionais de saúde, serviços de saúde ou autoridade sanitária;
• quando necessário para atender aos interesses legítimos do Controlador 
ou de terceiro;
• para a proteção do crédito. 
Em quais casos não é necessário consentimento do titular?
Em situações excepcionais, quando houver interesse público ou riscos à 
vida e à saúde de terceiros, o tratamento de dados poderá ocorrer sem o 
consentimento do titular, como por exemplo, em alguns dos casos men-
cionados acima: cumprimento à obrigação legal ou determinação judicial; 
exercício regular de direitos em processos judiciais ou administrativos; en-
tre outros. 
Recomendamos que você consulte a íntegra da Lei e leia-a atentamente. 
http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm
Por isso, a LGPD traz 10 princípios que devem ser observados no tratamen-
to de dados pessoais pelas organizações. Acompanhe a seguir.
Finalidade 
Realização do tratamento para propósitos legítimos, específicos, explíci-
tos e informados ao titular, sem possibilidade de tratamento posterior de 
forma incompatível comessas finalidades; 
Adequação 
Compatibilidade do tratamento com as finalidades informadas ao titular, 
de acordo com o contexto do tratamento; 
Necessidade
Limitação do tratamento ao mínimo necessário para a realização de suas 
finalidades, com abrangência dos dados pertinentes, proporcionais e não 
excessivos em relação às finalidades do tratamento de dados;
Livre acesso 
Garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a 
duração do tratamento, bem como sobre a integralidade de seus dados 
pessoais;
08
0209
Qualidade dos dados 
Garantia, aos titulares, de exatidão, clareza, relevância e atualização dos 
dados, de acordo com a necessidade e para o cumprimento da finalidade 
de seu tratamento; 
Transparência 
Garantia, aos titulares, de informações claras, precisas e facilmente aces-
síveis sobre a realização do tratamento e os respectivos agentes de trata-
mento, observados os segredos comercial e industrial; 
Segurança 
Utilização de medidas técnicas e administrativas aptas a proteger os dados 
pessoais de acessos não autorizados e de situações acidentais ou ilícitas de 
destruição, perda, alteração, comunicação ou difusão; 
Prevenção 
Adoção de medidas para prevenir a ocorrência de danos em virtude do tra-
tamento de dados pessoais; 
Não discriminação 
Impossibilidade de realização do tratamento para fins discriminatórios ilíci-
tos ou abusivos; 
Responsabilização e prestação de contas 
Demonstração, pelo agente, da adoção de medidas eficazes e capazes de 
comprovar a observância e o cumprimento das normas de proteção de da-
dos pessoais e, inclusive, da eficácia dessas medidas.
 
Em situações excepcionais, quando houver interesse público ou riscos à 
vida e à saúde de terceiros, o tratamento de dados poderá ocorrer sem o 
consentimento do titular, como por exemplo, em alguns dos casos menCo-
mo você preserva a integridade das informações da sua empresa e os dados 
dos seus clientes? 
Vazamento de dados: um problema que pode se tornar irreparável!
Nos últimos 10 anos, foram confirmados vários casos de vazamento de da-
dos no mundo, coincidindo com o aumento vertiginoso da disponibilização 
de dados pessoais na web e nos servidores. Com as pessoas conectadas 
24 horas por dia, cresceu o desejo dos criminosos virtuais de ter acesso a 
essas informações valiosíssimas. Abaixo, listamos alguns casos famosos de 
violação de dados. Confira!
UBER
Uma das empresas de aluguel de carros mais populares no mundo, a Uber, 
não escapou de ver os dados de seus usuários e motoristas sendo rou-
bados por criminosos virtuais. O caso aconteceu em 2016 e foi revelado 
em 2017. No total, estima-se que dados de 57 milhões de pessoas, entre 
usuários e motoristas, foram vazados — nome, e-mail, telefone, números de 
cartão e diversas outras informações pessoais.
FACEBOOK 
Com bilhões de usuários no mundo e uma produção de dados quase que 
imensurável, o Facebook se envolveu em um escândalo que ultrapassa a 
esfera digital. Ele envolveu a consultoria de marketing digital britânica Cam-
bridge Analytica e afetou mais de 50 milhões de contas mundo afora.
10
A LGPD nas empresas
0211
Logins e senhas foram roubados. Isso pode parecer simples, mas tinha um 
objetivo muito bem definido: utilizar essas informações na campanha elei-
toral de 2016, em prol do candidato Donald Trump.
BANCO INTER 
O Banco Inter é um dos pioneiros em oferecer contas digitais no país. Um 
vazamento, em 2018, deixou cerca de 19 mil correntistas vulneráveis. O 
objetivo dos hackers era extorquir o banco, três dias depois de a empresa 
negociar suas ações na bolsa de valores.
Em dezembro do mesmo ano, a empresa fechou um acordo com o Minis-
tério Publico do Distrito Federal e Territórios, com o pagamento de R$1 
milhão para instituições públicas que trabalham em combate ao crime ci-
bernético e uma quantia relevante destinada a instituições de caridade.
Os riscos extensos e as variáveis que as empresas enfrentam ao serem 
vítimas de uma violação de dados podem ser prejudiciais à sua receita e à 
sua reputação. Além disso, gerenciar as consequências desses vazamentos 
pode ser muito caro.
Confira os principais prejuízos que podem ser provocados por um vaza-
mento de dados.
Principais danos provocados por vazamento de dados
Perda financeira
Dependendo da natureza da violação, podem ocorrer vários problemas fi-
nanceiros nas empresas. As empresas que sofrem esses tipos de ataque 
podem ter que arcar com os custos incorridos com a contenção da viola-
ção, compensando os clientes afetados, percebendo uma redução no valor 
das ações e elevados custos de segurança.
12
Danos à reputação
O dano que um vazamento de dados pode causar em uma empresa pode 
ser devastador, especialmente se a violação for evitável ou colocar os da-
dos do cliente em risco. A perda de confiança, a imprensa negativa, o roubo 
de identidade associado e as opiniões dos clientes em potencial em relação 
à sua empresa podem ser afetados, deixando nuvens sombrias sobre a re-
putação da marca e criando complicações de longo prazo.
Interrupções operacionais
Desde o momento em que seus dados são comprometidos, até todo o 
processo de investigação e recuperação, os efeitos de uma violação de 
dados afetam significativamente as operações de negócios. Dependendo 
da gravidade, a violação pode resultar em uma perda completa de dados 
importantes, o que requer que as vítimas passem longos períodos se recu-
perando.
Implicações legais
Violações cibernéticas envolvendo informações pessoais de indivíduos ge-
ralmente resultam em ações judiciais coletivas. Junte todas as taxas legais 
que acompanham esses pagamentos, e as empresas enfrentarão custos 
muito mais altos do que a maioria pode arcar.
0213
Esses exemplos servem de alertapara possíveis ameaças de violações de 
dados. Saiba que tomar as medidas preventivas adequadas é a melhor ma-
neira de garantir que sua empresa não seja vítima de um ataque ciberné-
tico. Se sua organização não leva a sério a segurança da informação, pode 
haver sérias consequências. 
Diante disso, é de extrema importância assegurar os requisitos de integri-
dade e confidencialidade de sua empresa. 
Integridade e confidencialidade
Você sabe o que os governos, as entidades estatais e as empresas devem 
fazer para garantir a privacidade? 
Este assunto será bastante discutido nos próximos anos em debates jurídi-
cos, econômicos e sociais, pois o tráfego crescente e os riscos de ataques 
e vazamentos de dados afetam praticamente toda a iniciativa pública e 
privada do país.
Você já parou para pensar na quantidade de informações pessoais que cir-
culam por redes virtuais diariamente? São milhares!
Toda essa exposição de dados em larga escala mostra as fragilidades de 
sistemas e protocolos, inclusive por parte de quem deveria fiscalizar a se-
gurança das operações: o Estado. 
14
Os especialistas recomendam redesenhar a gestão organizacional, com ên-
fase em alguns pontos: 
1. nomear um encarregado de proteção de dados;
2. revisar as políticas de segurança e a realizar a auditoria completa dos 
dados; 
3. elaborar mapas de temporalidade ou ciclo de vida dos dados; 
4. reelaborar os contratos com fornecedores e parceiros e elaborar o rela-
tório de impacto de privacidade. 
O que tenho que fazer para me adequar à LGPD? 
O ideal é que você mapeie todas as informações sensíveis que você já tem. 
Faça um raio-X de todas as informações e dados que você tem na sua base 
de clientes, banco de dados etc. Depois de nomear a equipe responsável 
pelo tratamento de dados, desenhe cada processo da sua empresa e peça 
para que todas as equipes ou colaboradores listem os dados que costumam 
manusear durante estas atividades.
Abaixo, separamos algumas sugestões de como começar a mapear os da-
dos. Acompanhe!
1
Liste todos os dados que você armazena de 
seus colaboradores, clientes e fornecedores 
(fale com a equipe de RH, marketing, controla-
doria, financeiro, entre outros).
0215
2
Observe como estas informações são coletadas 
e armazenadas e se o armazenamento é feito de 
forma segura. 
3
Verifique se estas informações têm autorização 
(opt-in) de seus donos e observe a data em que 
foram coletadas.
4
Verifique para qual finalidade as informações são 
coletadas, quem tem acesso a elas e o porquê.
Lembre-se sempre de que o mapeamento deve acompa-
nhar as mudanças da sua empresa!
Algo necessário, é a criação de uma equipe técnica que tome decisões so-
bre os dados. O primeiro passo para isso, é nomear, qualificar ou contratar 
três profissionais que possam cumprir com o papel de Controlador, Ope-
rador e Encarregado e assim formar sua equipe de tratamento de dados. 
As informações roubadas foram logins e senha, o que pode parecer simples, 
mais tinha um objetivo muito bem definido: utilizar tais informações pes-
soais na campanha eleitoral de 2016, em prol do candidato Donald Trump.
Alguns especialistas sugerem que um desses profissionais seja o responsá-
vel legal para gerenciar todos os dados, principalmente caso haja vazamen-
tos. Assim, o ideal é que esse profissional tenha conhecimento sobre legis-
lação e boas práticas de proteção de dados, além de acompanhar desde o 
início a separação dos documentos e o mapeamento dos dados dentro da 
empresa.
Quem vai fiscalizar a LGPD?
O órgão responsável por fiscalizar a LGPD é a ANPD, juntamente com o 
Poder Executivo Federal.
A maneira como será feita essa fiscalização ainda não foi definida, porém 
especialistas afirmam que a ANPD pode atuar em conjunto com outros ór-
gãos do governo. 
16
0217
O tipo de pena que a ANPD poderá aplicar vai variar de acordo com:
• a reincidência; 
• a vantagem econômica auferida pelo infrator e sua condição econômica
• o grau do dano;
• a adoção de políticas de boas práticas e governança;
• a boa-fé do infrator;
• a gravidade e a natureza das infrações e dos direitos pessoais afetados;
• a cooperação do infrator;
• a adoção demonstrada de mecanismos e procedimentos para minimizar 
os danos;
• a proporcionalidade entre a gravidade da falta e a intensidade da sanção. 
Tudo certo até aqui?
: Estamos chegando ao final deste tópico, mas, antes de concluir, queremos 
esclarecer quais sanções podem ser aplicadas às empresas que descumpri-
rem a LGPD.
De nada adianta haver regras e procedimentos definidos, bem como uma 
autoridade nacional para supervisionar o cumprimento da legislação, se 
não houver sanções aos infratores, não é mesmo?
Agora, vejamos as nove sanções previstas na LGPD: 
1. Advertência, com indicação de prazo para adoção de medidas corretivas;
2. Proibição parcial ou total do exercício de atividades relacionadas a trata-
mento de dados;
3. Suspensão do exercício da atividade de tratamento dos dados pessoais a 
que se refere a infração pelo período máximo de seis meses, prorrogável 
por igual período; 
1. Advertência, com indicação de prazo para adoção de medidas corretivas;
2. Proibição parcial ou total do exercício de atividades relacionadas a trata-
mento de dados;
3. Suspensão do exercício da atividade de tratamento dos dados pessoais a 
que se refere a infração pelo período máximo de seis meses, prorrogável 
por igual período; 
4. Suspensão parcial do funcionamento do banco de dados a que se refere 
a infração pelo período máximo de seis meses, prorrogável por igual pe-
ríodo, até a regularização da atividade de tratamento pelo controlador; 
5. Eliminação dos dados pessoais a que se refere a infração; 
6. Publicização da infração após devidamente apurada e confirmada a sua 
ocorrência; 
7. Multa diária, observado o limite total de R$ 50.000.000,00 por infração, 
devendo o valor da sanção de multa diária aplicável às infrações obser-
var a gravidade da falta e a extensão do dano ou prejuízo causado e ser 
fundamentado pela ANPD;
8. Multa simples, de até 2% do faturamento da pessoa jurídica de direito 
privado, grupo ou conglomerado no Brasil no seu último exercício, ex-
cluídos os tributos, limitada, no total, a R$ 50.000.000,00 por infração;
9. Bloqueio dos dados pessoais a que se refere a infração até a sua regu-
larização.
O que a minha empresa pode fazer para começar a cumprir a LGPD? 
Há alguns passos que você deverá seguir para ficar compatível com a LGPD 
e, assim, zelar pelos direitos dos seus funcionários e dos seus clientes. Afi-
nal, eles são os donos dos dados pessoais utilizados pela sua empresa. Veja 
a seguir!
Nomear os “técnicos” do time 
A LGPD prevê os agentes de tratamento de dados pessoais: tem o contro-
lador, que é a quem compete as decisões relativas ao tratamento; tem o 
operador, que é quem realiza o tratamento, em nome do controlador. Há 
ainda o encarregado, que, com autonomia e estabilidade, é o responsável 
por atender às demandas dos titulares, interagir com a autoridade nacional 
(ANPD) e orientar funcionários e contratados quanto às práticas de prote-
ção de dados pessoais – e ele poderá ou não ser exigido, a depender da 
natureza ou porte da empresa e do volume de dados tratados por ela.
18
Boas práticas
0219
Gerir os dados e respeitar a privacidade 
Identifique, entre as informações que gerencia, quais são dados pessoais 
(cheque também se há aqueles que exigem um tratamento ainda mais es-
pecífico, como os sensíveis, e sobre crianças e adolescentes). Verifique os 
meios em que se encontram (físico ou digital). 
Atenção ao consentimento e à guarda de provas
O titular deve concordar, de forma explícita e inequívoca, que seus dados 
sejam tratados. E o empresário deve fazer esse tratamento levando em 
conta princípios da LGPD (finalidade, adequação, livre acesso, qualidade 
dos dados, transparência, prevenção, não discriminação, responsabilização). 
A exceção à regra diante de bases legais 
O consentimento é a palavra-chaveda LGPD. De modo geral, você não 
poderá enviar ofertas se o consumidor não permitir isso explicitamente. As 
exceções em que não é preciso o consentimento é quando tratar dados for 
indispensável em situações relacionadas: a uma obrigação legal; a políticas 
públicas; a estudos via órgão de pesquisa; a um direito, em contrato ou pro-
cesso; à preservação da vida e da integridade física de uma pessoa; à tutela 
de procedimentos feitos por profissionais das áreas da saúde ou sanitária; 
à prevenção de fraudes contra o titular; à proteção do crédito; a interesses 
legítimos da empresa, desde que esses interesses não firam direitos funda-
mentais do titular. 
Apoio da alta liderança e dos funcionários 
A LGPD envolve mudanças profundas na forma de lidar com dados pes-
soais e, para “pegar” na empresa, é preciso engajamento da diretoria e dos 
colaboradores. Para isso, é importante que gestores de dados e corpo fun-
cional como um todo busquem conhecer boas práticas, participem de cur-
sos de formação, entre outras ações. 
Menos “acaso” e mais prevenção para sua infraestrutura 
Elabore e adotes normas de governança para tratamento de dados pesso-
ais, medidas preventivas de segurança. Replique boas práticas e certifica-
ções aplicadas no mercado.
20
Errou? Assuma e corrija com rapidez 
Construa planos de contingência para tratar incidentes de segurança e tra-
te os problemas com agilidade. Faça auditorias de tempos em tempos.
Transparência e proatividade 
Seja ágil no atendimento aos pedidos do titular dos dados, segundo os cri-
térios definidos pela LGPD e pela autoridade nacional. Se causou, compro-
vadamente, algum dano patrimonial, moral, individual ou coletivo, responda 
por eles. Tenha atenção, ainda, às questões sobre quando deve encerrar um 
tratamento e informe sobre o término ao titular.
Extraterritorial 
A LGPD se aplica a empresas que ou têm estabelecimento no Brasil, e/ou 
oferecem produtos e serviços ao mercado brasileiro, e/ou coletam e tratam 
dados de pessoas que estejam no país. Vale lembrar que não interessa: se o 
titular dos dados é brasileiro ou não; qual o meio de operação de tratamen-
to dos dados (físico ou digital); qual o país sede da empresa; se os dados 
estão hospedados em datacenters no país ou não. 
Vale reforçar que a LGPD permite a transferência de dados além-fronteira, 
desde que seja: com o consentimento específico do titular; a pedido do 
titular para que esse possa executar pré-contrato ou contrato; para pro-
teção da vida e da integridade física do titular ou de terceiro; para ajudar 
na execução de política pública; para país ou organismo internacional que 
projeta dados pessoais de forma compatível com o Brasil; para cooperar ju-
ridicamente com órgãos públicos de inteligência, investigação, ou por conta 
de compromisso assumido via acordo internacional; para cumprir obrigação 
legal; com a autorização da ANPD; comprovado que o controlador segue a 
LGPD na forma de normas globais, selos, certificados e códigos de conduta.
Saiba que a LGPD é a melhor saída!
No cenário atual, em que as pessoas cada vez mais exigem saber o que é 
feito com seus dados, e em que para competir de igual pra igual é preciso 
investir em mudanças, sua empresa não pode “fazer de conta” que a Lei 
Geral de Proteção de Dados Pessoais não existe.
0221
Compliance como responsável pela adequação das organizações à LGPD
A jornada para adequar o seu processamento de dados às novas regras da 
LGPD pode ser longa. Pensando nisso, listamos abaixo 12 ações que você 
deve fazer para estar em compliance com a LGPD. Acompanhe!
1. Mapear suas ações
Para se adequar à LGPD, é imprescindível mapear todas as operações inter-
nas que estão relacionadas com a captação e o tratamento de dados. Essas 
atividades geralmente estão ligadas aos setores de marketing, comercial e 
TI, mas é importante avaliar todas as áreas para que nenhuma ação passe 
despercebida. 
2. Levantar dados
Geralmente, as ações de captação e tratamento manipulam os dados pes-
soais. Por isso, elas também precisam ser analisadas. Para facilitar a organi-
zação, você pode ordenar os dados em classes de acordo com sua impor-
tância e departamento. 
3. Adequar ferramentas
O próximo passo é avaliar se as ferramentas de tratamento de dados que 
você dispõe atendem às orientações da LGPD. Diversas plataformas já se 
adequaram ao GDPR, mas é fundamental verificar se elas também estão de 
acordo com a lei brasileira e fazer ajustes caso necessário. 
4. Revisar materiais
Reveja os principais materiais ligados à proteção de dados e à segurança 
digital, como os Termos de Uso e as Políticas de Privacidade. Até mesmo 
os contratos devem ser revisados para garantir que os conteúdos estejam 
de acordo com a LGPD. Lembre-se de que o ideal é contar com apoio jurí-
dico sempre que precisar criar ou alterar materiais de efeito legal, como os 
contratos.
5. Corrigir contratos
Tire um tempo para verificar se contratos de prestação de serviços – inter-
nos e externos – de empresas e profissionais que tenham acesso ou tratem 
dados pessoais em seu nome necessitam de ajustes.
6. Analisar a segurança
É fundamental que sua empresa analise os mecanismos de segurança e 
atualize-os. Todas as técnicas e os procedimentos de segurança devem ser 
documentados e informados ao consumidor, se necessário.
7. Planejar providências
Liste tudo que precisará ser mudado, detalhe como será a transição para 
os novos processos e qual será o tempo e investimento necessário para 
chegar lá.
8. Criar guias e relatório
Preocupe-se também em criar manuais, guias e outros materiais para des-
crever a importância de seguir a legislação e as boas práticas. É bom que 
esses materiais estejam disponíveis para eventuais consultas. Como deve 
haver uma forte fiscalização do cumprimento da lei, vale a pena, ainda, criar 
um relatório de impacto à proteção de dados para relatar detalhadamente 
as ações tomadas pela sua empresa para estar em conformidade com a 
LGPD.
9. Reestruturar equipes
Planeje uma reestruturação da equipe e faça eventuais contratações para 
garantir que todos estejam 100% acostumados com a nova rotina de traba-
lho e as boas práticas do tratamento de dados. 
10. Realizar treinamentos
Saiba que não é do dia para a noite que seus colaboradores irão se ajustar 
aos novos procedimentos, nomenclaturas e atividades. Por isso, promova 
treinamentos periódicos e reciclagens para garantir que as informações fo-
ram bem fixadas e estão sendo empregadas no dia a dia.
22
0223
11. Eliminar dados desnecessários
A análise e a categorização dos dados podem revelar que sua empresa tem 
informações que não são mais necessárias. Cópias duplicadas, dados invá-
lidos ou muito antigos, por exemplo, podem e devem ser eliminados. Além 
de abrir espaço para novas informações, essa prática permite que você 
foque seus esforços em dados que realmente valem a pena.
12. Nomear um DPO
Por fim, não se esqueça de nomear um DPO (ou encarregado) para fazer a 
gestão. As atribuições do DPO incluem monitorar e orientar as atividades e 
os profissionais ligados à proteção de dados e mediar a comunicação com 
a ANPD e os titulares. 
Acreditamos que, por se tratar da área da organização responsável por ga-
rantir que a empresa atue de acordo com a lei e com as melhores práticas, 
o compliance será também o “guardião” da LGPD. 
Diante disso ressaltamos a exigência da LGPD em um nível de maturidade 
dos Programas de Compliance no que diz respeito à privacidade e seguran-
ça de dados. Assim, o setor de conformidade passará a contar com profis-
sionais encarregados de desempenhar a função de “Agente de Proteção de 
Dados”, conforme estabelece a nova lei.