Acompanhe as principais perguntas e respostas relacionadas às adequações à Lei Geral de Proteção de Dados.

1. A minha empresa ainda não implementou um sistema de obtenção do consentimento. O que faço?

O consentimento deve ser claro, distinto (não deve estar agrupado com outros acordos ou declarações) e ativo (fornecido pelo titular, sem o uso de caixas pré-marcadas). Deverá também ser documentado, por escrito ou por outro meio que demonstre a manifestação de vontade do titular. Se o consentimento existente não tiver sido obtido de acordo com a LGPD, recomenda-se que seja refeito para atender à legislação. Caso não seja possível, utilize outra hipótese (base legal) para o tratamento dos Dados.

Precisa ser gerenciado de forma automatizada, para os casos nos quais o consentimento seja coletado de forma digital, pelo fato de os titulares terem o direito de revogá-lo, sendo que seus dados só poderão ser processados para as finalidades consentidas, e é dever do controlador de dados provar, se necessário, que esse consentimento foi formalizado.

2. O que faço para gerenciar os direitos dos titulares de dados - DSAR?

É essencial implementar um portal de privacidade com uma solução de gerenciamento dos direitos dos titulares de dados, focando nos clientes (titulares) da empresa. Esse portal gerenciará todo o workflow e deve conter as seguintes funcionalidades:

  • Formulário de preenchimento da solicitação, que pode ser apresentado em diversos produtos digitais da empresa;
  • Validação da identidade dos titulares de dados;
  • Controle de prazos, atividades e custos da solicitação;
  • Identificação dos dados pessoais dentro da empresa para proceder com a divulgação ao titular de dados, a correção, a exclusão ou a portabilidade dos dados pessoais.

O portal deverá, ainda, possuir materiais direcionados ao público externo, informando como a empresa trata do tema de privacidade e proteção de dados, apresentando a política de privacidade com informações sobre direitos dos titulares, demonstrando as boas práticas adotadas para manter a proteção desses dados e os esforços da empresa para manter a conformidade com a LGPD.

3. Como minha empresa deve desenvolver os modelos de respostas para solicitações de titulares de dados?

Desenvolvendo modelos de respostas, observando que o tratamento de dados pessoais somente poderá ocorrer nas seguintes hipóteses:

4. Como deve ocorrer o tratamento de dados de crianças e adolescentes para conformidade à LGPD?

Somente com o consentimento específico e em destaque dado por pelo menos um dos pais ou pelo responsável legal. Lembramos que a participação de crianças em jogos, aplicativos ou outras atividades afins não pode ser condicionada pelo controlador ao fornecimento de informações pessoais, além das estritamente   necessárias   à   atividade.

5. A minha empresa ainda não possui uma Política de Retenção e Descarte de Dados. O que devo fazer?

Elaborar a Política de Retenção e Descarte de Dados da empresa, incluindo os princípios de retenção e descarte apropriados de dados pessoais, observando os requisitos legais da LGPD. Deve conter, ainda:

  • Informações atualizadas para armazenamento dos dados, levando em consideração os dados pessoais coletados;
  • Procedimentos de descarte apropriado para ativos que contenham dados pessoais;
  • Processo de anonimização ou exclusão de dados, observando a necessidade de armazenamento para atender às obrigações legais;
  • Processo de backup de dados pessoais;
  • Processo de pseudonimização para os dados sensíveis em repouso.

Incorpore na cultura da empresa os princípios de minimização de dados. Assim, a empresa realizará a coleta apenas das informações estritamente necessárias, pelo período que for necessário.

6. Como devo implementar um processo de transferência internacional de dados?

Definir se estão em conformidade com as leis de privacidade e proteção de dados, visando comprovar as medidas adotadas para cumprimento dos princípios, dos direitos do titular e do regime de proteção de dados previstos na lei aos dados pessoais transferidos: 

  • Existência de cláusulaspadrão contratuais com os terceiros;
  • Existência de normas corporativas globais definidas pela empresa;
  • Existência de certificados, selos ou códigos de conduta regularmente emitidos e aprovados pela ANPD;
  • Se o titular dos dados forneceu o devido consentimento;
  • Se os países ou organismos internacionais proporcionam grau de proteção de dados pessoais adequado.

Atenção: a LGPD ainda não elaborou a lista de países seguros. A GDPR já disponibilizou essa lista: https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/adequacy-decisions_en.

Sugerimos a revisão de contratos, nos quais existe transferência internacional de dados pessoais, para que sejam incluídas cláusulas padrão e termos voltados à privacidade e proteção de dados.

7. O que deve conter no Registro das Operações de Tratamento dos Dados Pessoais?

O Registro das Operações de Tratamento de Dados pessoais deverá incluir:

  • Os nomes e contatos do controlador/operador e, quando aplicável, de qualquer responsável pelo tratamento em conjunto, dos representantes das entidades e do DPO;
  • A finalidade do processamento dos dados;
  • A descrição das categorias dos titulares de dados e das categorias dos dados pessoais;
  • As categorias de destinatários a quem os dados pessoais foram ou serão divulgados, incluindo os destinatários estabelecidos em países terceiros ou organizações internacionais;
  • Os prazos previstos para a exclusão das diferentes categorias de dados;
  • As bases legais estipuladas para o tratamento de dados.

8. Como minha empresa pode implantar uma Análise de Impacto à Proteção de Dados (DPIA)?

Implemente/adquira uma solução para realização do DPIA de forma sistêmica e centralizada. Essa solução deve ter as seguintes funcionalidades:

  • Projetos de privacidade da empresa consolidados em um dashboard central para gerenciamento das atividades de proteção de dados;
  • Classificação dos projetos quanto ao envolvimento de dados pessoais e critérios de risco (se existe profiling, dados sensíveis, grande volume de dados processados etc.);
  • Gerenciamento do workflow da DPIA, desde a seleção até a aprovação final do encarregado;
  • Orientação e template para preenchimento da DPIA disponibilizado de forma centralizada para toda a empresa;
  • Análise de riscos e gaps dos fluxos de dados pessoais;
  • Registro das atividades de proteção de dados realizadas ao longo do projeto para fins de conformidade.

9. O que faço para implantar um Modelo de Governança de DPO?

Definir os papéis e as responsabilidades para atender às expectativas regulatórias conforme as mudanças trazidas pela LGPD. Dentro da rotina do DPO, entendemos que haverá tarefas como:

  1. Realização de due diligence de terceiros periódica;
  2. Manutenção e atualização do ROPA*;
  3. Elaboração e manutenção do DPIA**, quando necessário;
  4. Realização de auditorias periódicas internas para análise do nível de conformidade;
  5. Rotina de treinamentos sobre a LGPD para funcionários e colaboradores periódica;
  6. Rotina de acompanhamento de jurisprudências, consultas à ANPD, novas certificações, boas práticas de mercado, dentre outras.

Um assessor externo para ajudar na análise do atual compliance da empresa com a LGPD, pode ser uma ótima opção.

*ROPA é um documento, gerado por um sistema ou não, onde você registra todas as atividades de processamento de dados pessoais. Toda finalidade, todo motivo pelo qual você precisa processar um dado pessoal, critérios de segurança, embasamento jurídico, período de retenção, entre outros critérios estão no ROPA.

** DPIA é a sigla para Data Protection Impact Assessment, é um termo presente na General Data Protection Regulation, que diz respeito à proteção dos dados. No Brasil, temos a Lei Geral de Proteção de Dados (LGPD) e nela, esse documento é conhecido como RIPD – Relatório de Impacto à Proteção de Dados.

10. Minha empresa deve promover um Programa de Treinamento de Funcionários para a LGPD?

É fundamental que os funcionários conheçam a LGPD. Elaborar um programa de treinamento sobre privacidade e proteção de dados para educar os funcionários sobre a importância da privacidade e da proteção de dados pessoais é essencial para capacitá-los a realizar os processamentos de dados adequadamente e mitigar os riscos de alguma violação de dados acontecer.

Pode ser realizado em duas fases: 

:: A primeira é comum para todos os funcionários e abordará: o que são as leis de privacidade e proteção de dados; os seus princípios; os riscos de não estar em conformidade com elas; o que são dados pessoais e sensíveis; hipóteses para Tratamento (bases legais); o que é considerado processamento de dados; como classificar o dado antes de armazená-lo; como descartálo corretamente; o que é ROPA; DPIA; o papel e a importância do encarregado de dados (DPO) e como reportar uma violação de dados na empresa. Essa fase pode ser um treinamento online, disponibilizado para os funcionários na intranet.

:: A segunda fase do programa deverá ser direcionada para cada área de negócio, de acordo com a natureza de relacionamento que o setor possui com os titulares de dados (relacionamento com cliente, financeiro, RH etc.). Essa fase abordará com mais profundidade a aplicação das hipóteses de processamento (bases legais) de acordo com os tipos de processamento que a área realiza e terá apresentação de cases específicos conforme a atuação da área (exemplo de cases de profiling para área de marketing). A fase dois pode ser presencial para os funcionários da área.

É necessário manter um treinamento de reciclagem em relação à LGPD. Deve ocorrer periodicamente, de acordo com a política interna da empresa ou quando houver mudanças significativas nas leis de privacidade.

Grandes decisões demandam
análises mais inteligentes

Implementamos soluções para o apoio à tomada de decisão
com base em análise de dados.

O QUE É A LGPD?

No dia 14 de agosto de 2018, foi sancionada a Lei Geral de Proteção de Dados (“LGPD”, Lei n° 13.709/2018, publicada em 15/08/2018), que já se encontra em vigor, devendo, a partir de Agosto de 2021, iniciar as auditorias e sansões previstas.

A nova lei introduz mudanças muito significativas, que deverão transformar radicalmente a abordagem da privacidade por parte de indivíduos, empresas e entes públicos. Não se trata apenas de uma questão tecnológica, mas de um desafio que envolverá toda a sociedade.

A LGPD é, assim como o Regulamento Geral sobre a Proteção de Dados (norma europeia já em vigor a mais de 3 anos – conhecida pelo acrônimo “GDPR”), uma norma baseada em princípios e, ao regular a proteção dos dados pessoais, garante direitos aos cidadãos e estabelece regras claras sobre as operações de tratamento realizadas por órgãos públicos ou privados.

Um princípio básico refere-se à responsabilização do controlador de dados (a quem competem as decisões referentes ao tratamento de dados pessoais), que deverá ser capaz de demonstrar que o processamento é realizado de acordo com a LGPD, de forma eficaz (prestação de contas). Adota-se uma perspectiva pela qual a privacidade deve ser respeitada desde a concepção dos serviços/produtos, uma premissa “cultural” para trilhar o caminho da conformidade.

A Autoridade Nacional de Privacidade de Dados – ANPD, deverá ainda, regulamentar algumas questões da Lei que ainda não estão totalmente claras, gerando alterações e/ou inclusões no corpo da Lei.

POR QUE UMA LGPD AGORA?

A LGPD apresenta-se como um instrumento legal fundamental para o desenvolvimento da economia digital no Brasil, buscando proteger os direitos do cidadão em um ambiente regulamentado que ajude as empresas a inovarem, vindo substituir e/ou complementar uma estrutura regulatória setorial já existente.

Quase todos os aspectos da nossa vida giram em torno de dados. De empresas de marketing digital a bancos, comércio e governos – quase todos os serviços ou produtos que adquirimos envolvem a coleta e análise de dados pessoais. Toda vez que alguém clica em “comprar”, “reservar agora” ou “enviar”, por exemplo, mais dados pessoais são processados e armazenados, acrescentando informações a esse enorme e dinâmico conjunto de dados. E é disso que trata a LGPD: “dados pessoais” e como os coletamos, armazenamos, processamos e utilizamos.

A internet alcançou níveis de sofisticação e disseminação que tornaram a regulamentação sobre o uso de dados pessoais extremamente necessária. A infraestrutura digital disponível hoje trouxe consigo tecnologias disruptivas baseadas no processamento de informações (e nossa crescente dependência tecnológica alimenta ainda mais a demanda massiva por dados), razão pela qual faz-se necessária uma melhor compreensão das implicações para a sociedade. É nesse contexto que se inserem as discussões que levaram à criação da LGPD.

O QUE DIZ A LEI GERAL DE PROTEÇÃO DE DADOS?

Na sua essência, a LGPD é um novo conjunto de regras destinadas a dar aos cidadãos mais controle sobre seus dados pessoais e pretende simplificar o ambiente regulatório para as empresas, de forma que tanto os cidadãos como as empresas possam se beneficiar plenamente da economia digital. Apresentamos a seguir um breve apanhado sobre os principais pontos da nova lei:

Âmbito de aplicação e extraterritorialidade

Um dos pontos mais importantes da nova lei é seu impacto transversal, visto que influenciará muitos setores da economia e a maior parte das entidades, públicas ou privadas, online ou offline (de P&D ao marketing, de clientes a empregados, de serviços à indústria). Encontra-se sob o escopo da norma qualquer operação de tratamento realizada por pessoa natural ou por pessoa jurídica de direito público ou privado, independentemente do meio, do país de sua sede ou do país onde estejam localizados os dados, desde que:

  1. A operação de tratamento seja realizada no território nacional;
  2. A atividade de tratamento tenha por objetivo a oferta ou o fornecimento de bens ou serviços ou o tratamento de dados de indivíduos localizados no território nacional;
  3. Os dados pessoais, objeto do tratamento, tenham sido coletados no território nacional, isto é, quando o titular dos dados aqui se encontre no momento da coleta.

Seguindo a significativa extensão territorial positivada pela legislação europeia, a lei brasileira de proteção de dados estende sua aplicação a outros territórios. Isso porque, ao determinar os limites geográficos das atividades de tratamento, a LGPD não considera apenas o país onde estão localizados os titulares ou os dados. Simplificando, se os dados forem coletados ou processados no Brasil, ou se o tratamento tem por objetivo ofertar bens/serviços a pessoas localizadas no território nacional, aplica-se a LGPD.

Cases

Caso de Uso - Varejo Físico

Produzir um sistema de recomendação de produtos com desconto personalizado, baseado no histórico de compras de cada cliente, e na segmentação prévia dos mesmos que permite a busca de produtos semelhantes.

A TENBU PODE AJUDAR A SUA EMPRESA A FICAR EM CONFORMIDADE COM A LGPD!

A Tenbu atua em todas as etapas necessárias à conformidade de sua empresa com a LGPD. Porém, entendemos que um dos passos mais importantes para a adequação das empresas, é o ASSESSMENT, uma avaliação inicial, onde entenderemos as necessidades da empresa, seu nível de maturidade em privacidade de dados, e indicaremos as melhores soluções.

A Tenbu se preocupa, ainda, em ajudar todas as empresas que precisarem de um Kick Off em suas adequações, independente de tamanho e do segmento de negócio da empresa. Para tanto, desenvolvemos alguns pacotes para a avaliação inicial, que cabem no bolso de qualquer micro ou pequena empresa, e ajudam a ter uma visão futura das necessidades e custos para a sua adequação à LGPD, criando uma modularidade na implementação das iniciativas por nós sugeridas.

MODELOS DE ATUAÇÃO ESTUDO – MICRO E PEQUENAS EMPRESAS

Assessment Direcionado Escolhido pelo cliente.

O modelo de atuação para Micro e Pequenas Empresas, apresenta três tipos de pacotes:

  • Básico
  • Intermediário
  • Avançado

Básico

    • Seis (6) horas de workshop;
      • 4 horas apresentação do Workshop
      • 2 horas de elaboração material
    • 24 horas para documentação e apresentação de resultados;
      • 5 Áreas a serem analisadas (4 horas por área)
        • RH – Uma (1) Base de RH;
        • Base de clientes – Uma (1) Base de Clientes;
        • E-mail marketing e Inbound Marketing;
        • Políticas de Cookies – Um (1) Domínio;
  • + Uma (1) área.
    • 1 dia de compilação do material.
  • Findo o projeto, Duas (2) horas de atendimento (via chamada remota) para solução de dúvidas.

Total: 36 HOras

Intermediário:

  • Oito (8) horas de workshop;
    • 4 horas apresentação do Workshop
    • 4 horas de elaboração material
  • 48 horas para documentação e apresentação de resultados;
    • 8 Áreas a serem analisadas (4 horas por área)
      • RH – Uma (1) Base de RH;
      • Base de clientes – Uma (1) Base de Clientes;
      • E-mail marketing e Inbound Marketing;
      • Políticas de Cookies – Um (1) Domínio;
      • + Quatro (4) áreas de negócio/base de dados sistemas.
    • 2 dias de compilação do material
  • Findo o projeto, seis (6) horas de atendimento (via chamada remota) para solução de dúvidas, em um mínimo de quatro (4) chamadas.

Total: 60 HOras

Avançado

  • Dez (10) horas de workshop;
    • 2 apresentações
      • 4 horas apresentação do Workshop, cada sessão.
    • 2 horas de elaboração material
  • 72 horas para documentação e apresentação de resultados;
    • 12 Áreas a serem analisadas (4 horas por área)
      • RH – Uma (1) Base de RH;
      • Base de clientes – Uma (1) Base de Clientes;
      • E-mail marketing e Inbound Marketing;
      • Políticas de Cookies – Um (1) Domínio;
      • + oito (8) áreas de negócio/base de dados/sistemas.
    • 3 dias de compilação do material
  • Findo o projeto, doze (12) horas de atendimento (via chamada remota) para solução de dúvidas, em um mínimo de 8 chamadas.

Total: 94 HOras

Básico

    • Seis (6) horas de workshop;
      • 4 horas apresentação do Workshop
      • 2 horas de elaboração material
    • 24 horas para documentação e apresentação de resultados;
      • 5 Áreas a serem analisadas (4 horas por área)
        • RH – Uma (1) Base de RH;
        • Base de clientes – Uma (1) Base de Clientes;
        • E-mail marketing e Inbound Marketing;
        • Políticas de Cookies – Um (1) Domínio;
  • + Uma (1) área.
    • 1 dia de compilação do material.
  • Findo o projeto, Duas (2) horas de atendimento (via chamada remota) para solução de dúvidas.

Total: 36 HOras

Intermediário:

  • Oito (8) horas de workshop;
    • 4 horas apresentação do Workshop
    • 4 horas de elaboração material
  • 48 horas para documentação e apresentação de resultados;
    • 8 Áreas a serem analisadas (4 horas por área)
      • RH – Uma (1) Base de RH;
      • Base de clientes – Uma (1) Base de Clientes;
      • E-mail marketing e Inbound Marketing;
      • Políticas de Cookies – Um (1) Domínio;
      • + Quatro (4) áreas de negócio/base de dados sistemas.
    • 2 dias de compilação do material
  • Findo o projeto, seis (6) horas de atendimento (via chamada remota) para solução de dúvidas, em um mínimo de quatro (4) chamadas.

Total: 60 HOras

Avançado

  • Dez (10) horas de workshop;
    • 2 apresentações
      • 4 horas apresentação do Workshop, cada sessão.
    • 2 horas de elaboração material
  • 72 horas para documentação e apresentação de resultados;
    • 12 Áreas a serem analisadas (4 horas por área)
      • RH – Uma (1) Base de RH;
      • Base de clientes – Uma (1) Base de Clientes;
      • E-mail marketing e Inbound Marketing;
      • Políticas de Cookies – Um (1) Domínio;
      • + oito (8) áreas de negócio/base de dados/sistemas.
    • 3 dias de compilação do material
  • Findo o projeto, doze (12) horas de atendimento (via chamada remota) para solução de dúvidas, em um mínimo de 8 chamadas.

Total: 94 HOras

A qualquer um dos pacotes, poderá ser acrescido um pacote especial de 16 horas para atendimento jurídico, via Escritório de Advocacia, nosso parceiro para fins jurídicos.

 

A qualquer um dos pacotes, poderá ser acrescido um pacote especial de 16 horas para atendimento jurídico, via Escritório de Advocacia, nosso parceiro para fins jurídicos.

 

Entregáveis

Todos os pacotes acima, terão como entregáveis, os seguintes documentos:

  • Workshop de conscientização;
  • Relatório de compilação de pain points;
  • Matriz AS IS;
  • Relatório de Análise do Nível de Maturidade em Privacidade / LGPD;
  • Iniciativas para a adequação LGPD.

Premissas

  • Cumprimento das agendas acordadas previamente, com as áreas destinadas.
  • Cronograma estipulado e acordado em KickOff deverá ser seguido sem atrasos. Caso haja alterações por conta da contratante, as horas adicionais serão tratadas como change request.
  • O Limite de áreas estipuladas deverá ser respeitado, caso exceda o limite será tratado como change request.
  • Não poderá haver alterações de agenda ou áreas após a inicialização do projeto.

Valores

  • Básico 🡪  36 Horas – R$ 9.800,00
  • Intermediário 🡪 60 Horas – R$ 17.000
  • Avançado 🡪 94 Horas – R$ 26.000

Como te ajudamos

Implementamos soluções para o apoio à tomada de decisão
com base em análise de dados.

Proposta LGPD – Implementação OneTrust

 

Modelos de Atuação – Básico

Implementação recomendada pelo resultado do Assessment, com os respectivos módulos:

  • Assessment Automation – Aproximadamente 8 horas para implementação;
  • Data Mapping – Aproximadamente 16 horas para implementação;
  • Universal Concent – Aproximadamente 16 horas para implementação;
  • Cookie Concent – Aproximadamente 8 horas para implementação;
  • Data Subject Access Request – Aproximadamente 24 horas para implementação;
  • Vendor Risk Management – Aproximadamente 8 horas para implementação;
  • Incident Response – Aproximadamente 16 horas para implementação.

As horas aqui apresentadas para cada módulo correspondem à configuração e treinamento de um recurso do cliente. O input dos dados e controle da ferramenta serão de responsabilidade do cliente e, em caso de necessidade, a TENBU apresentará uma proposta para a consultoria, com valores adequados ao pacote usado pelo cliente.

Premissas

  1. Contratação do Software da OneTrust:
    1. Proposta será enviada como adicional.
  2. Recurso da contratada para acompanhamento e entendimento do projeto:
    1. Esse recurso será o responsável pela evolução do projeto internamente e passagem de conhecimento aos demais colaboradores.
  3. Finalização do Assessment.

Artigos

Artigos Relacionados

Downloads

Ebook

Whitepaper

jornada Data Driven

Business Analytics

Tenbu Self Services Analytics

Data Storytelling

Ciência de Dados

Modelos de Machine Learning

Machine Learning para Supply Chain

jornada Cloud Computing

Azure

AWS

IBM

Indústria inteligente

Eficiência Energética

Redução de falhas

Manutenção Preditiva

IoT

Governança de dados e LGPD

LGPD OneTrust

Visão Integrada de Produtos e Clientes