LGPD

PROTEJA OS DADOS DO SEU CLIENTE DE ACORDO COM A LGPD

Temos um novo marco normativo importante.

A fiscalização da Lei nº 13.709/18, a Lei Geral de Proteção de Dados, já se iniciou e as sanções administrativas estão vigentes desde 01/08/2021.

Esta lei foi criada para proteção do consumidor titular dos dados pessoais e é aplicável aos negócios físicos e digitais. Evite sanções e penalidades ao seu negócio.

Adeque a sua empresa e saia na frente!

Qual a Nossa Proposta?

Compliance Digital

Oferecemos um compliance digital factível e adequado à sua realidade.

Agilidade, Transparência e Solidez

Projetos práticos e eficazes, com mínimo de impacto no dia a dia da sua empresa, para que seu negócio entre em conformidade no menor tempo possível.

Atuação especialista, objetiva e focada em resultados.

Essa é a nossa visão: conformidade sem travar o seu negócio!

Sua empresa está em conformidade com a LGPD?

Agende Hojeuma avaliação gratuita!

O que sua empresa precisa fazer?

A Governança Corporativa é um grande desafio para todas as empresas, desde micro e pequenas até grandes corporações.

Para que haja uma introdução ao tema Governança de Privacidade e Proteção de Dados, apresentamos os itens que caracterizam os pilares básicos de um programa efetivo.

Lembrando que a LGPD é aplicável tanto aos negócios digitais, quanto aos negócios físicos e a implementação de um Programa é encarada atualmente como um diferencial competitivo, além de obrigação legal.

1. Programa de Governança de Privacidade e Proteção de Dados pessoais

Elaboração de regras de boas práticas e de governança. Estabelecimento de procedimentos, normas de segurança, ações corporativas educacionais e gestão de riscos.

2. Mapeamento do trânsito dos Dados Pessoais dentro da instituição

Mapeamento das árvores de negócios, com departamentos, setores e o respectivo trânsito dos dados.

3. Due diligence sobre os dados pessoais e dados pessoais sensíveis

Due diligence da estrutura do negócio, dos riscos da operação e compartilhamento de dados com terceiros.

4. Identificação das bases legais

Avaliação e definição do enquadramento nas 10 bases legais para tratamento de dados pessoais e finalidade, além das bases legais para tratamento de dados pessoais sensíveis.

5. Gestão do exercício dos direitos dos titulares

Estruturação para requisição dos titulares (remoção, revogação, alteração e etc.).

Estruturação da CENTRAL DE PRIVACIDADE para que os titulares possam exercer os direitos previstos na LGPD.

6. Nomeação do Encarregado de Proteção de Dados Pessoais

Identificação do encarregado (Pessoa Física ou Jurídica) e sua capacitação para exercer as atividades previstas na LGPD

7. Revisão, adequação e atualização dos contratos e termos.

Definição do roteiro das cláusulas específicas para os Contratos e aditivos com Colaboradores.

Definição do roteiro das cláusulas específicas para Contratos e aditivos com parceiros e fornecedores.

Atualização dos Termos utilizados na corporação.

8. Relatório de Impacto de Privacidade

Atendimento à ANPD e demais órgãos do Sistema Nacional de Proteção do Consumidor que poderá solicitar ao controlador Relatório de Impacto à Proteção de Dados Pessoais.

9. Plano de Gestão e Comunicação de Incidente de Segurança

Comunicação aos órgãos fiscalizatórios (ANPD, Procon, Senacon) e à imprensa sobre incidente de segurança que acarrete risco ou dano.

Modalidades de implementação das Políticas de Conformidade à LGPD

Apresentamos duas modalidades de implementação das Políticas de Conformidade à LGPD, ambas inspiradas nas diretrizes internacionais e derivadas da experiência dos nossos sócios com empresas de diferentes segmentos e estruturas.

Essa possibilidade se deve à constatação no mercado dos diferentes níveis de maturidade das empresas no que diz respeito a Privacidade e Proteção de Dados Pessoais e também sobre o budget disponível para esse tipo de projeto, ainda mais considerando o momento atual.

SMART LGPD

Nesta modalidade, oferecemos a CONSULTORIA para identificação de todas as não conformidades na sua operação

Com inteligência, eficiência e foco naquilo que é prioritário, é possível criar dentro de 7 semanas (estimativa), um Programa de Governança em Privacidade, que deverá ser pilotado pela empresa dali em diante.

Faça o download da nossa
Proposta SMART LGPD em PDF.

 

 

FULL LGPD

É o PROGRAMA DE CONFORMIDADE COMPLETO, que inclui todas as fases do Smart LGPD, com recomendações pontuais e estruturantes, além de medidas práticas e os documentos para que o programa seja efetivado.

A modalidade Full LGPD abrange todos os objetivos específicos para adequação à LGPD das soluções da empresa.

Faça o download da nossa
Proposta FULL LGPD em PDF.

 

 

SMART LGPD

Duração de 7 semanas*

É um programa eficiente, direcionado às áreas prioritárias, onde se implementa um Programa de Governança em Privacidade em conjunto com o board da empresa.

Ao término das etapas sugeridas, a empresa terá um Programa de Governança de Privacidade que poderá ser extendido às outras áreas menos prioritárias da corporação, bem como revisões e atualizações, com ou sem auxilio externo.

*Sete semanas é o período sugerido pelo time de implementação. Este prazo poderá ser alterado de acordo com o grau de maturidade da empresa na implementação das Politicas de Conformidade à LGPD.

Fluxográfico SMART LGPD

PRÉ-ASSESSMENT

Focado na realidade da empresa e seu nível de exposição, considerando a Privacidade e Proteção de Dados nas atividades externas e internas.

Atividades
Reuniões e entrevistas, rodagem do Smart Assessment – avaliações iniciais.

PRIVACY BY DESIGN

Execução de estratégias direcionadas aos times de inovação da corporação.

Atividades
Diagnóstico do nível de governança da empresa – contratos, termos, aditivos e políticas.

FOLLOW-UP

Apresentação de resultados e elaboração do Plano de Ação.

Atividades
Plano de ação com as medidas de governança a serem implementadas nos próximos estágios.

APRESENTAÇÃO RoPA

Apresentação do RoPA (Record of Processing Activities) – Relatório de Operações.

Atividades
Apresentação do Relatório de Operações.

ROTEIRO E CLÁUSULAS

Estruturação dos Instrumentos da empresa com parceiros, colaboradores, prestadores de serviço, empresas de auditoria e toda a cadeia de relacionamento.

Atividades
Roteiro e Banco de Cláusulas contratuais.

PROPOSTA PARA O PDD

Proposta de Governança em Privacidade e Proteção de Dados.

Atividades
Criação do Comitê de PPD e nomeação do encarregado de forma interina ou não.

RELATÓRIO FINAL

Reunião para apresentação dos Resultados e handover dos trabalhos.

Atividades
Treinamentos personalizados para as áreas de maior inconformidade.

Quer saber mais sobre a SMART LGPD?

Baixe a proposta SMART LGPD (PDF)eAgende Hojeuma avaliação gratuita!

FULL LGPD

Duração estimada entre 3 a 4 meses*

Este é o PROGRAMA DE CONFORMIDADE COMPLETO.

Abrange todas as fases do SMART LGPD, mais a efetiva elaboração de todos os documentos necessários à implementação, bem como a revisão da estrutura contratual da corporação, aditivos contratuais, Termos, Relatórios, Políticas de Privacidade, Termos de Uso, Análise de Maturidade da corporação, Registro de Operações (RoPA – Record of Processing Activities), Data Mapping em todos os departamentos da corporação, Relatório de Gaps, Treinamentos, Workshops e etc.

Contempla quatro* grandes etapas a serem desenvolvidas.

Caso seja necessário, as etapas sugeridas poderão ser desmembradas para maior verticalização do assunto e/ou dependendo do nível de criticidade verificado na análise de cada departamento, produto ou serviço da corporação.

Fluxográfico FULL LGPD

LEVANTAMENTO DE INFORMAÇÕES

Início da avaliação do trânsito dos dados pessoais e informações dentro dos departamentos da empresa. Alinhamento entre governança, pessoas, dados e segurança da informação.

Atividades
Q&A, Workshop, Cronograma, Análise de Maturidade, etc.

ANÁLISE E DIAGNÓSTICOS

Identificação das áreas de risco e não conformidade. Desenho e plano de Implementação.

Atividades
RoPA – Relatório de Tratamento, Relatório de Red flag, Identificação de Agentes de Tratamento de Dados, Data Mapping, Avaliação e enquadramento, Plano de gerenciamento e segurança dos dados pessoais.

IMPLEMENTAÇÃO

Atualização de documentos, cláusulas contratuais, contratos vigentes aditados e monitoramento de vazamento de dados (data breach) e métodos em operação.

Atividades
Termos de Uso e Politicas de Privacidade, Cartilha de Segurança, Regimento interno de Proteção de Dados, Implementação da Central de Privacidade, etc.

CONTROLE E MONITORAMENTO

Atividade perene a ser incorporada na rotina corporativa.

Atividades
Definição do cronograma e periodicidade de auditoria, emissão do selo de conformidade:

Todos os procedimentos descritos acima serão devidamente documentados, sendo emitidos Relatórios e o Selo de Conformidade à LGPD (LGPD CHECKED), após o cumprimento de cada etapa do Programa.

Quer saber mais sobre a FULL LGPD?

Baixe a proposta FULL LGPD (PDF) eAgende Hojeuma avaliação gratuita!

TAFELLI

Tafelli Advogados

Somos especialistas na assessoria jurídica para empreendedores, com o propósito claro de utilização do Direito de forma estratégica e específica para o negócio dos nossos clientes.

A nossa atuação envolve diversas áreas do direito, de forma coordenada e integrada, com atendimento de qualidade e alto nível de especialização.

Construímos parceiras eficazes e entregamos soluções jurídicas customizadas para os nossos clientes.

O Projeto de Implementação das Políticas de Conformidade à LGPD parte da premissa de que o Compliance Digital tem que ser factível e ao alcance das corporações.

Por esta razão associamos o conhecimento de anos de atuação profissional para criar um inovador e eficaz método de trabalho.

Atuação especialista, objetiva e focada em resultados. Essa é a nossa visão.

Projetos práticos e eficazes, com mínimo de impacto no dia a dia da corporação, para que seu negócio entre em conformidade no menor tempo possível.

Entre em contato pelo e-mail: dimas@tafelli.com.br

O QUE MUDA COM A LGPD?

1. Quem está submetido à lei?

A LGPD aplica-se a qualquer operação de tratamento realizado, desde que:

  • A operação de tratamento seja realizada no território nacional;
  • A atividade de tratamento tenha por objetivo a oferta ou o fornecimento de bens ou serviços ou o tratamento de dados de indivíduos localizados no território nacional;
  • Os dados pessoais, objeto do tratamento, tenham sido coletados no território nacional.

2. Como a lei define tratamento de dados?

O conceito é bastante amplo ao afirmar que tratamento é toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração. A simples operação de armazenar os dados pessoais de clientes (nome, CPF, e-mail etc) é considerada tratamento para fins da LGPD.

3. Quem é o titular dos dados pessoais?

O titular dos dados pessoais é a pessoa natural (pessoa física) a quem se referem os dados pessoais que são objeto de tratamento.

4. Quem é o controlador?

Controlador é a pessoa natural (pessoa física) ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais. Na prática, é a pessoa ou organização que detêm o poder sobre o tratamento dos dados pessoais.

5. Quem é o encarregado?

O encarregado, também conhecido por DPO (Data Protection Officer), é a pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados – ANPD.

5.1. O encarregado poderá ser pessoa jurídica?

Sim. Com a nova redação dada pela Lei n. 13.853/19 o encarregado poderá ser pessoa natural (pessoa física) ou pessoa jurídica.

6. A LGPD protege os dados das pessoas jurídicas?

Não. A lei somente protege os dados pessoais das pessoas naturais (pessoas físicas). Dados como os números dos CNPJs não serão protegidos pela nova lei. Estas questões são objeto de proteção de outros diplomas legais, como Código Civil, Leis concorrenciais, Propriedade Intelectual e etc.

7. O perfil comportamental de pessoa física poderá ser considerado dado pessoal?

Sim. O perfil comportamental poderá ser considerado dado pessoal, desde que a pessoa natural (pessoa física) seja identificada.

8. O que são dados anonimizados?

Dados anonimizados são dados relativos aos titulares que não possam ser identificados, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento.

8.1 Os dados anonimizados serão considerados dados pessoais?

Não. Os dados anonimizados não serão considerados dados pessoais para os fins da LGPD, salvo quando o processo de anonimização ao qual foram submetidos for revertido, utilizando exclusivamente meios próprios, ou quando, com esforços razoáveis, puder ser revertido.

9. O que são dados pseudonimizados? Eles serão considerados dados pessoais para fins da LGPD?

Os dados pseudonimizados são aqueles que permitem a associação a um indivíduo a partir de informações mantidas pelo controlador em ambiente separado e seguro, como no caso da segregação da base de dados ou da atribuição de identificadores a indivíduos. Os dados pseudonimizados serão considerados dados pessoais para fins da LGPD.

10. Quais penalidades poderão ser impostas às empresas que fizerem tratamento de dados em desconformidade com LGPD?

  • Advertência, com indicação de prazo para adoção de medidas corretivas;
  • Multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração;
  • Multa diária;
  • Publicização da infração após devidamente apurada e confirmada a sua ocorrência;
  • Bloqueio dos dados pessoais a que se refere a infração até a sua regularização;
  • Eliminação dos dados pessoais a que se refere a infração.

11. Minha organização poderá ser penalizada de outras formas se fizer tratamento inadequado de dados pessoais?

Sim. Além das sanções administrativas previstas na LGPD, caso ocorram danos patrimoniais, morais, individuais ou coletivos a organização ficará obrigada a repará-los. Nestes casos, por meio de ações judiciais de reparação de danos. Lembre-se que há uma preocupação importante quanto à possíveis danos reputacionais, advindos de um incidente de vazamento de dados conduzido de forma precipitada.

12. A LGPD impacta somente as grandes empresas de tecnologia?

Não. A LGPD impactará praticamente todos os setores da economia brasileira, das pequenas, médias e grandes empresas. Ela dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural (pessoa física) ou por pessoa jurídica, daí a abrangência de seu alcance.

13. LGPD impacta as empresas públicas e sociedades de economia mista?

Sim. As empresas públicas e as sociedades de economia mista que atuam em regime de concorrência, terão o mesmo tratamento dispensado às pessoas jurídicas de direito privado. Já as empresas públicas e as sociedades de economia mista, quando estiverem operacionalizando políticas públicas, terão o mesmo tratamento dispensado aos órgãos públicos.

14. O que é o Relatório de Impacto à Proteção de Dados Pessoais?

O Relatório de Impacto à Proteção de Dados Pessoais é o documento do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco. O relatório de impacto à proteção de dados pessoais também é conhecido como Data Protection Impact Assessment – DPIA.

15. A Autoridade Nacional de Proteção de Dados – ANPD poderá solicitar a elaboração de relatório de impacto à proteção de dados pessoais às empresas?

Sim. A ANPD poderá determinar ao controlador que elabore relatório de impacto à proteção de dados pessoais, inclusive de dados sensíveis, referente a suas operações de tratamento de dados, nos termos de regulamento, observados os segredos comercial e industrial.

16. O que é a Autoridade Nacional de Proteção de Dados – ANPD?

A Autoridade Nacional de Proteção de Dados – ANPD é órgão da administração pública federal, integrante da Presidência da República.

Compete à ANPD, entre outras atribuições:

  • Zelar pela proteção dos dados pessoais;
  • Fiscalizar e aplicar sanções em caso de tratamento de dados realizado em descumprimento à legislação, mediante processo administrativo que assegure o contraditório, a ampla defesa e o direito de recurso;
  • Apreciar petições de titular contra controlador após comprovada pelo titular a apresentação de reclamação ao controlador não solucionada no prazo estabelecido em regulamentação;
  • Editar regulamentos e procedimentos sobre proteção de dados pessoais e privacidade, bem como sobre relatórios de impacto à proteção de dados pessoais para os casos em que o tratamento representar alto risco à garantia dos princípios gerais de proteção de dados pessoais previstos na LGPD e deliberar, na esfera administrativa, em caráter terminativo, sobre a interpretação da LGPD, as suas competências e os casos omissos.