GUIA DE IMPLEMENTAÇÃO

DA LGPD: PASSO A PASSO

PARA ADEQUAR SUA EMPRESA

COMENTADO POR ESPECIALISTAS EM COMPLIANCE

www.compugraf.com.br
ÍNDICE

INTRODUÇÃO 3

LINHA DO TEMPO 5

O QUE É A LGPD? 8

BASES LEGAIS DA LGPD 11

PRINCIPIOS DA LGPD 13

QUEM É QUEM, NA LGPD? 15

DIREITOS DOS TITULARES DE DADOS PESSOAIS 17

AUTUAÇÃO DA ANPD 19

LGPD NA PRÁTICA 22

CONCLUSÃO 34

A COMPUGRAF 36

www.compugraf.com.br
INTRODUÇÃO

www.compugraf.com.br
INTRODUÇÃO

NEGÓCIOS SÃO
FEITOS DE DADOS.

Quem são seus consumidores? Como eles consomem? Onde consomem? Por
que consomem? Como entrar em contato com eles? Como fazer com que
consumam mais? O que oferecer? Quais são seus interesses? E suas necesidades?
E seus hábitos?

Coletando dados pessoais, é possível responder a todas essas perguntas e muitas

outras. Eles se tornaram tão valiosos para as empresas que receberam a alcunha
de “moeda do século XXI”.

A contrapartida de terem se tornado tão valiosos é que começaram a ser coletados

e utilizados indiscriminadamente. A polêmica recente envolvendo a Cambridge
Analytica lançou alguma luz sobre o tema e atentou para a necessidade de um
controle mais rígido sobre quais dados podem ou não ser aproveitados pelo
mercado - e como.

Afinal, mais do que bens, dados pessoais são indicadores de individualidade,

únicos e intransponíveis. É justo que sua individualidade seja comercializada?

www.compugraf.com.br
LINHA DO TEMPO:
COMO SURGIU A LGPD?

www.compugraf.com.br
LINHA DO TEMPO

O debate em torno da privacidade é mais antigo do que imaginamos.

Em 1890, os advogados Samuel Warren e Louis Brandeis publicaram, na edição

de dezembro da Harvard Law Review daquele ano, o primeiro artigo Jurídico
sobre privacidade de que se tem registro.

O contexto do artigo, que versa sobre “o direito de ser deixado em paz”, era o do
início da massificação dos meios de comunicação e das crescentes violações ao
direito de imagem oriundas dessa massificação.

A controvérsia acompanhou o desenvolvimento tecnológico e, com a

popularização da Internet, a partir de 1992, ganhou novas dimensões,
culminando no surgimento de uma série de leis e normas que visam proteger
os direitos fundamentais de liberdade e privacidade dos indivíduos e inibir o uso
desenfreado de suas informações pessoais.

www.compugraf.com.br
LINHA DO TEMPO

No Brasil, a consequência é a Lei Geral de Proteção de Dados, ou LGPD, legislação

baseada na General Data Protection Regulation (GDPR), da União Europeia.

Prevista para entrar em vigor em agosto de 2020, a LGPD vai transformar a

forma como os dados pessoais são manipulados no Brasil e, sobretudo, a forma
como empreendimentos brasileiros operam e fazem negócios.

A SUA EMPRESA ESTÁ PREPARADA?

Neste Ebook, a DPO da Compugraf, Carla Manso, e especialistas em

conformidade com a LGPD esclarecem as implicações da proteção de dados
nos processos empresariais, compartilham o passo a passo da elaboração de um
projeto de compliance e comentam o que deve ser feito, na prática, para operar
em conformidade com a lei.

Esperamos que este material seja útil para você e sua empresa! Boa leitura!

www.compugraf.com.br
O QUE É A LGPD?

www.compugraf.com.br
O QUE É A LGPD?

“SE VOCÊ TEM UM CLIENTE E SE

VOCÊ TEM UM FORNECEDOR,
VOCÊ PRECISA DE LGPD”
CARLA MANSO
DPO DA COMPUGRAF

A lei número 13.709/2018, também conhecida como Lei Geral de Proteção de

Dados, ou LGPD, é a lei que dispõe sobre a proteção dos dados pessoais de
todas as pessoas naturais em território brasileiro. Foi decretada pelo Congresso
Nacional em 14 de agosto de 2018 e entrará em vigor em agosto de 2020.

Todas as empresas estão sujeitas às implicações da lei.

CONFIRA, NO INFOGRÁFICO ABAIXO,

OS PRINCIPAIS PONTOS E REQUISITOS DA LGPD

www.compugraf.com.br
BASES LEGAIS
DA LGPD

www.compugraf.com.br
BASES LEGAIS DA LGPD

O TRATAMENTO DE
DADOS DEVE SER
FEITO CONFORME
AS SEGUINTES
BASES LEGAIS:

www.compugraf.com.br
PRINCIPIOS
DA LGPD

www.compugraf.com.br
PRINCIPIOS DA LGPD

Realizar o tratamento de dados de forma

FINALIDADE legítima, específica, explícita e informada ao
titular;

Ser compatível o tratamento de dados com

ADEQUAÇÃO as finalidades informadas;

Llimitar-se ao mínimo necessário para realizar

NECESSIDADE as finalidades, devendo ser proporcional e
não excessivo;

Utilizar medidas técnicas e administrativas

SEGURANÇA para proteger os dados;

Adotar medidas preventivas de ocorrência de

PREVENÇÃO dados;

Demonstrar a adoção de medidas eficazes e

RESPONSABILIZAÇÃO E capazes de se comprovarem o cumprimento
PRESTAÇÃO DE CONTAS da Lei;

Garantir aos titulares dos dados a consulta

LIVRE-ACESSO facilitada, gratuita e atualizada dos dados;

Garantir a exatidão, clareza, relevância e

QUALIDADE DOS DADOS
atualização dos dados;

Garantir que as informações sejam claras,

TRANSPARÊNCIA precisas e facilmente acessíveis, observados
os segredos comercial e industrial;

Não utilizar o tratamento dos dados para fins

NÃO-DISCRIMINAÇÃO discriminatórios ilícitos ou abusivos;

www.compugraf.com.br
QUEM É QUEM,
NA LGPD?

www.compugraf.com.br
QUEM É QUEM, NA LGPD?

TITULAR

É a pessoa física proprietária dos dados pessoais.

CONTROLADOR

É quem coleta os dados pessoais e toma as decisões em

relação a todo o processo de tratamento dos dados, razão de
sua utilização e o tempo de armazenamento.

OPERADOR

É a organização ou pessoa física que vai realizar todo o

processo de tratamento e processamentos dos dados pessoais
coletados. O Operador irá seguir as orientações do Controlador.

ENCARREGADO

É a pessoa física ou jurídica, indicada pelo Controlador,

responsável pela comunicação entre o Controlador, os titulares
e a Autoridade Nacional de Proteção de Dados, que realizará a
fiscalização do tratamento de dados. Também é responsável
por orientar o Controlador sobre as melhores práticas em
relação ao tratamento de dados.

www.compugraf.com.br
DIREITOS DOS
TITULARES DE
DADOS PESSOAIS

www.compugraf.com.br
DIREITOS DOS TITULARES DE DADOS PESSOAIS

SE SOLICITADO, O CONTROLADOR TEM O DEVER DE FORNECER

AO TITULAR DOS DADOS PESSOAIS:

Confirmação da existência Acesso aos dados Correção de dados

do tratamento de dados incompletos, inexatos
ou desatualizados

Anonimização, bloqueio Eliminação dos Revisão das decisões tomadas

ou eliminação de dados dados pessoais exclusivamente com base em
desnecessários, excessivos tratamento automatizado de
ou tratados ilicitamente dados pessoais

Portabilidade dos dados a Informação das entidades Informação sobre a

outro fornecedor de serviço com as quais o Controlador possibilidade de não
ou produto realizou uso compartilhado fornecer o consentimento
de dados

Revogação de Suporte para reclamação Concordância com

consentimento à Autoridade Nacional oposição ao tratamento,
se irregular

www.compugraf.com.br
AUTUAÇÃO
DA ANPD

www.compugraf.com.br
ATUAÇÃO DA ANPD

A autuação da Autoridade Nacional de Proteção de Dados será balizada por:

Boa-fé;

Reincidência;

Grau do dano;

Vantagem auferida;

Cooperação do infrator;

Gravidade e a natureza da infração;

Pronta adoção de medidas corretivas;

Política de boas práticas e governança;

Proporção entre a gravidade da falta e a intensidade da ação;

Minimização dos danos através de mecanismos e procedimentos internos;

Ela é o grau máximo, hierarquicamente, na esfera administrativa da Lei Geral

de Proteção de Dados. Será responsável por fiscalizar o tratamento de dados
em todo o território nacional e aplicar as correções e sanções pertinentes, caso
a lei seja desobedecida.

www.compugraf.com.br
UMA EMPRESA QUE NÃO GARANTA A PRIVACIDADE DOS DADOS
PODE SOFRER PREJUÍZOS MUITO MAIORES DO QUE O DE
DINHEIRO. PODE PERDER SUA CREDIBILIDADE NO MERCADO, A
CONFIANÇA DE SEUS CLIENTES E A FORÇA DA SUA MARCA.

“O COMPLIANCE À LGPD É UMA QUESTÃO DE

IMAGEM”, DESTACA CARLA MANSO, DPO DA
COMPUGRAF, “E HOJE IMAGEM CONTA MUITO
PARA OS NEGÓCIOS.”

PARA SE TER UMA DIMENSÃO DA IMPORTÂNCIA DO COMPLIANCE

PARA OS CONSUMIDORES, APROXIMADAMENTE 95% DOS
BRASILEIROS CONCORDAM COM A CONSTITUCIONALIDADE DA
PROTEÇÃO AOS DADOS PESSOAIS, CONFORME ESTA CONSULTA
PÚBLICA REALIZADA PELO SENADO FEDERAL.

É HORA DE SAIR DA TEORIA PARA A PRÁTICA E ASSEGURAR

QUE A PRIVACIDADE SEJA UM PILAR DA SUA EMPRESA.
LGPD NA PRÁTICA:
COMO ADEQUAR SUA EMPRESA?

www.compugraf.com.br
A elaboração de um projeto de compliance é uma urgência para negócios que
desejam operar em conformidade com a lei quando ela entrar em vigor, em
agosto de 2020. Mais do que isso: é uma necessidade para se manterem idôneas
no mercado.

Como bem apontou Jeff Erramouspe, membro do Conselho da Tecnologia da

Forbes:

“COMO CEO NESTA NOVA ERA, UMA DAS MINHAS

PRINCIPAIS RESPONSABILIDADES É ASSEGURAR AOS
MEUS CLIENTES QUE SEUS DADOS ESTÃO PROTEGIDOS.”

Não é tarefa fácil, porém, reestruturar os processos da empresa para assegurar

que todos operem seguindo os requisitos da LGPD. As nuances são muitas e os
desafios, diversos.

Conhecendo os percalços, o time de compliance da Compugraf, formado por

especialistas em proteção de dados, estruturou um passo a passo comentado,
que tem como objetivo auxiliar empresas na construção de um programa de
conformidade que cumpra tanto com as necessidades da empresa quanto com
os requisitos da lei.

Além disso, ao fim desta seção, compartilhamos um infográfico exclusivo com as

ações que vão permear sua jornada. Não deixe de conferir!

www.compugraf.com.br
COMO ESTAR EM COMPLIANCE COM A LGPD:
PASSO A PASSO PARA ADEQUAR SUA EMPRESA

PASSO 1: MONTAR UM COMITÊ DE COMPLIANCE

O time Jurídico, o time de TI, o time Comercial, o time de RH, o time de Marketing,
o time de Vendas, o time Financeiro, enfim, qualquer um que lide com dados,
seja online ou offline, será afetado pela LGPD.

De forma geral, a lei determina que os fluxos de operação de dados deverão

ser mais cuidadosos e transparentes. Mas como garantir a proliferação de um
comportamento que priorize a segurança e a privacidade por todos na empresa?

O primeiro passo é montar um comitê de compliance com profissionais

especializados tanto nos aspectos jurídicos quanto nos diversos setores da
empresa que serão afetados pela lei. Ele será responsável pelas avaliações de
risco e definição de códigos de conduta conforme as diretrizes da LGPD.

Seu trabalho, basicamente, é garantir que a empresa esteja operando dentro

dos requisitos legais e de modo a atender os princípios impostos pela lei. Logo,
a formação do comitê é imprescindível para que os próximos passos sejam
permeados em conformidade com a LGPD.

PASSO 2: DEFINIR O ENCARREGADO (DPO)

Com a implantação da Lei Geral de Proteção de Dados, entra em cena um novo

profissional: o Data Protection Officer (DPO).

Pela lei, ele é a pessoa física que representa o Encarregado - o intermediador

entre os titulares dos dados, as empresas e a fiscalização. “Importado” da General
Data Protection Regulation (GDPR), a ocupação é novidade para a grande maioria
das empresas brasileiras.

De acordo com o comitê de compliance da Compugraf:

www.compugraf.com.br
 “A PARTIR DO MOMENTO QUE A EMPRESA ESTÁ COM
O COMITÊ FORMADO, PODE-SE, DESDE JÁ, NOMEAR O
ENCARREGADO: O DPO (DATA PROTECTION OFFICER).”

Esse profissional vai exercer diversas funções que muitas vezes não são
desenvolvidas com uma única área de conhecimento. Portanto, o ideal é que
ele seja alguém que possua uma boa formação interdisciplinar.

De acordo com a previsão legal, as atividades do DPO são:

I - aceitar reclamações e III - orientar os funcionários e

comunicações dos titulares, os contratados da entidade
prestar esclarecimentos e a respeito das práticas a
adotar providências; serem tomadas em relação à
proteção de dados pessoais; e

II - receber comunicações IV - executar as demais

da autoridade nacional e atribuições determinadas pelo
adotar providências; Controlador ou estabelecidas
em normas complementares.

Ou seja: o DPO é a pessoa responsável por comandar as atividades de proteção

de dados dentro da empresa e estar ciente e totalmente integrado com todas e
quaisquer informações que tratem os dados pessoais.

Contudo, na prática, é cedo para definir totalmente suas atividades, uma vez que
a ANPD ainda não foi formada.

Mas, em empresas maiores, muito provavelmente ele será indispensável.

No caso de pessoa jurídica, é possível terceirizar a missão do para um escritório

especializado em Direito Digital, por exemplo, que será nomeado como
Encarregado.

www.compugraf.com.br
 “É IMPORTANTE RESSALTAR QUE A AUTORIDADE NACIONAL
PODERÁ ESTABELECER NORMAS COMPLEMENTARES SOBRE A
DEFINIÇÃO E AS ATRIBUIÇÕES DO ENCARREGADO, INCLUSIVE
HIPÓTESES DE DISPENSA DA NECESSIDADE DE SUA INDICAÇÃO,
CONFORME A NATUREZA E O PORTE DA ENTIDADE OU O
VOLUME DE OPERAÇÕES DE TRATAMENTO DE DADOS”

- COMITÊ DE COMPLIANCE DA COMPUGRAF

ATENÇÃO!
De acordo com a Lei, a identidade e as informações de contato do Encarregado
deverão ser divulgadas publicamente, de forma clara e objetiva, preferencialmente
no website do Controlador.

PASSO 3: AVALIAR OS GAPS DA EMPRESA EM RELAÇÃO À

PRIVACIDADE DE DADOS

Com o comitê formado e o Encarregado nomeado, é hora de olhar criticamente

para a empresa e dar o primeiro passo em sua Jornada da LGPD.

“A PRIMEIRA ATIVIDADE DO COMITÊ DEVE SER ELENCAR

E REVER TODOS OS PROCESSOS DA EMPRESA, PARA QUE
POSSAM SER DETECTADOS OS DADOS PESSOAIS QUE ESTÃO
SENDO TRATADOS E ONDE SUA OCORRÊNCIA ESTÁ PREVISTA”

- COMITÊ DE COMPLIANCE DA COMPUGRAF

Com uma ferramenta de data mapping, é possível elaborar os questionários

necessários para as áreas da empresa, a fim de se conseguir uma “fotografia” de
sua operação.

De acordo com Aparecido Anastácio, Product Engineer da Compugraf, algumas

perguntas fundamentais para o questionário são:

www.compugraf.com.br
• Qual o volume de dados tratados?
• Que tipos de dados estão sendo tratados?
• Quem é o responsável pelos dados?
• Por que os dados foram coletados?
• Qual a razão legal para continuidade do tratamento dos dados?
• Até quando os dados ficarão na base da empresa?

É importante usar o bom senso para fazer perguntas criteriosas e objetivas, a

fim de se obter um apanhado preciso do atual estado da empresa em relação
à LGPD.

Assim, já se inicia o processo de averiguação dos dados e a empresa começa a

rever o que deve manter, por qual finalidade e base legal e por quanto tempo.

PASSO 4: ADEQUAR OS PROCESSOS PARA QUE ESTEJAM EM

COMPLIANCE COM A LGPD

O tratamento dos dados pessoais somente poderá ser realizado nas hipóteses
previstas pelo artigo 7º da Lei:

• Mediante fornecimento de consentimento • Para exercício regular de direitos em

do titular processo judicial, administrativo ou arbitral

• Para cumprimento de obrigação legal ou • Para proteção da vida ou da incolumidade

regulatória pelo Controlador física do titular ou terceiro

• Pela administração pública, para • Para a tutela da saúde, exclusivamente,

tratamento e uso compartilhado de em procedimento realizado por
dados necessários à execução de políticas profissionais de saúde, serviços de saúde
públicas ou autoridade sanitária

• Para estudos por órgão de pesquisa, • Quando necessário atender interesses

garantida, sempre que possível, a
anonimização dos dados pessoais
• Quando necessário para execução de
contrato ou procedimentos preliminares
relacionados a contrato do qual seja parte
o titular, a pedido do titular dos dados
legítimos do Controlador ou de terceiro,
exceto no caso de prevalecerem direitos
e liberdades fundamentais do titular que
exijam proteção dos dados pessoais
• Para proteção do crédito

www.compugraf.com.br
Ao rever os processos de cada área na empresa, é importante embasar
corretamente os dados, uma vez que o tratamento deve estar fundamentado
nos itens acima.

“A PARTIR DO MOMENTO QUE A EMPRESA FOR UTILIZAR A

COLETA DE ALGUM DADO PESSOAL, DEVE SE TER EM MENTE
O ‘PRIVACY BY DESIGN’ – OU SEJA – A PRIVACIDADE DEVE
SER UM PILAR EXERCIDO DESDE A CONCEPÇÃO DE CADA
PRODUTO/SERVIÇO”

- COMITÊ DE COMPLIANCE DA COMPUGRAF

Além da finalidade bem definida e a justificativa pela base legal correta, o ciclo
de vida do dado também precisa estar claramente definido.

E o tratamento de dados não estruturados? Como fazer?

Os dados não estruturados representam um grande desafio na jornada da LGPD,

pois são gerados a partir fontes diversas - como sites, mídias sociais, imagens digitais,
vídeos, PDFs, wearables (tecnologias vestíveis), dentre outras tantas - e estão, muitas
vezes, fragmentados em mais de um arquivo e/ou em mais de um local.

“EM GERAL HÁ GRANDE RISCO ASSOCIADO A

TRATAMENTO DE DADOS COM BASE EM INFORMAÇÕES
NÃO ESTRUTURADAS, POIS DEPENDEM DE AÇÕES
MANUAIS E ESTE TIPO DE PROCESSO TENDE A
INCORRER EM ERROS DE FORMA RECORRENTE”

- COMITÊ DE COMPLIANCE DA COMPUGRAF

O mapeamento destes dados se dará por meio de entrevistas e checklists, por

exemplo. Existem ferramentas que são capazes de apoiar a descoberta destes
dados, mas o resultado muitas vezes é mais demorado e mais complexo do que
se espera.

www.compugraf.com.br
É muito importante a empresa derivar o risco associado a cada atividade tratada
desta forma, pois são processos vulneráveis que podem ser foco de vazamento
de dados.

Pode-se fazer uso de ferramentas de DLP para assegurar que esse tipo de
informação não seja vazado, mas a implantação desse processo também não
é trivial. A recomendação, portanto, é repensar os procedimentos, para que a
empresa passe a tratar esses dados de forma estruturada.

Dados não estruturados podem ser considerados dados anonimizados?

Um dado não estruturado não é um dado anonimizado.

Na verdade, anonimização é um processo pelo qual se transforma um dado

pessoal em um conjunto de informações que não permite a identificação de uma
pessoa. Logo, a anonimização de dados não estruturados é muito desafiadora,
pois o dado pode estar disposto de forma que a ferramenta não o identifique,
acarretando em uma anonimização parcial - ou seja, a informação vai continuar
sendo pessoal.

“TAMBÉM É IMPORTANTE RESSALTAR QUE DADO

CRIPTOGRAFADO NÃO É UM DADO ANONIMIZADO”

- COMITÊ DE COMPLIANCE DA COMPUGRAF

Estes casos devem ser tratados com excepcional cautela, uma vez que representam
focos de vulnerabilidade.

Como operar os sistemas da empresa em compliance com a LGPD?

Recursos em nuvem, ERPs, CRMs, aplicativos - são muitas as soluções que

os colaboradores utilizam diariamente e que, em maior ou menor escala,
armazenam dados. Também eles devem ser esquadrinhados.

www.compugraf.com.br
 “EM TODOS OS SISTEMA QUE UMA EMPRESA UTILIZA,
SERÁ NECESSÁRIO IDENTIFICAR QUAIS ATIVIDADES DE
TRATAMENTO DE DADOS TAIS FERRAMENTAS APOIAM
E DEPOIS VERIFICAR, NORMALMENTE, POR MEIO DE
ASSESSMENTS, QUAL A BASE LEGAL PERTINENTE, TEMPO
DE RETENÇÃO DOS DADOS, MEDIDAS DE SEGURANÇA,
DADOS PESSOAIS ENVOLVIDOS, DENTRE OUTROS”

- COMITÊ DE COMPLIANCE DA COMPUGRAF

Vale contar com o apoio de um sistema de gerenciamento de privacidade de

dados para facilitar o trabalho, uma vez que será preciso realizar um inventário
da empresa para que se possa identificar como cada atividade de tratamento
de dados é realizada, quais sistemas apoiam tais atividades, quais parceiros e
fornecedores participam delas, elencar os riscos associados e, finalmente, definir
um ou mais planos de ação para adequar a atividade de tratamento.

PASSO 5: FAZER A MANUTENÇÃO DA PROTEÇÃO DOS DADOS

“O COMPLIANCE NÃO É OBRIGAÇÃO DE UMA ÁREA DA

EMPRESA. É UMA OBRIGAÇÃO DA EMPRESA INTEIRA.”

- COMITÊ DE COMPLIANCE DA COMPUGRAF

Para o pleno andamento do projeto de conformidade, será necessário avaliar

do ponto de vista de segurança, do ponto de vista de infra-estrutura e do
ponto de vista de sistemas quais medidas deverão ser tomadas para atender às
recomendações legais.

Permeando as ações, estarão sempre as recomendações do jurídico, cujo principal

papel é avaliar se as atividades de tratamento de dados estão respeitando os
princípios da LGPD.

www.compugraf.com.br
 “A PARTICIPAÇÃO DE UMA EQUIPE MULTIDISCIPLINAR
NO PROJETO É FUNDAMENTAL PARA QUE SEJA POSSÍVEL
OBSERVAR DE VÁRIOS PONTOS DE VISTA CADA ITEM
REQUERIDO PELA LEI. ASSIM, AS SOLUÇÕES TENDEM A
SEREM MAIS EFICAZES”

- COMITÊ DE COMPLIANCE DA COMPUGRAF

É um esforço coletivo. Mais do que um compromisso, a proteção dos dados deve

ser um novo valor para as empresas, respeitado e promovido por todos.
Qual é a melhor abordagem para adequar sua empresa?

Normalmente existem duas abordagens para um projeto de compliance: por

sistemas ou por processos. Para algumas empresas, a abordagem por sistema
pode ser mais eficaz do que por processo; em outras, pode acontecer o contrário.

Não existe uma abordagem “mais correta” do que a outra. No entanto, deve-se
observar que processos offline, realizados com formulários de papel, por exemplo,
não serão capturados na abordagem via sistema.

“A ABORDAGEM COLABORATIVA TAMBÉM É DE EXTREMA

IMPORTÂNCIA: ELEGER REPRESENTANTES DE ÁREAS PARA
CONTRIBUIR COM O PROJETO AJUDA NÃO APENAS NA
FIDELIDADE DAS INFORMAÇÕES COLETADAS COMO TAMBÉM
NO ENGAJAMENTO PARA O SUCESSO DO PROJETO”

- COMITÊ DE COMPLIANCE DA COMPUGRAF

Outro ponto fundamental no processo de mapeamento é ter uma ferramenta

que permita fazer a gestão e organização de tudo que está sendo coletado, caso
contrário as informações podem ser perdidas ou corrompidas e o resultado do
trabalho pode não ser o esperado.

www.compugraf.com.br
Portanto uma ferramenta ideal deve prover funcionalidades que permitam fazer
a gestão de tudo que está sendo mapeado de forma simples e visual, permitindo,
também, a colaboração das pessoas de forma controlada.

Como proceder em caso de fiscalização?

Fiscalização por parte da ANPD só vai ocorrer a partir de 14 de agosto de 2020.

No entanto, sabemos que muitas empresas receberam ofícios de questionamentos

por órgãos como o Ministério Público e o Procon.

Assim, a recomendação do comitê de compliance da Compugraf para o caso

de uma inspeção é se atentar a cada questionamento e responder dentro do
prazo tudo o que for solicitado.

MAPA PARA IMPLEMENTAÇÃO DE UM PROGRAMA DE PRIVACIDADE

Em base das ações elencadas por nossos especialistas em compliance,

estruturamos um mapa para a implementação de um projeto de conformidade,
que facilitará a definição dos processos pertinentes para cada etapa da jornada
da LGPD nas empresas.

Se quiser, você pode imprimir este mapa e consultá-lo sempre que necessário!

www.compugraf.com.br
 A JORNADA DA LGPD
INVENTARIAR

PRINCÍPIO DA FINALIDADE
Quais dados estão na sua
CLASSIFICAR E IDENTIFICAR
base e para quê serão ADERÊNCIA À LGPD
tratados?

PRINCÍPIO DA ADEQUAÇÃO
A utilização do dado está
compatível com a finalidade?

PRINCÍPIO DA NECESSIDADE
Qual tratamento necessário para
atender a finalidade?

ADEQUAR PROCESSOS
E SISTEMAS DE SEGURANÇA

PRINCÍPIO DA SEGURANÇA CONSCIENTIZAR

Há medidas técnicas adequadas E RESPONSABILIZAR
para proteger os dados?

PRINCÍPIO DA PREVENÇÃO
Há medidas preventivas para PRINCÍPIO DA
manter os dados seguros? RESPONSABILIZAÇÃO E
PRESTAÇÃO DE CONTAS
Como conscientizar a
empresa da importância
da privacidade?

GERIR E ATENDER
OS DIREITOS DOS TITULARES

PRINCÍPIO DA PRINCÍPIO DA NÃO-

PRINCÍPIO DA
QUALIDADE DOS PRINCÍPIO DA DISCRIMINAÇÃO
LIVRE ACESSO
DADOS TRANSPARÊNCIA Como informar de
Como comprovar à
Como garantir aos Como garantir forma precisa os
agência e ao titular
titulares a consulta a exatidão dos tratamentos realizados
estar aderente à Lei?
sobre seus dados? dados? com os dados?
CONCLUSÃO

www.compugraf.com.br
O mapeamento de dados e a adequação da empresa à LGPD requer um trabalho
intenso e complexo. Infelizmente, não há muito o que fazer quanto a isso. Porém,
um sistema de gerenciamento de privacidade de dados pode ser um grande
aliado nesse processo!

Se você quiser saber um pouco mais sobre como podemos te ajudar a agir em
conformidade com a lei, entre em contato com o nosso time e confira nossas
soluções!

Esperamos que este guia tenha sido útil para você e para sua empresa. Muito
obrigado pela sua leitura e confiança!

Um abraço e até a próxima!

www.compugraf.com.br
A COMPUGRAF

www.compugraf.com.br
No mercado de soluções tecnológicas desde 1982, a Compugraf, empresa 100%
brasileira, possui mais de 300 clientes ativos em nível nacional.

Nosso é objetivo é sempre satisfazer nossos clientes com soluções avançadas,

buscando melhorar continuamente nossos processos e equipe para fornecer
produtos de alta tecnologia e excelência de serviços profissionais.

Conheça mais sobre nossas soluções em www.compugraf.com.br

www.compugraf.com.br