PROGRAMA COMPLIANCE

COM A LEI GERAL DE

PROTEÇÃO DE DADOS
PESSOAIS
 2

Roadmap de Implementação do Compliance com a

LGPD
Fase 1 - Imersão , Diagnóstico e Desenho Fase 2 - Implementação Fase 3 - Gerenciamento
ETAPAS
5. Avaliação dos 15. Implementação de
1. Definição dos objetivos,
procedimentos e riscos 11. Coleta de controles sobre
escopo, e abordagem do
sobre compartilhamento de consentimento (opt-in) em Segmentação/Profiling 21. Criação do Comitê de
planejamento +
dados pessoais com compliance com a LGPD (avaliação de impacto de Segurança de Dados
Nomeação do DPO
parceiros proteção de dados)
12. Implementação dos
Frente de 6. Avaliação dos 22. Processos contínuos
2. Realização do Inventário direitos do titular de dados 16. Realização do
Processos, procedimentos de retenção de verificação e auditoria
dos Dados Pessoais - arquitetura DBM e expurgo de dados
Tecnologia e expurgo de dados pós implementação
sistemas
e Segurança 7. Mapeamento do impacto 13. Implementação segurança
da 3. Avaliação de riscos de LGPD na arquitetura dos da informação (acesso, 17. Auditoria dos 23. Gestão da operação
privacidade para cada
Informação bancos de dados e senhas, desenvolvimento, principais parceiros do CRM/DBM
projeto/iniciativa sistemas seguro) + SOC
4. Mapeamento dos 8. Avaliação de Segurança 14. Implantação dos 18. Treinamento das
procedimentos e riscos da Informação e controles 24. Gestão continua dos
procedimento para áreas de negócio, TI,
sobre enriquecimento de contra vazamento de direitos do titular de dados
tratamento de vazamento Segurança, Compliance,
dados dados
de dados
(opt-in, opt-out etc.)
Jurídico
9. Revisão das Políticas 19. Ajuste de contratos e 20. Ajuste de contratos e
10. Revisão dos modelos
Frente Corporativas de Segurança
de minutas de contratos aditivos com clientes aditivos com parceiros
Jurídica de dados e da Política de
com clientes e parceiros
Privacidade (cláusulas privacidade) (cláusulas privacidade)

Diagnóstico e Road Map para implantação das Processos implantados, homologados e Atualizações e
Entregáveis
mudanças necessárias aprovados Melhorias Contínuas

Tornar-se Compliant Permanecer Compliant

 3

São 3 as variáveis em um processo de adequação

a LGPD
Governança de dados, ciclo PDCA (Plan, Do, Check,
Act)

 Sustentação, Gestão  Políticas de

ACT PLAN
de Problemas, Governança
Incidentes e Coorporativa
Violação de Dados  Organização de Dados

 Controles,  Especificação de
Métricas e CHECK DO Papéis e
Indicadores Responsabilidades
 5

COMPLIANCE JURÍDICO
01

FASES
Diagnóstico

02 Cronograma de Adequação

03 Elaboração e Revisão dos Documentos

04 Relatório de Impacto e recomendações

05 Treinamento

06 Grupo de Trabalho

07 Avaliação de Implementação
 6

FASE 1

1. Reunião inicial com representantes da

empresa para explicação dos principais
impactos da Lei e obrigações
2. Avaliação das áreas internas da empresa
que são impactadas pela LGPD e
elaboração de um questionário de forma a
inventariar os tipos de dados trabalhados;
3. Análise de produtos e mecanismos de
tratamento de dados pessoais
4. Elaboração de relatório de maturidade
que detalhe situação atual da empresa e
pontos de atenção.
 7

FASE 2

1. Definição de prioridades de adequação e

pontos de checagem

2. Estabelecimento de datas e metas

3. Acompanhamento e consultoria de projetos

relativos a dados
 8

FASE 3

Elaboração e revisão de cláusulas

contratuais padrões, políticas de
privacidade, política corporativa de
privacidade e demais documentos que
envolvam a temática de dados pessoais

Contratos com Fornecedores/parceiros: As cláusulas podem servir para garantir

direitos sobre o uso dos dados ou dirimir riscos relacionados ao uso indevido de
dados pelo fornecedor/parceiro, como também permitir apontamento de
descumprimento contratual, execução ou distrato
Termos de Uso ou Política de Privacidade: É tido como instrumento de proteção do
ativo “dados” e posicionamento público com relação a dados pessoais tratados pela
empresa e sua política privacidade
Política Interna para Dados Pessoais (PIDP): Elaboração e/ou revisão de um
documento “Matriz”, em que fiquem estabelecidas as regras e diretrizes desse tema
para toda empresa e/ou grupo econômico
 9

FASE 4

1. Elaboração de um Relatório de Impacto,

com o intuito de demonstrar à empresa os
pontos falhos e riscos da atividade
desenvolvida

2.Elaboração de documento com

recomendações para adequação
 10

FASE 5

1. Realização de treinamento* com duração de 2

a 12 horas com o intuito de conscientizar
profissionais do Contratante acerca das novas
obrigações criadas pela legislação.
Submissão dos colaboradores a questionário a
fim de averiguar o nível de conscientização dos
envolvidos em Privacidade e Proteção de Dados
Pessoais, bem como nas Políticas da Empresa

* Ofertamos também em separado um produto de treinamentos,

com tempo modulável e enfoque especializado, conforme a
necessidade do cliente.
 11

FASE 6

1. Estruturação preliminar de Grupo de

Trabalho interno, a ser composto por
representantes de diferentes áreas da empresa
(negócios, marketing, tecnologia, segurança da
informação, etc.)

2. Visa a implementação efetiva das medidas,

construídas também sob o respaldo do GT, o
que garante não imporem resistência aos
modelos de negócio e de operação
 12

FASE 7

1. Avaliação do cumprimento das

recomendações, gerando um relatório de
avaliação final.
2. Estruturação de uma rotina de medições de
operações na temática de LGPD
 13

 Responsabilidade por Dados  Dados Eletrônicos em caso de Violação  Perda de Cartão de Pagamento*
Corporativos e Pessoais*
 Restituição de Imagem do Segurado e  Interrupção de Negócios/Lucros
 Responsabilidade por Empresas Pessoal Cessantes por falha de sistemas
Terceirizadas*
 Interrupção de Negócios/Lucros Cessantes  Interrupção de Negócios/Lucros
 Responsabilidade pela Segurança de Cessantes por danos à reputação
Dados*  Custo com Investigação Administrativa*
 Custo de Melhoria de software
 Responsabilidade de Conteúdo de  Multas e Penalidades de Órgãos
Mídia* Reguladores*  Terrorismo

 Danos Morais*  Fundo de Compensação do Consumidor*  Nova Subsidiária

 Notificação & Monitoramento de  Fraude em Transações Financeiras  Despesa de Salvamento

Crédito*  Fraude Cibernética (Engenharia Social)  Sistema de supervisão e aquisição
 Custos de Defesa* de dados
 Pagamento de Recompensa
 Despesas Emergenciais de Mitigação  Responsabilização por tributos*
 Extorsão na Internet (ransomware)
 Despesas de Investigação
 14
Forma de demonstrar a eficácia
do Programa de Compliance
(prestação de contas)
Experiência Internacional: Bureau Veritas
59 empresas em Certificação GDPR
Quando buscar a certificação?
A certificação é um processo que deve ser realizado pós a conclusão do
Processo de Compliance. A sua função é justamente certificar a adequação,
certificar que o Processo de Compliance foi satisfatório.

BENEFÍCIOS:

Demonstrará que a Trará segurança Será considerado Diferencial Ganho de

Empresa se encontra jurídica à sua atuação; como Boa Prática pela mercadológico. Confiança dos
Compliance com a Norma Autoridade, em caso titulares de dados
Técnica e a LGPD; de Data Breach;
 15

Proposta de Valor de ser Compliance

Segurança Jurídica: Somente a análise jurídica dos principais pontos de atenção relacionados aos procedimentos de coleta, uso,
armazenamento, compartilhamento e exclusão de dados pessoais e a exposição que possam ter a empresa e seus colaboradores, é
que conferirá segurança jurídica ao negócio.

Proteção de Ativos: Os dados em posse da empresa são ativos intangíveis, integralizados ao seu capital ou com potencial de vir a sê-
lo. Além disso, tem grande relevância aos modelos de negócios de empresas que utilizem dados para atividades de marketing baseada
em perfil. Todos eles dependem de a empresa poder usufruir livremente desses dados, oferecendo segurança jurídica para seus
parceiros comerciais, executivos e colaboradores.

Conformidade: E conforme a legislação avança, mais se fortalece o conceito de que “dado pessoal”, ou “dado”, não é propriedade.
Seu uso como “ativo” dependerá da capacidade de defender o direito de possuí-lo usá-lo, frente à Autoridades, Judiciário, Órgãos de
Proteção e Defesa do Consumidor, Governanças e Compliance - sob regras locais e globais - e, em última instância, Acionistas da
empresa.

Implementação: Engajamento e cultura para o seguimento de recomendações que envolvam a menor resistência possível aos
modelos de negócio e a custos internos sustentáveis, tornando-se assim, implementáveis.

Riscos Legais: Ainda que nesse escopo já haja análise de risco legais atuais e futuros, atuação a contribuir com a gestão e
administração que a empresa faz desses riscos, visando que eficiência de recursos, métricas de resultado e sustentabilidade norteiem o
trabalho.
 16
EQUIPE ENVOLVIDA
Vitor Morais de Andrade: : Mestre e Doutor em Direito das Relações Sociais pela PUC-SP. É Coordenador do Curso de Extensão em Direito Empresarial na Economia
Digital e Coordenador/Representante da Coalizão da Comunicação Social, a qual reune 13 Associações representativas do setor em prol da Lei Geral de Proteção de
Dados Pessoais. Extensão em Economia pela FGV e Negociação pela Harvard Law School. Foi Coordenador do Curso de Direito da PUC/SP. Foi Coordenador Geral do
Departamento de Proteção e Defesa do Consumidor do Ministério da Justiça. É membro do Conselho de Ética do CONAR, Vice Presidente de Relações Institucionais da
Associação Brasileira das Relações Empresa-Cliente – ABRAREC. Advogado, Sócio do escritório Morais Andrade Advogados.
(http://lattes.cnpq.br/8753341395392297 )

Fernando Henrique Anadão Leandrin: graduado pela Faculdade de Direito Prof. Damásio de Jesus - Ibmec Damásio. Possui extensão universitária em Direito Imobiliário
pela FMU-SP e Pós-Graduação Lato Sensu em Direito Imobiliário pela Pontifícia Universidade Católica de São Paulo (PUC-SP). É Mestre pela Pontifícia Universidade
Católica de São Paulo (PUC-SP), tendo desenvolvido sua dissertação sobre o direito de acesso à internet. Advogado, Sócio do escritório Morais Andrade Advogados, tem
experiência na área de direito imobiliário, civil, consumidor, difusos e coletivos, direito digital e proteção de dados. Possui certificações em proteção de dados pessoais pela
EXIN: Exin Privacy and Data Protection Essentials (LGPD) e Exin Privacy and Data Protection Foundation (GDPR). Professor Convidado da Pós-graduação da PUC-SP no
Curso de Extensão Direito Empresarial na Economia Digital.
(http://lattes.cnpq.br/5612241493696132 )
Lygia Maria Moreno Molina Henrique: possui graduação e mestrado em Direito pela Pontifícia Universidade Católica de São Paulo (PUC-SP), tendo desenvolvido sua
dissertação em proteção de dados pessoais. Advogada, Sócia do escritório Morais Andrade Advogados, tem experiência em Direito Civil, Direito do Consumidor, Direito
Digital, Tecnologia e Proteção de Dados. Possui certificações em proteção de dados pessoais pela EXIN: Exin Privacy and Data Protection Essentials (LGPD) e Exin
Privacy and Data Protection Foundation (GDPR). Professora Convidada da Pós-graduação da PUC-SP no Curso de Extensão Direito Empresarial na Economia Digital.
(http://lattes.cnpq.br/6242609011697481)

Marcelo Chiavassa de Mello Paula Lima: possui graduação e mestrado pela Pontifícia Universidade Católica de São Paulo (PUC-SP). É Doutor pela Universidade de
São Paulo (USP). Advogado especializado em Direito Civil e Direito Digital, Professor de Direito Civil, Direito Digital e Direito da Inovação da Universidade Presbiteriana
Mackenzie. É criador do Observatório Mackenzie de Inteligência Artificial (OMNIA), e criador do Grupo de Pesquisa em Direito, Inovação e Tecnologia (GPDIT) desta
mesma universidade. Visiting Schoolar na Universidade de Perugia e Especialista de Direito Civil Italiano e Europeu pela Universidade de Camerino.
(http://lattes.cnpq.br/8977374124988018)

Stella He Jin Kim: Possui graduação em Direito pela Pontifícia Universidade Católica de São Paulo (PUC-SP). Advogada com experiência em Direito Civil, Direito
Empresarial, Direito de Tecnologia e Proteção de Dados Pessoais. Atuação em demandas administrativas e judiciais. Graduanda em Defesa Cibernética pela FIAP.
 https://www.facebook.com/Morais-
Andrade-Advogados-107932637441845/
https://www.linkedin.com/company/m
orais-andrade-advogados
https://www.instagram.com/morais_
andrade_adv/
https://moraisandrade.com/

OBRIGADO!
Apresentação desenvolvida pela área de Direito Digital do
escritório Morais Andrade Advogados, para mais informações
acesse: https://moraisandrade.com/expertise/digital-e-protecao-de-
dados/