Programa de Adequação

Etapa 1
Diagnóstico e laudo acerca da legalidade dos tratamentos e segurança da informação

 Alinhamento do cronograma do projeto e protocolos de comunicação e identificação dos líderes

a serem desenvolvidos por departamento/unidade de negócio;
 Reunião de kick-off para abertura do projeto;

 Definição do time interno (Grupo de trabalho ou Comitê de Privacidade);

 Palestra/workshop com colaboradores sobre cuidados com segurança da informação e

privacidade.
 Sessão de treinamento com líderes de departamento para explicar o escopo do trabalho e da lei;

 Envio e análise da pesquisa de maturidade em privacidade para colaboradores;

 Envio de formulário eletrônico para coleta de informações sobre dados pessoais tratados para os
líderes;
 Entrevistas complementares com os líderes dos departamentos para confirmação e detalhamento
sobre as formas de tratamento dos dados pessoais;
 Elaboração da planilha de inventário/diagnóstico com analise da legalidade do tratamento a
partir de cada dado coletado (finalidade, necessidade, adequação) abrangendo:

- o respectiva base legal da LGPD e/ou legislações e normativas setoriais;

- o indicação de prazos de retenção aplicáveis ás categorias de dados pessoais tratados a partir da
respectiva finalidade;
- o indicação de riscos em situações de compartilhamento entre empresas do grupo, terceiros
operadores ou joint controllers e transferência internacional;

 Elaboração do laudo/report final do diagnóstico com matriz de riscos e roadmap de adequação;

 Avaliação da efetividade da Política de Segurança da Informação existente e planejamento de
alinhamento com o Programa de Governança em Privacidade. Reunião para apresentação dos
resultados do trabalho da ETAPA 1.

Programa de Adequação
Etapa 2

a) Estruturação do programa de segurança da informação e programa de

privacidade e proteção de dados pessoais

 Auxiliar a organização na definição da Missão e Declaração de Privacidade;

 Auxiliar na escolha do melhor modelo de governança de privacidade a ser implementado;
 Revisão dos riscos específicos levantados na Etapa 1.
 Revisão dos dados levantados e definição de prioridades para empresas, como termos de
consentimento ou políticas para áreas sensíveis que sejam mais urgentes;
 Definição do cronograma de implementação e estrutura macro do programa de governança em
privacidade;
 Definição do cronograma de ajustes e alinhamento à Política de Segurança da Informação;

b) Implementação

 Entregue a ETAPA 1 e a partir da revisão das necessidades apresentadas na ETAPA 2, a

presente proposta entregará, ainda:

 Elaboração da minuta da política de privacidade geral da organização e específicas, se

necessário;
 Elaboração de termos de consentimento em sites, presenciais ou outras aplicações que se fizerem
necessárias;
 Treinamento geral para expor aos colaboradores a Política de Privacidade geral, antes de expor
ao público externo;
 Elaboração de documentação obrigatória como, por exemplo: LIA – Legitimate Interest
Assessment e PIA - Privacy Impact Assessment e DPIA – Data Protection Impact Assessment;
 Orientar a implementação de procedimentos técnicos para redução ou eliminação de riscos
envolvidos no uso de base de dados legadas, se houver (criptografia, anonimização,
pseudonimização, renovação consentimento, dentre outras, mediante elaboração de PIA);
 Orientação para redução da coleta ou tratamento de dados excessivos apresentados no
diagnóstico, o Ajustes contratos de trabalho;
 Elaboração de políticas de apoio especificas parra o Programa de Privacidade;

 Elaboração de DPA – Data Processing Agreements padrão e avaliação de fornecedores que

tratam dados pessoais em nome do cliente;
 Ajustes específicos em contratos com fornecedores/operadores/ joint controllers; Implementação
de scripts e templates para Privacy by Design, definindo formas de atendimento em todos
departamentos que lidam com atendimento aos titulares de dados;
 Revisão do Programa de Segurança da Informação e alinhamento com o Programa de
Privacidade;
 Revisão ou elaboração das políticas, documentos de apoio e controles específicos para o
Programa de Segurança da Informação, como por exemplo:

1. Termo de Solicitação e Devolução de Equipamentos de TI

2. Política de Classificação da Informação
3. Norma de uso de acesso remoto
4. Norma de uso dos ativos do TI
5. Norma de uso de dispositivos móveis
 6. Norma de Gestão de Identidade e controle de acesso
7. Norma de utilização de Mídias Sociais
8. Norma de Controles Criptográficos
9. Norma de backup e restauração
10. Norma de segurança em desenvolvimento de Software
11. Norma Gestão de Mudança
12. Norma Gestão de Incidentes de Segurança
13. Norma Gestão de Monitoramento
14. Processo admissional (Envolve requisitos de segurança da informação, como
criação de perfis de acesso ao ambiente de TI)
15. Processo de Desligamento (Envolve requisitos de segurança da informação, como
remoção imediata de perfis de acesso ao ambiente de TI)
16. Plano de resposta a incidentes e contigência;

 Treinamento geral para expor aos colaboradores o Programa de Segurança da Informação;

 Elaboração do Programa de Governança em Privacidade.

Etapa 3
Revisão e Comunicação
 Revisão e attestation de conformidade
 Comunicação visual na organização (Fair and layered information e educação interna);
 Treinamentos internos (além dos acimas indicados, mais 3 sessões, de até 60 minutos, para
treinamento quanto ao Programa de Governança em Privacidade)

DPO AS SERVICE – ENCARREGADO TERCERIZADO

Com a entrada em vigor da LGPD, todos os controladores de dados pessoais são

obrigados a nomearem Encarregado de Proteção de Dados Pessoais ou DPO – Data
Protection Officer, cujas obrigações incluem:
a) Receber as reclamações e comunicações dos titulares, prestar esclarecimentos e adotar ou
orientar a empresa na adoção de providências;
b) Receber comunicações da Autoridade Nacional de Proteção de Dados (ANPD) e adotar ou
orientar a empesa na adoção de providências;
c) Revisar periodicamente o Programa de Governança em Privacidade e a Política de Privacidade e
outras correlatas da empresa e, caso necessário, realizar a devida adequação à norma vigente;
d) Manter atualizado o mapeamento dos dados pessoais coletados pela empresa, formas de
tratamento, tipos de dados coletados, finalidade da coleta, descarte, pessoas envolvidas no
processo e qualquer outra informação necessária ao inventário, sempre que necessário;
e) Assegurar o cumprimento das políticas de privacidade e proteção de dados e controlar e regular a
conformidade da aplicação da LGPD no âmbito da empresa;
f) Promover formações de boas práticas para a proteção de dados, com orientação aos funcionários
e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de
dados pessoais, fazendo cumprir e tornando efetivo o Programa de Governança em privacidade;
g) Revisar periodicamente os processos de tratamento de dados pessoais, mantendo atualizado os
registros das atividades;
h) Levar conhecimento e treinamento aos colaboradores sobre temas relativos à proteção e dados e
segurança da informação;
i) Elaborar Relatórios de Impacto à Privacidade quando houver mudança no serviço prestado;
j) Fornecer orientações em relação às atividades de impacto de privacidade conduzidas no cliente;
k) Realizar avaliação de exposição a riscos de violações de privacidade e mitiga-los com
proposição de ações de melhoramento;
l) Monitorar, mediante avaliações periódicas, o cumprimento de contratos de subcontratante no
caso de troca de dados autorizada;
m) Prestar consultoria sobre temas relativos à proteção de Dados Pessoais.