Manual de LGPD

Projeto de Preparação para LGPD

Primeiramente, a tutelas veio para assegurar as condições de demonstrar conformidade com a LGPD, em entender, documentar e validar os dados pessoais, onde coletamos, processamos e descartamos. Neste artigo, iremos falar mais sobre o manual geral da LGPD.

Ainda assim, introduzimos o uso apropriado de avaliações de impacto de proteção de dados, compreendemos e avaliamos o risco de descumprimento da legislação para realizar todas as mudanças necessárias em nossas políticas, como processos, procedimentos, registros, contratos e outros materiais para cumprir os requisitos da LGPD.

Os principais benefícios a serem obtidos com a entrega bem-sucedida deste projeto são os seguintes:

  1. Redução do risco no tratamento de dados pessoais;

  2. Evitar contravenções e multas da LGPD;

  3. Maior garantia aos nossos clientes de que seus dados pessoais estão protegidos;

  4. Melhor compreensão dos dados pessoais que coletamos e processamos;

  5. Oportunidade potencial de vendas;

1.1.1 Projeto de Iniciação

O Projeto de Iniciação é essencial para definir o que seu projeto deve prever e quais são seus objetivos e benefícios. Além disso, estabelece abrangência, pressupostos, equipe de trabalho, recursos necessários, etapas e prazos, comunicação interna e externa, documentos e atividades relevantes e avaliação inicial de risco.

Apesar disso, podemos afirmar que ele é um dos documentos mais importantes, pois define as diretrizes que se encontram usados para que a organização alcance a conformidade com a legislação pertinente.

Nesse sentido, use este documento para obter a confirmação, o compromisso da gerência e da equipe na implementação de processos e dos procedimentos que garantam o tratamento de dados pessoais em conformidade com os requisitos da LGPD.

A princípio, a Lei Geral de Proteção de Dados (Lei nº 13.709/2018), conhecida como LGPD, é uma das legislações mais significativas criadas nos últimos anos. Ela estabelece diversos limites e implementações às organizações que controlam e processam dados pessoais dos cidadãos, para garantir uma proteção mais adequada a esses dados, respeitando direitos como privacidade, intimidade e liberdade de expressão.

Do mesmo modo, a adequação deste regulamento, exige que pesquisemos mais a fundo os dados pessoais que coletamos e processamos, para que torne-se de uma maneira mais apropriada, transparente e justa.

Além disso, para obter em conformidade com a LGPD, este documento inicia o projeto de implementação, que deve ser feito para alinhar seus processos e procedimentos.

Contudo, ele deve conter os seguintes pontos:

  1. Plano de Fundo;

  2. Objetivos e Benefícios;

  3. Abrangência, Restrições e Pressupostos;

  4. Comitê e Equipe do Projeto;

  5. Equipe do Projeto;

  6. Recursos do Projeto;

  7. Etapas e Prazos;

  8. Comunicação do Projeto;

  9. Entregas;

  10. Avaliação de Risco Inicial;

  11. Programação do Projeto Inicial.

1.1.2 Planilha Planejamento do Projeto de Implementação da LGPD

Em primeiro lugar, este é o planejamento do projeto de conformidade com a LGPD em formato de planilha. Em outras palavras, ele é melhor para facilitar o gerenciamento e obter uma melhor funcionalidade.

O plano inclui as principais tarefas envolvidas no projeto, desde a iniciação até a finalização. Você vai precisar decidir a duração provável de cada uma das tarefas e determinar os responsáveis.

Nesse sentido, é difícil prever exatamente como irá ser o andamento da implementação do projeto, porém, indicar tarefas em ordem aproximada de implementação ajudará a acompanhar o progresso.

1.1.3 Planilha Registro de Documentação LGPD

O Registro de documentação, fornece um resumo do esquema de numeração de referência, usados para documentos relevantes em conformidade com o LGPD, juntamente com seu status atual.

Você pode decidir manter essas informações em um sistema, como um sistema de gerenciamento de documentos ou também em uma planilha. Isso tudo é perfeitamente aceitável, desde que as informações estejam prontamente disponíveis.

Contudo, se estiver usando este documento, você deve garantir que ele se encontre atualizado com os documentos listados e alterados.

1.1.4 Carta de Compromisso da Alta Direção

Em primeiro lugar, esta carta de compromisso demonstra o comprometimento do executivo e diretores de acordo com a LGPD e deve aprovar pela alta direção.

1.1.5 Planilha de Evidência de Conformidade da LGPD

Esta planilha mapeia os documentos do e-book da LGPD com os artigos da legislação. Além disso, usa para adicionar seus próprios itens de evidência nos capítulos e artigos relevantes.

1.1.6 Ferramenta de Avaliação de Lacunas LGPD

Antes de tudo, nesta ferramenta de avaliação, a resposta “SIM” indica conformidade com a LGPD, e a resposta “NÃO”, indica não-conformidade parcial ou total com a LGPD. Além disso, se um requisito não for aplicável à empresa, a resposta deve ser “SIM” para que a avaliação aponte corretamente as informações.

Portanto, é importante mencionar que muitos artigos da LGDP são relevantes apenas para o Poder Público, o Conselho e a Autoridade Nacional de Proteção de Dados e da Privacidade. Dessa forma, órgãos de supervisão e outras agências não foram incluídos nos cálculos de avaliação de lacunas.

1.2 Papeis, Treinamento e Conscientização

1.2.1 Funções da LGPD e Responsabilidades

Este documento define algumas das principais funções envolvidas na conformidade com a LGPD, bem como suas responsabilidades relevantes.

Uma organização se torna estruturada de muitas maneiras diferentes, onde depende do tamanho, distribuição geográfica, tecnologia, cultura e se os clientes são internos ou externos. Em outras palavras, você precisará adaptar este documento para refletir a estrutura e os cargos da sua organização.

Nesse sentido, em uma organização maior, esses papéis serão frequentemente atribuídos a pessoas diferentes. Ao contrário de que, em uma organização menor, essas responsabilidades se encontram alocadas para poucas pessoas.

As funções exigidas vão depender da sua organização, ou seja, se é um controlador, operador ou ambos. E também, se o tratamento atende aos critérios para caso ter um encarregado ou não.

É certo de que trata a segurança dos dados pessoais com muita seriedade. Todavia, uma das principais características de uma abordagem eficaz à proteção de dados é a definição de funções.

É fundamental que encontram-se cientes do que devem desempenhar para manter os dados pessoais seguros. Este documento deve ser lido em conjunto com outros que definem como a proteção de dados é gerenciada dentro [do(a) Nome da Organização], incluindo:

  1. Política de Proteção de Dados;

  2. Procedimento de Desenvolvimento de Competências da LGPD;

  3. Processo de Avaliação do Impacto de Proteção de Dados;

  4. Procedimento de Resposta a Incidentes de Segurança da Informação;

  5. Procedimento de Notificação de Violação de Dados Pessoais;

  6. Procedimento de Solicitação de Dados.

Por fim, ao garantir que os papéis e responsabilidades estejam claramente definidos, podemos evitar incidentes de proteção de dados. Caso ocorra alguma situação, estamos capacitados para uma atuação efetiva e adequada.

1.2.2 Procedimento de Desenvolvimento de Competências da LGPD

Desde já, este documento descreve como determinar a competência necessária das pessoas que desempenham funções relacionadas à proteção de dados pessoais. Em seguida, avalia se elas têm esse nível de competência, resultando em recomendações de desenvolvimento.

Ele reúne dois aspectos importantes. Primeiro, as competências necessárias para apoiar o cumprimento da LGPD e, em segundo, as competências que existem atualmente na organização e para isso, é ideal que os dois sejam compatíveis.

Com isso, existem várias opções para que a organização desenvolva as competências necessárias ao LGPD. Cursos, treinamento, briefings internos com membros da equipe mais experientes, entre outros.

É essencial que os funcionários e interessados envolvidos na proteção de dados tenham as aptidões necessárias para proteger os dados pessoais coletados, armazenados e tratados. Desta forma, as consequências de não ter habilidades adequadas dentro da organização pode ser uma causa de descumprimento dos requisitos legais e aumento do risco para os negócios.

Antes de tudo, enfatiza a realização de treinamento periódicos para atender às necessidades do negócio e desenvolver funcionários para que possam desempenhar melhor suas funções. Nos departamentos técnicos, como TI, é necessário desenvolver e manter dentro da equipe as habilidades específicas de tecnologia.

O objetivo deste procedimento de desenvolvimento de funções é identificar se existem, atualmente, competências suficientes relacionadas à proteção de dados.

Com o intuito de produzir recomendações para o desenvolvimento de aptidões adicionais, exige os níveis de competências para cada função da LGPD, em que identifica e compara com níveis existentes de competência das pessoas que cumprem essas funções.

Este procedimento tem de ser em conjunto com os seguintes documentos que fornecem mais detalhes sobre o contexto, escopo, objetivos, recursos, funções e responsabilidades relacionadas à conformidade com a LGPD:

  1. Política de Proteção de Dados;

  2. Processo de Avaliação de Impacto de Proteção de Dados;

  3. Funções e Responsabilidades da LGPD;

  4. Procedimento de Resposta a Incidentes de Segurança da Informação.

Desde já, este documento descreve como determinar a competência necessária das pessoas que desempenham funções relacionadas à proteção de dados pessoais. Em seguida, avalia se elas têm esse nível de competência, resultando em recomendações de desenvolvimento.

Ele reúne dois aspectos importantes. Primeiro, as competências necessárias para apoiar o cumprimento da LGPD e, em segundo, as competências que existem atualmente na organização e para isso, é ideal que os dois sejam compatíveis.

Com isso, existem várias opções para que a organização desenvolva as competências necessárias ao LGPD. Cursos, treinamento, briefings internos com membros da equipe mais experientes, entre outros.

É uma boa prática avaliar a eficácia das ações tomadas e manter registros próprios que foi realizando.

É essencial que os funcionários e interessados envolvidos na proteção de dados tenham as aptidões necessárias para proteger os dados pessoais coletados, armazenados e tratados. Desta forma, as consequências de não ter habilidades adequadas dentro da organização pode ser uma causa de descumprimento dos requisitos legais e aumento do risco para os negócios.

Antes de tudo, enfatiza a realização de treinamento periódicos para atender às necessidades do negócio e desenvolver funcionários para que possam desempenhar melhor suas funções.

Nos departamentos técnicos, como TI, é necessário desenvolver e manter dentro da equipe as habilidades específicas de tecnologia.

O objetivo deste procedimento de desenvolvimento de funções é identificar se existem, atualmente, competências suficientes relacionadas à proteção de dados.

Com o intuito de produzir recomendações para o desenvolvimento de aptidões adicionais, os níveis de competências exigidos para cada função da LGPD, com níveis existentes de competência das pessoas que cumprem essas funções.

Este procedimento tem de ser em conjunto com os seguintes documentos que fornecem mais detalhes sobre o contexto, escopo, objetivos, recursos, funções e responsabilidades relacionadas à conformidade com a LGPD:

  1. Política de Proteção de Dados;

  2. Processo de Avaliação de Impacto de Proteção de Dados;

  3. Funções e Responsabilidades da LGPD;

1.2.3 Programa de Comunicação da LGPD

Em primeiro lugar, o Programa de Comunicação da LGPD vai estabelecer como a alta direção irá comunicar a importância da LGPD e de outros tópicos relacionados à segurança da informação para os colaboradores e outras partes interessadas.

Dessa forma, há várias maneiras dentro e fora da organização que a alta direção pode estabelecer a comunicação adequada e eficaz.

Sua organização pode ter métodos de comunicação estabelecidos que se usam para essa finalidade. O “ponto-chave” é que haja evidências do qual a alta direção está assumindo suas responsabilidades para transmitir:

  1. A importância do cumprimento dos requisitos e das obrigações contratuais em geral e da LGPD;

  2. A importância de cumprir os requisitos de segurança da informação;

  3. O conteúdo da política de gerenciamento de segurança da informação;

  4. Conscientização dos riscos e questões de segurança da informação.

Contudo, um briefing anual considera-se como razoável, mas recomenda-se que um programa mais regular seja feito, usando vários métodos de comunicação e por isso, não há determinação de tempo ou frequência nos treinamentos.

Levando em consideração de todos os direitos dos titulares de dados, a adequação deste regulamento exige que analisemos atentamente aos dados pessoais que coletamos e processamos, sendo tudo de uma maneira apropriada, transparente e justa.

Dessa forma, para que todas as partes interessadas, como funcionários, clientes, contratados e fornecedores, estejam cientes do que está acontecendo, há uma grande necessidade de informar essas mudanças, implicações e a abordagem. Nesse sentido, este documento identifica quem são as partes interessadas e como um canal de comunicação eficaz será prescrito.

Ainda mais, estabelece como as partes interessadas, dentro e fora, se comunicam sobre o assunto da LGPD, e os controles de segurança da informação para cumprir as exigências legais.

1.3 Mapeamento e Análise de Dados Pessoais

1.3.1 Procedimento de Análise de Dados Pessoais

A princípio, este documento descreve como os dados pessoais podem ser documentados e analisados para garantir a conformidade com a LGPD.

Há muitas maneiras diferentes de mapear e analisar dados, e esse procedimento descreve apenas um desses métodos. Se a sua organização tiver um recurso padrão, é perfeitamente aceitável usá-lo.

Um requisito da LGPD, é que você entenda quais dados coleta, trata e o porquê. Os mesmos dados são usados para muitas finalidades diferentes e é essencial esclarecer não apenas eles, mas também a justificativa legal dos usos dessas informações.

A LGPD coleta, armazena, faz o tratamento e transfere uma ampla variedade de dados pessoais como parte de suas operações comerciais. Esses dados, sobre os titulares, estão sujeitos a várias obrigações legais em relação a sua proteção e uso, inclusive aquelas previstas na Lei Geral de Proteção de Dados do Brasil (LGPD).

Para entender e comprovar que estamos cumprindo essas obrigações, precisamos ter uma visão clara e completa dos dados pessoais envolvidos.

Em outras palavras, o objetivo deste procedimento é definir e documentar os dados pessoais envolvidos em um ou mais processos de negócios. É fundamental recolher apenas dados necessários para os fins legais.

Apesar disso, usa este procedimento como parte de um exercício inicial, para capturar informações sobre todos os dados pessoais dentro da organização ou simplesmente para avaliar em único processo de negócio, sistema ou área.

Os seguintes documentos relacionados, são relevantes para este procedimento:

  1. Política de Proteção de Dados;

  2. Política de Retenção e Proteção de Registros;

  3. Procedimento Legítimo de Avaliação de Interesse;

  4. Processo de Avaliação de Impacto de Proteção de Dados;

  5. Procedimento para Transferências Internacionais de Dados Pessoais.

1.3.2 Procedimento de Avaliação de Interesse Legítimo

Antes de mais nada, este procedimento define como a verificação do interesse legítimo vai conduzir, a fim de determinar se a coleta de dados pessoais tem base legal e se pode receber tratamento.

O interesse legítimo é uma alternativa legal, na qual autoriza a coleta e tratamento de dados pessoais que se aplica em vários casos. Porém, é importante demonstrar os motivos que levaram a essa conclusão com base em justificativas razoáveis.

De acordo com o regulamento, existem algumas alternativas legais que autorizam o tratamento de dados pessoais sob a ótica da LGPD, como política e procedimento interno, onde identifica em qual base legal permite a coleta e o tratamento de dados pessoais. Depois, registra essa avaliação em documento específico.

As opções são as seguintes:

  1. Consentimento;

  2. Obrigação legal;

  3. Interesse Público;

  4. Realização de Estudo/Pesquisa;

  5. Contratual;

  6. Exercício Regular do Direito;

  7. Interesse Vital do Titular dos Dados;

  8. Interesse legítimo;

  9. Proteção de crédito.

Este método se utiliza quando identifica que a base legal do tratamento se apoia no interesse legítimo.

Deve-se analisar este procedimento em conjunto com os seguintes documentos relacionados:

  1. Política de Proteção de Dados;

  2. Política de Retenção e Proteção de Registros;

  3. Procedimento de Análise de Dados Pessoais;

  4. Procedimento de Solicitação de Dados;

  5. Processo de Avaliação de Impacto de Proteção de Dados.

1.3.3 Planilha de Registros de Atividades de Tratamento

Em primeiro lugar, a LGPD tem como exigência, manter registros de atividade de tratamentos relacionadas a dados pessoais.

Normalmente, os registros terão vários formulários diferentes, como políticas, registros e diretórios. Essa planilha, deve funcionar apenas como um resumo do tratamento regular de dados pessoais, contendo os motivos desse tratamento e que tem acesso a ele.

1.3.4 Planilha Formulário de Análise de Dados Pessoais

Este formulário analisa os dados pessoais coletados e tratados como parte de um projeto ou processo de negócio específico.

Este formulário usa-se para definir os dados pessoais que encontram-se coletados, e identificar vários atributos deles, como a base legal do tratamento.

Além disso, uma opção desse formulário, é a lista de ações que define o que precisa ser feito/investigado para poder preencher qualquer lacuna, por exemplo, como descobrir onde os dados pessoais estão armazenados na nuvem.

1.4 Política de Privacidade e Avisos

1.4.1 Política de Retenção e Proteção de Registros

Este documento define como os registros de dados devem se proteger e suas regras de retenção.

Você pode solicitar uma assessoria jurídica para entender quais partes da legislação se aplicam à sua organização, além da LGPD e suas implicações para armazenamento, e retenção de registros.

Desta forma, você não deve manter os dados por mais tempo do que o necessário, pois estaria contrariando a legislação e representaria um risco significativo para a sua organização.

Uma técnica recomendada pela LGPD é que, se você precisar armazenar esses dados por um longo período de tempo, é preciso realizar a anonimização, onde é o processo de tornar as informações anônimas.

Ainda assim, em suas operações ou processos comerciais diários, ele coleta e armazena registros de vários tipos e formatos diferentes. Também altera a importância relativa à sensibilidade desses registros e está sujeita ao regime de classificação de segurança de dados da organização.

É importante que esses registros tornam-se protegidos contra perda, destruição, falsificação, acesso e liberação não autorizada. Inclusive, usa-se uma variedade de controles para garantir isso, como backups, controle de acesso e criptografia.

Além disso, tem a responsabilidade de garantir que está em conformidade com todos os requisitos legais, regulatórios e contratuais, que são referentes a coleta, armazenamento, recuperação e destruição de registros de dados.

Por outro lado, esse controle se aplica a todos as operações, pessoas e processos que constituem o sistema de informações da organização, incluindo membros do conselho, diretores, funcionários, fornecedores e outros terceiros que têm acesso aos dados tratados [pelo (a) Nome da Organização].

Os documentos a seguir são relevantes para esta política:

  1. Política de Proteção de Dados;

  2. Processo de Avaliação de Impacto de Proteção de Dados;

  3. Procedimento de Aviso de Privacidade;

  4. Procedimento de Análise de Dados Pessoais.

1.4.2 Política de Proteção de Dados

Este documento define responsabilidades e a política para a proteção de dados pessoais.

Você pode solicitar uma assessoria jurídica para entender quais partes da legislação se aplicam à sua organização e suas implicações.

Contudo, tem que avaliar e gerenciar o risco de não cumprir a legislação de proteção de dados. As consequências podem incluir multas pesadas, por isso, a organização deve ter foco na aplicação desta política.

Em suas operações diárias de negócios [o Nome da Organização], faz uso de uma variedade de dados sobre as pessoas, incluindo:

  1. Empregados atuais;

  2. Antigos e potenciais clientes;

  3. Usuários de seus sites;

  4. Fornecedores;

  5. Outras partes interessadas.

Ao coletar e usar esses dados, a organização é sujeita a uma variedade de leis que definem como tais atividades se realizam e quais as consequências, caso não cumpre as determinações.

Em outras palavras, o objetivo desta política é estabelecer a legislação relevante e descrever as atitudes que está adotando para garantir sua conformidade com a lei.

Esse controle se aplica a todas as operações, pessoas e processos que constituem o sistema de informações da organização, tendo como exemplo, membros do conselho, diretores, funcionários, fornecedores e outros terceiros que tenham acesso a dados tratados [pelo (a) Nome da Organização].

Dessa forma, as políticas e procedimentos a seguir são relevantes para este documento:

  1. Processo de Avaliação de Impacto de Proteção de Dados;

  2. Procedimento de Análise de Dados Pessoais;

  3. Procedimento de Avaliação de Interesse Legítimo;

  4. Procedimento de Resposta a Incidentes de Segurança da Informação;

  5. Funções e Responsabilidades da LGPD;

  6. Política de Retenção e Proteção de Registros.

1.4.3 Procedimento de Aviso de Privacidade

Primeiramente, este procedimento define como a organização atenderá aos requisitos da LGPD ao coletar dados pessoais.

A LGPD necessita adquirir sobre as informações quando seus dados pessoais encontram-se coletados diretamente ou obtidos indiretamente. Nesse sentido, envolve informar aos titulares os dados usados e quais estão em seus direitos.

Contudo, utiliza este procedimento quando implementar um novo processo/projeto comercial ou no momento em que ocorrer alguma alteração já existente, na qual exige o recolhimento de dados pessoais dos titulares.

A LGPD exige que forneça informações específicas no momento da coleta ou recebimento de dados pessoais. Essas pesquisas, variam de acordo com as circunstâncias e além disso, usa esse procedimento de um modo que se apresente compatível com a LGPD.

Antigamente, forneciam as informações sobre privacidade em um único documento (“Política de Privacidade”). Contudo, com a LGPD, a abordagem passou a ser individual, ou seja, dependendo o tipo de atividades.

Para ter informações mais transparentes e menos confusas, tem-se como exemplo: exibe um aviso de privacidade quando um pedido é feito no site e, diferente quando o usuário se inscreve para receber um boletim informativo.

Nesse sentido, usa-se tais avisos de privacidade em conjunto com uma política de privacidade mais tradicional.

Portanto, leia este procedimento em conjunto com os seguintes documentos relacionados:

  1. Formulário de Planejamento de Aviso de Privacidade – Sujeito dos dados;

  2. Formulário de Planejamento de Aviso de Privacidade – Outros;

  3. Processo de Avaliação de Impacto de Proteção de Dados;

  4. Política de Retenção e Proteção de Registros;

  5. Política de Proteção de Dados;

  6. Procedimento de Avaliação de Interesse Legítimo.

1.4.4 Política de Privacidade do Site

Este documento estabelece as informações que fornece ao titular dos dados, principalmente para tratamento através de um website.

O uso de avisos de privacidade é visto como uma boa prática, de modo que as informações necessárias executem à transação específica. No entanto, desde que redige uma linguagem clara e fácil de encontrar a informação em que interessa, o fornecimento de um único documento ainda é aceitável.

Em outras palavras, significa usar o conceito de política “em camadas”, onde é flexível e usa uma combinação de índices, títulos expansíveis e hiperlinks para informações mais detalhadas. O conteúdo exato varia de acordo com fatores da sua organização, como as transações envolvidas, a base legal do processamento e de que maneira compartilha os dados pessoais.

1.4.5 Política do CCTV

A princípio, este documento define as responsabilidades e políticas da organização para o uso do Circuito Fechado de Televisão (closed-circuit television – CCTV).

Antes de tudo, você precisa se certificar de que seu uso do CCTV se apropria e não excessivamente intruso. Segundo a LGPD, os titulares dos dados solicitam imagens de suas gravações, e por isso, é bom se preparar. Além disso, é preciso cuidar com quem tem acesso às gravações e por quanto tempo elas vão manter.

A tecnologia do Circuito Fechado de Televisão (closed-circuit television – CCTV) se desenvolveu nos últimos anos para ser mais confiável, econômica e disponível.

Quando usado adequadamente, o CCTV pode ajudar a reduzir o risco de acesso não autorizado às instalações, tranquilizar os clientes e quando um incidente ocorre, fornece um registro preciso do que aconteceu.

Em outras palavras, faz o uso do CCTV em circunstancias apropriadas para abordar áreas específicas de risco a fim de proteger seus negócios, funcionários, clientes e outras partes interessadas.

Contudo, ao coletar e usar esses dados de vídeos (e áudio), a organização está sujeita a uma variedade de leis, incluindo a LGPD, onde controla de como as atividades realizam, e as proteções que têm de ser postas em prática para proteger as informações.

O objetivo desta política é definir as regras que seguem ao instalar e lidar com o CCTV, para que atendem as responsabilidades da organização em todos os momentos, e que também, maximize a utilidade dos dados.

É importante ressaltar que esta política, não aborda o uso de tecnologia especializada, como Reconhecimento Automático de Placas de identificação, reconhecimento facial ou veículos operados remotamente (drones, também conhecidos como sistemas aéreos não tripulados – VANT).

Ela aplica-se a todos as operações, pessoas e processos que constituem os sistemas de informação da organização, incluindo membros do conselho, diretores, funcionários, fornecedores e outros terceiros que tenham acesso a Sistemas do(a).

Dessa forma, as políticas e procedimentos a seguir são relevantes para este documento:

  1. Política de Proteção de Dados;

  2. Política de Retenção e Proteção de Registros;

  3. Processo de Avaliação de Impacto de Proteção de Dados;

  4. Procedimento de Avaliação de Interesse Legítimo.

1.4.6 Formulário de Planejamento de Aviso de Privacidade – Sujeito dos Dados

De acordo com a LGPD, utiliza este formulário como parte do planejamento da criação de um aviso de privacidade, em que obtém os dados diretamente do titular. Consulte o Procedimento do Aviso de Privacidade para adquirir mais detalhes sobre como preenche-lo.

1.4.7 Formulário de Pedido de Consentimento

[Este formulário (ou seu formato geral usando outro meio, por exemplo, em um site) usa para fornecer consentimento explícito no tratamento de dados pessoais sob as disposições da Lei Geral de Proteção de Dados (LGPD). No entanto, ele usa em conjunto com um aviso de privacidade adequado].

A princípio, este formulário solicita o seu consentimento para permitir que utilizemos seus dados pessoais pelos motivos indicados abaixo. Você só deve assiná-lo se optar por fornecer seu consentimento.

1.4.8 Formulário de Planejamento de Aviso de Privacidade

De acordo com a LGPD, utiliza este formulário como para do planejamento da criação de um aviso de privacidade, em que obtém os dados pessoais de uma forma direta. Para obter detalhes sobre como preenche-lo, consulte o Procedimento do Aviso de Privacidade.

1.5 Direitos do titular dos dados

1.5.1 Acesso aos Dados Pessoais Procedimento de Solicitação

Conforme estabelecido na LGPD, este procedimento descreve como é a organização para que cumpre os direitos do titular.

Antes de tudo, a LGPD fornece ao titular dos dados uma ampla gama de direitos que exercem sobre seus dados pessoais. É importante que a organização esteja pronta para atender às solicitações dos titulares, no exercício dos seus direitos e nos prazos necessários.

No entanto, o modo de solicitação varia de acordo com os dados pessoais envolvidos e as formas de armazenados e tratamento.

Este procedimento, oferece uma estrutura inicial aos próprios métodos existentes e fornece orientação sobre como os requisitos da LGPD pode afetar as solicitações de acesso aos dados pessoais.

Em outras palavras, este método utiliza quando um titular de dados exerce um ou mais dos direitos que concede na LGPD.

Os direitos do titular possuem seus próprios aspectos e desafios para que cumpre dentro do prazo necessário. Em geral, é adotado [pelo (a) Nome da Organização], uma abordagem proativa que coloque o máximo de acesso e controle, dos dados pessoais, nas mãos do titular, com uma quantidade mínima de intervenção ou envolvimento dos usuários.

Além disso, realiza por meio de acesso on-line, para que o titular dos dados possa verificá-lo e modificá-lo conforme necessário.

No entanto, em alguns casos, há um processo de atuação e decisão a ser seguido [pelo (a) Nome da Organização] em relação a uma solicitação permitida ou não. Nesses casos, as etapas envolvidas serão explanadas neste documento.

Portanto, deve ler este procedimento em conjunto com os seguintes documentos:

  1. Registro de Solicitação de Acesso de Dados;

  2. Processo de Avaliação de Impacto de Proteção de Dados;

  3. Política de Retenção e Proteção de Registros;

  4. Política de Proteção de Dados;

  5. Procedimento de Avaliação de Interesse Legítimo;

  6. Procedimento de Aviso de Privacidade.

1.5.2 Planilha Registro de Solicitação de Assunto de Dados

Este documento registra os detalhes de cada solicitação de acesso de assunto de dados.

Usa este registro em conjunto com o Procedimento de Solicitação de Acesso Aos Dados e o Formulário de Solicitação de Acesso aos Dados. Nesse sentido, você pode alterar ou adicionar colunas de acordo com o seu procedimento.

No entanto, o importante disso tudo, é que mantenha os registros das solicitações para demonstrar a conformidade com a LGPD.

1.5.3 Formulário de Solicitação de Acesso aos Dados

Use este formulário para enviar uma solicitação de acesso aos dados, conforme as disposições da LGPD.

1.6 Controladores e processadores

1.6.1 Política do Contrato do Controlador/Operador da LGPD

Este documento fornece orientação sobre as informações para adicionar em um contrato com finalidade de incluir os requisitos da LGPD.

Primeiramente, na data desta versão do kit LGPD, não há cláusulas contratuais-padrão disponíveis que já aprovou pelo Brasil.

Portanto, deve-se usar as informações com cautela. Ela baseia do que é necessário em nossa compreensão, mas deve revisar por um profissional jurídico qualificado antes de se firmar um contrato.

Contudo, a política compromete em proteger e garantir sua conformidade com toda a legislação relevante, os dados pessoais de seus funcionários, clientes, fornecedores e outras partes interessadas.

Como parte de seus negócios, ela conta com várias organizações terceirizadas para ajudar a fornecer um alto nível de serviço aos seus clientes e também, alcançar novos mercados e cuidar de seus funcionários em uma ampla gama de outras atividades.

Além disso, a Lei Geral de Proteção de Dados (LGPD), prevê obrigações para o controlador de dados pessoais para garantir a proteção desses dados quando eles tratam por terceiros, ou seja, um operador.

Contudo, ao formar um relacionamento controlador/operador, a LGPD é bastante específica sobre o fato de que um acordo contratual deve existir, e que tem de conter informações sobre os dados pessoais envolvidos.

Este documento define as informações que devem ser incluídas nos contratos que envolvem o tratamento de dados pessoais.

Dessa forma, os seguintes documentos são relevantes para este procedimento:

  1. Política de Proteção de Dados;

  2. Procedimento de Avaliação da LGPD do Operador;

  3. Procedimento para transferências internacionais de dados pessoais;

  4. Procedimento de solicitação de acesso aos dados.

1.6.2 Procedimento de Avaliação do Operador da LGPD

Este documento descreve como as avaliações de operadores que armazenam ou tratam dados pessoais se realizam.

A princípio, sua organização tem acesso a informações específicas sobre prestadores de serviços, e certamente, recomendamos que usem para obter uma visão mais completa possível da empresa com a qual você está contratando.

Embora este procedimento seja relevante para todos os fornecedores, é particularmente importante para os serviços em nuvem, armazenar os dados da sua organização de sua rede interna.

O uso de operadores apropriados, seguros e eficazes é fundamental para a conformidade [do (a) Nome da Organização] com a Lei Geral de Proteção de Dados (LGPD). Os operadores não usam apenas para ajudar na administração de uma empresa eficaz, mas, em muitos casos, para fornecer serviços diretamente ao cliente, como no caso de hospedagem na web.