LIMBER - METODOLOGIA DE IMPLANTAÇÃO LGPD

2021 Guia de Implementação da Lei Geral de Proteção de Dados (LGPD) METODOLOGIA DE IMPLANTAÇÃO LIMBER SOFTWARE E CONSULTORIA LTDA

1 A LGPD (LEI GERAL DE PROTEÇÃO DE DADOS) é aplicada para qualquer operação de tratamento de dados pessoais realizada por pessoa natural ou por pessoa jurídica. Esta Lei aplica-se a qualquer operação de tratamento realizada por pessoa natural ou por pessoa jurídica de direito público ou privado, independentemente do meio, do país de sua sede ou do país onde estejam localizados os dados. Para facilitar o início da implementação da conformidade da empresa com a Lei Geral de Proteção de Dados, elaboramos este guia em 10 passos para o acompanhamento. Algumas sub etapas aqui descritas, no decorrer do projeto poderão ser descartadas caso desnecessárias, assim como, poderá haver introdução de outras etapas e documentos. É importante salientar, que o sucesso da implementação da LGPD na sua empresa vai depender exclusivamente de você e sua equipe. Para que o projeto seja executado com sucesso será necessário a leitura completa da lei bem como a sua compreensão, além de adoção e compreensão de normas já reconhecidas e amplamente difundidas internacionalmente. O que apresentamos aqui é nosso entendimento do que é necessário para a conformidade com a LGPD, com base em muita pesquisa e informações, análise da LGPD e uma variedade de informações adicionais de conferências, livros, webinars, apresentações, discussões e exames sobre o assunto.

PASSO 1 - Projeto de Preparação 2 Tarefas chave • Realizar uma avaliação de lacunas (GAP’s) • Definir, planejar e iniciar seu projeto • Organizar a documentação da LGPD Documentos Relevantes Padronizados – CR Compliance CÓDIGO Documento de Iniciação ao Projeto de Conformidade 01-A-DOC Plano de Projeto de Preparação 01-B-PLH Apresentação 01-C-PLH Registro de Documentação 01-D-APR Carta de Suporte Executivo 01-E-DOC Evidência de Conformidade 01-F-FOR Atas da Reunião 01-G-FOR Ferramenta de Avaliação de Lacunas (GAP’s) 01-H-FOR PASSO 2 - Papéis, Conscientização e Treinamento Tarefas chave • Comunicar e promover a conscientização sobre a LGPD • Definir papéis e quem os preencherá • Nomear quem irá fiscalizar o cumprimento • Decidir se você precisa de um responsável pela proteção de dados • Identificar as necessidades de treinamento e realizá-las

Documentos Relevantes Padronizados – CR Compliance CÓDIGO 3 Funções e Responsabilidades 02-A-DOC Procedimento de Desenvolvimento de Competências 02-B-DOC Programa de Comunicação 02-C-DOC Treinamento de Conscientização sobre Segurança da Informação 02-D-APR Apresentação do Treinamento de Conscientização 02-E-APR Questionário de Desenvolvimento de Competências 02-F-FOR Pôster de Conscientização (para os titulares dos dados) Pôster de Conscientização (para colaboradores) PASSO 3 - Análise de Dados Pessoais Tarefas chave • Descubra e registre seu uso de dados pessoais • Identifique e justifique a base legal de cada atividade de tratamento • Comece a manter registros do seu tratamento PASSO 4 - Política de Privacidade e Avisos Tarefas chave • Defina sua política de privacidade, proteção e retenção de dados • Crie ou atualize seus avisos de privacidade • Planeje obter consentimento quando necessário

Documentos Relevantes Padronizados – CR Compliance CÓDIGO Política de Retenção e Proteção de Registros 04-A-DOC Política de Proteção de Dados 04-B-DOC 4 Procedimento de Aviso de Privacidade 04-C-DOC Política de Privacidade do Site 04-D-DOC Política de CFTV – Circuito Fechado de TV (se aplicável) 04-E-DOC Formulário de Planejamento do Aviso de Privacidade - Titular dos 04-F-FOR Dados Formulário de Solicitação de Consentimento do Titular 04-G-FOR Formulário de Planejamento do Aviso de Privacidade – Outra Fonte 04-H-FOR PASSO 5 - Direitos do Titular dos Dados Tarefas chave • Definir como as solicitações do titular dos dados serão tratadas • Implementar procedimentos para tratá-los • Comece a gravar solicitações de acesso de dados Documentos Relevantes Padronizados – CR Compliance CÓDIGO Procedimento de Solicitação do Titular de Dados 05-A-DOC Registro de Solicitação do Titular de Dados 05-B-PLH Formulário de Solicitação do Titular de Dados 05-C-FOR

PASSO 6 - Controladores e Operadores 5 Tarefas chave • Atualize seus contratos para estar em conformidade com a LGPD • Descubra como seus operadores estão protegendo os dados pessoais • Se operador, informe aos controladores como protege os dados pessoais • Garanta a confidencialidade de seus funcionários Documentos Relevantes Padronizados – CR Compliance CÓDIGO Política de Contrato de Controlador-Operador 06-A-DOC Procedimento de Avaliação LGPD do Operador 06-B-DOC Controles de Segurança do Operador 06-C-DOC Declaração de Conformidade 06-D-DOC Carta para os Operadores 06-E-DOC Ferramenta de Revisão de Contrato 06-G-FOR Avaliação da LGPD do Operador 06-H-FOR Contrato de Confidencialidade de Funcionários do Operador 06-I-FOR Lista de Verificação de Conformidade 06-J-FOR Contrato de Processamento de Dados 06-K-FOR Contrato de Sub Operadores (se aplicável) 06-L-FOR

PASSO 7 - Avaliação de Impacto na Proteção de Dados 6 Tarefas chave • Planeje como você conduzirá avaliações de impacto na proteção de dados • Comece a conduzi-los onde for apropriado Documentos Relevantes Padronizados – CR Compliance CÓDIGO Processo de Avaliação de Impacto da Proteção de Dados 07-A-DOC Relatório de Avaliação de Impacto da Proteção de Dados 07-B-DOC Ferramenta de Avaliação de Impacto da Proteção de Dados 07-C-FOR Questionário de Avaliação de Impacto na Proteção de Dados 07-D-FOR PASSO 8 - Gerenciamento de Violação de Dados Pessoais Tarefas chave • Defina como você irá lidar com uma violação de dados pessoais • Teste seus procedimentos • Quando necessário notifique Documentos Relevantes Padronizados – CR Compliance CÓDIGO Procedimento de Resposta a Incidentes de Segurança da Informação 09-A-DOC Procedimento de Notificação de Violação de Dados Pessoais 09-B-DOC Registro de Violação de Dados Pessoais 09-C-PLH Formulário de Notificação de Violação de Dados Pessoais 09-D-FOR Carta de notificação de violação dos dados aos titulares dos dados 09-E-FOR

PASSO 9 - Políticas de Segurança da Informação 7 Tarefas chave CÓDIGO • Defina suas políticas de segurança da informação 10-A-DOC • Aprovar, publicar e comunicar as políticas 10-C-DOC • Garantir o cumprimento das políticas 10-D-DOC 10-E-DOC Documentos Relevantes Padronizados – CR Compliance 10-F-DOC Política de Segurança da Informação 10-G-DOC Política de Controle de Acesso 10-J-DOC Política Criptográfica Exemplo Política de Segurança Física Política Anti-malware Política de Segurança de Rede Política de Aceitação pelo Usuário Manual de Boas Práticas

Estas serão as fases de implantação da LGPD, junto a Limber Software e 8 Consultoria Ltda., mesmo sendo um longo processo de posicionamento para que esta organização consiga alcançar a conformidade com a LGPD. Salientamos também que as 10 fases, bem como as suas documentações, em sua maior parte, seria o que está previsto é comum para todos, mesmo que a lei nem sempre o faça parecer dessa maneira. Por isso a importância de um diagnóstico inicial bem-feito, pois a implementação dos requisitos regulamentados pela LGPD demanda uma mudança de cultura da organização e, com as pressões diárias de entrega de um produto ou serviço, às vezes pode parecer assustador, mas, no entanto, seguindo esta metodologia, esperamos esclarecer o que precisa ser feito e acelerar o processo de implantação desta conformidade. Salientamos também, que buscamos a minimização dos riscos, e não evitar 100%, pois há várias nuances para serem analisados com relação a utilização de dados. Pato Branco, 11 de janeiro de 2021 CNPJ 05.350.853/0001-77 ____________________________________________ CNPJ 23.499.644.0001/71 ____________________________________________