Passo a passo: Como obter a certificação em LGPD?

Por /

A adequação à Lei Geral de Proteção de Dados Pessoais (LGPD) já é uma realidade inquestionável no mercado brasileiro. No entanto, muitas empresas buscam ir além do básico, almejando uma “certificação em LGPD” para comprovar publicamente seu compromisso com a privacidade se deparam com a pergunta: “Como obter a certificação em LGPD?”. Embora a Agência Nacional de Proteção de Dados (ANPD) não emita um selo governamental oficial, o mercado adotou certificações, como o LGPD Check para atestar essa conformidade de forma auditável. Entender o passo a passo para alcançar esse reconhecimento é fundamental para transformar a segurança jurídica em um verdadeiro diferencial competitivo e facilitar o fechamento de grandes contratos.

Como obter a certificação em LGPD?

O primeiro passo dessa jornada é a análise do mapeamento de dados, também conhecido como Data Discovery. Sua empresa não pode proteger aquilo que não sabe que possui ou por onde transita. Para alcançar a certificação, é necessário rastrear rigorosamente todo o ciclo de vida das informações pessoais dentro da organização, desde o momento da coleta até o armazenamento e o descarte final. Esse inventário detalhado revelará os fluxos de dados, os departamentos envolvidos em cada etapa e os fornecedores ou parceiros com quem essas informações sensíveis são compartilhadas diariamente.

Com o mapa de dados em mãos, a certificadora entrará na segunda etapa, que é realizar uma análise de lacunas (Gap Analysis) e verificar as bases legais adequadas. Cada processo que utiliza dados pessoais precisa estar solidamente amparado por uma das hipóteses previstas na lei, como o consentimento explícito do usuário, o cumprimento de obrigação legal ou o legítimo interesse da empresa. Identificar as vulnerabilidades atuais da sua operação em relação às exigências da LGPD permite criar um plano de ação focado em corrigir riscos iminentes e adequar os processos comerciais de forma segura.

O terceiro passo em que a certificadora analisa é a nomeação de um Encarregado de Dados, mundialmente conhecido como DPO (Data Protection Officer). Este serviço é o líder do programa de privacidade e a ponte oficial entre a empresa, os titulares dos dados e a ANPD.

O quarto passo foca diretamente na análise de medidas técnicas de segurança da informação. A legislação exige de forma clara que os dados sejam protegidos contra acessos não autorizados, perdas ou vazamentos. Por isso, a empresa certificada deve adotar políticas rigorosas de controle de acesso, criptografia de ponta a ponta e monitoramento contínuo de redes para não apenas blindar a empresa contra ataques, mas que pavimente o caminho para a aprovação na certificação.

O quinto passo consiste na auditoria de todas as políticas internas e dos documentos legais. Isso inclui a elaboração de Avisos de Privacidade transparentes para os clientes finais, a revisão criteriosa de aditivos contratuais com fornecedores de tecnologia e a elaboração de manuais de boas práticas. Ainda é verificado o comportamental da empresa, onde a documentação é confrontada com a realidade no dia a dia; por isso, o treinamento contínuo dos colaboradores é essencial para criar uma cultura organizacional onde o funcionário atue como um verdadeiro “firewall humano”.

O sexto passo envolve a verificação de um plano de resposta a incidentes eficiente e bem documentado. Mesmo com as melhores barreiras de proteção do mercado, incidentes cibernéticos ou falhas humanas podem ocorrer a qualquer momento. Ter um protocolo claro sobre como agir, quem deve ser notificado internamente, como comunicar os clientes afetados e como mitigar os danos rapidamente é uma exigência legal e um requisito eliminatório para os avaliadores que conduzem processos de certificação.

Após cada um destes passos, é informado se a empresa está em conformidade ou não com a lei e seus desdobramentos, respondendo assim a pergunta: Como obter a certificação em LGPD?

Perguntas e Respostas Frequentes (FAQ) sobre Como obter a certificação em LGPD?

1. Existe um certificado oficial emitido pelo Governo para a LGPD? Não. A Agência Nacional de Proteção de Dados (ANPD) não emite um “Certificado LGPD”. O LGPD Check é uma certificadora registrada no INPI, com processo sério e profissinais altamente gabaritados.

2. É obrigatório ter um DPO (Encarregado de Dados) para obter uma certificação? Sim. A nomeação do Encarregado de Dados é uma exigência da própria LGPD para a grande maioria das empresas (salvo exceções muito específicas regulamentadas pela ANPD). Sem a figura do DPO para gerenciar o programa de privacidade e atuar como canal de comunicação, a empresa não consegue comprovar maturidade em governança durante uma auditoria.

3. Quanto tempo leva, em média, para uma empresa estar pronta para a certificação? O tempo varia de acordo com o tamanho da empresa, a complexidade de suas operações e o volume de dados tratados. Em média, a auditoria e certificação levam de 30 às 60 dias.

4. A certificação garante que minha empresa nunca sofrerá um vazamento de dados? Nenhum sistema é 100% à prova de falhas. A certificação LGPD Check atesta que sua empresa adotou as melhores práticas, minimizou os riscos ao máximo e possui processos adequados para responder rapidamente caso um incidente ocorra. Em caso de investigação da ANPD, comprovar essas boas práticas pode atenuar ou até evitar multas severas.

Rolar para cima

Treinamentos Presenciais e/ou Online

O que é?

Serviço de treinamento, customizado com foco na LGPD, elaborado por uma equipe multidisciplinar (jurídico, TI e processos).

Para quem é indicado?

Para empresas de quaisquer porte ou ramo de atividade que tenham interesse na conscientização e reciclagem de sua equipe, bem como treinamento em cultura e boas práticas em proteção de dados e segurança da informação.

Como funciona?

Os treinamentos podem ter viés jurídico, de segurança da informação e/ou de processos, podem tratar de questões específicas da empresa ou mesmo servir para a conscientização dos colaboradores, prestadores, fornecedores e/ou parceiros da empresa.

O treinamento personalizado tem como objetivo entender qual a maior dor da empresa para assim planejar e executar um treinamento para auxiliá-la, uma vez que cada instituição possui uma necessidade específica. Os treinamentos podem ser presenciais ou remotos.

Nossa empresa utiliza técnicas de Design Thinking e Gamification. atendendo as mais variadas necessidades relacionadas à LGPD.

Falar com um especialista

Selo de Certificação em LGPD

Somos a 1ª empresa no Brasil autorizada a certificar em LGPD.

Nosso Selo de Certificação é o resultado de uma marca de certificação registrada® no Instituto Nacional da Propriedade Industrial (INPI), conferida após processo de análise dos nossos entregáveis e equipe experiente, técnica e multidisciplinar.

O que é?

É um Selo que demonstra que a sua organização está em compliance com as determinações da LGPD, gerando confiança para todos os seus stakeholders (clientes, parceiros, investidores, fornecedores, instituições fiscalizadoras etc.).

Para quem é indicado?

Para qualquer empresa, plataforma, site ou software/aplicativo que, uma vez adequado à LGPD, queira ter um diferencial de mercado, gerando autoridade e aumentando a sua reputação e credibilidade no mercado.

Como executamos esse serviço?

Ao contratar a certificação, a empresa (plataforma, site ou software/aplicativo) passa por uma auditoria realizada por equipe multidisciplinar de profissionais especializados em proteção de dados.

Isso acontece por meio de entrevistas, análises presenciais e/ou à distância, respostas a questionários, entre outras aplicações e metodologias que se fizerem necessárias, como visitas de checagem in loco.

Periodicamente são realizadas aferições presenciais e/ou à distância sobre a manutenção dos parâmetros analisados.

Falar com um especialista

DPO Encarregado de Dados Terceirizado

O que é?

O DPO terceirizado (ou encarregado de dados) é um serviço externo à empresa que possibilita uma visão independente, autônoma e sem conflito de interesses, com a expertise necessária à execução das atribuições impostas ao encarregado de dados pela LGPD.

Para quem é indicado?

  • Para quaisquer empresas, inclusive de porte pequeno e médio, seja porque estão obrigadas pela LGPD pela quantidade e tipo de dados que têm, seja como medida de boas práticas de mercado. Dentre as vantagens do serviço de DPO terceirizado, podemos citar o seu custo reduzido se comparado a um DPO interno contratado em regime de CLT, que muitas vezes não terá a expertise necessária e nem mesmo demanda suficiente para atuar exclusivamente nessa atividade;
  • Empresas que ainda não nomearam seu encarregado de dados ou que tenham nomeado um DPO com acúmulo de tarefas e/ou atribuições (o que pode acarretar em conflito de interesses, além da falta de autonomia, contrariando as orientações da ANPD)
  • Para empresas que possuem um comitê de privacidade formado por membros internos e precisam de um encarregado de dados.

Quais as suas atribuições?

  • Receber comunicações dos titulares de dados, prestar esclarecimentos e sugerir providências;
  • Relacionar-se e ser ponto de contato com a Autoridade Nacional de Proteção de Dados (ANPD) e outros entes, recebendo comunicações e sugerindo providências;
  • Monitorar novas regulamentações acerca da proteção de dados;
  • Orientar, treinar e comunicar colaboradores e contratados a respeito da conscientização e das práticas a serem tomadas em relação à proteção de dados pessoais;
  • Apoiar tecnicamente no desenvolvimento de projetos que envolvam dados pessoais, podendo sugerir novos projetos;
  • Atuar em incidentes de violação de dados pessoais, plano de contingência e de respostas a incidentes;
  • Implantar e conduzir o comitê de privacidade ou setor ou órgão assemelhado;
  • Auxiliar na conformidade com a legislação de proteção de dados e demais normas aplicáveis, incluindo a sensibilização e formação dos profissionais que sejam competentes para operações de tratamento de dados;
  • Elaborar cláusulas de proteção de dados para serem incluídas em contratos e outros instrumentos contratuais;
  • Executar as demais atribuições determinadas pela empresa ou estabelecidas em normas complementares.
Falar com um especialista

Consultoria e Compliance em LGPD

O que é?

Consultoria 360 graus significa que o trabalho é feito mediante um olhar jurídico, de TI e de processos para todas as áreas da empresas. Isso é indispensável para empresas de qualquer ramo e/ou porte a se adequarem à LGPD.

Para quem é indicado?

Para todas as empresas que não iniciaram seu processo de adequação à LGPD ou que ainda não conseguiram concluir esse processo. Esse serviço também é indicado para quem já fez a adequação e por algum motivo (decurso de tempo, mudança de atividade, novas atividades etc.) precisa revisitar a adequação feita.

Passo a Passo

Esse serviço envolve quatro grandes fases:

  • Diagnóstico dos riscos quanto à LGPD: isso acontece por meio de entrevistas, questionários, acesso às informações, documentos e contratos, exame das ferramentas tecnológicas, dentre outras aplicações e metodologias;
  • Mapa de Riscos: entrega de relatório contendo análises de riscos em relação à LGPD, plano de ação e recomendações necessárias à adequação da empresa para a mitigação de riscos;
  • Implementações: das recomendações feitas no Mapa de Riscos;
  • Relatório: descrevendo tudo o que foi feito (antes, durante e depois) quanto ao projeto de adequação à LGPD.
Falar com um especialista