K

kompar.ti

Programa Treinamento GERADIREITO Introdução à LGPD

Programa de Treinamento de Introdução à LGPD voltado para pequenas empresas (De 10 a 50 colaboradores), com foco em praticidade e aplicação da norma à realidade do negócio, utilizando as flexibilizações legais permitidas para Agentes de Tratamento de Pequeno Porte (ATPP).

Considerando que 95% dos incidentes de segurança cibernética são causados por erro humano, o treinamento é a principal ferramenta de prevenção e engajamento.

Abaixo está o Plano de Aulas dividido em 4 encontros de 2 horas cada, idealizado para ser concluído no prazo de 30 dias (ex: um encontro por semana ou outras opções a definir).

Sala de aula com um instrutor e dez alunos do curso de segurança da informação

Encontro 1: Fundamentos da LGPD e a Realidade das Pequenas Empresas

Objetivo: Nivelar o conhecimento de todos sobre o que é a lei e como ela enxerga a pequena empresa. Duração: 2 horas

  • 1.1. O que é a LGPD e Conceitos Básicos (40 min)

    • O que são dados pessoais (informação relacionada a pessoa natural identificada ou identificável) e dados pessoais sensíveis (origem racial, saúde, biometria, filiação sindical, etc.).

    • O que é o tratamento de dados (coleta, armazenamento, uso, compartilhamento, eliminação).

    • Quem são os Agentes: Controlador (quem decide o que fazer com o dado), Operador (quem executa a ordem do controlador) e o Titular (o dono do dado).

  • 1.2. A Regra para Agentes de Pequeno Porte – ATPP (40 min)

    • Definição de ATPP (microempresas, EPPs e startups).

    • Atenção aos Riscos: A empresa perde os benefícios de ATPP se realizar tratamento de “alto risco” ou em “larga escala” (ex: uso de tecnologias emergentes ou monitoramento de zonas acessíveis ao público).

    • A figura do DPO (Encarregado): Para ATPPs, a nomeação de um DPO não é obrigatória, mas a empresa deve disponibilizar um canal de comunicação de fácil acesso para os titulares de dados.

  • 1.3. Os 10 Princípios da Lei Geral de Proteção de Dados (LGPD) (40 min)

    • Foco prático em: Finalidade, Necessidade (Minimização), Transparência, Segurança e Prevenção.

    • Dinâmica: Exercício rápido de identificação de dados excessivos em um formulário de cadastro comum da empresa.

Encontro 2: Bases Legais e o Atendimento aos Direitos dos Titulares

Objetivo: Ensinar a equipe a justificar o uso dos dados e a atender pedidos de clientes. Duração: 2 horas

  • 2.1. Como justificar o uso dos dados? (Bases Legais) (50 min)

    • A LGPD não exige consentimento para tudo. Exploração das principais bases legais:

      • Consentimento: Deve ser livre, informado e inequívoco.

      • Cumprimento de obrigação legal: Ex: guardar dados de funcionários para o e-Social.

      • Execução de contrato: Usar o endereço do cliente para entregar um produto.

      • Legítimo Interesse: O interesse da empresa versus a expectativa do titular.

  • 2.2. Os Direitos dos Titulares (40 min)

    • Acesso, correção de dados inexatos, eliminação, portabilidade e revogação do consentimento.

  • 2.3. Prazos Flexibilizados para a Pequena Empresa (30 min)

    • Prazo em dobro: ATPPs possuem prazo em dobro para responder às solicitações dos titulares (ex: 30 dias em vez dos 15 dias comuns).

    • Como a equipe de atendimento (recepção, vendas, RH) deve agir ao receber uma solicitação: criação de um fluxo de atendimento padrão.

Encontro 3: Segurança da Informação no Dia a Dia (O Fator Humano)

Objetivo: Transformar os colaboradores em defensores da segurança da informação da empresa. Duração: 2 horas

  • 3.1. Engenharia Social e Ameaças Comuns (40 min)

    • Riscos de Phishing (e-mails ou links falsos) e Ransomware (sequestro de dados).

    • Dicas de segurança para o uso de WhatsApp, Telegram e redes sociais corporativas.

  • 3.2. Boas Práticas do Guia da ANPD para ATPPs (50 min)

    • Política de Mesa Limpa e Telas Bloqueadas: Não deixar senhas em post-its ou documentos confidenciais sobre a mesa; bloquear o computador ao levantar.

    • Controle de Acesso e Senhas: Evitar senhas padrão, não compartilhar logins entre a equipe e instituir Autenticação de Múltiplos Fatores (MFA).

    • Cuidados com Home Office e Dispositivos: Evitar uso de pen-drives pessoais, não misturar celular pessoal com corporativo sem as devidas proteções (Política BYOD).

    • Backup: Importância de realizar backups frequentes e armazená-los fora da rede principal para evitar perdas totais por vírus.

  • 3.3. Classificação da Informação (30 min)

    • Como rotular documentos internamente (Público, Interno, Restrito e Confidencial).

Encontro 4: Governança, Mapeamento (ROPA) e Resposta a Incidentes

Objetivo: Consolidar a documentação exigida e preparar a empresa para crises. Duração: 2 horas

  • 4.1. Registro das Operações de Tratamento (ROPA Simplificado) (40 min)

    • Como a pequena empresa pode cumprir a exigência do ROPA de forma simplificada, utilizando o modelo fornecido pela própria ANPD.

    • Dinâmica: Construir com a equipe o mapeamento do principal processo do negócio (Ex: Fluxo de contratação de um cliente ou admissão de um funcionário), identificando finalidade e tempo de guarda.

  • 4.2. Descarte Seguro de Informações (30 min)

    • Estabelecimento de prazos de retenção e o procedimento seguro para triturar papéis e excluir dados digitais (limpar lixeiras, formatar HDs antes do descarte).

  • 4.3. Plano de Resposta a Incidentes (50 min)

    • O que é um incidente de segurança (vazamento, acesso indevido, perda de equipamento).

    • O que fazer se ocorrer? Fluxo de notificação interna.

    • Notificação Oficial: ATPPs têm prazo em dobro para comunicar a ANPD e os titulares em caso de incidente com risco relevante, exceto quando envolver potencial comprometimento à integridade física/moral dos titulares, caso em que o prazo legal comum (2 dias úteis) se mantém.

Metodologia Recomendada para a Condução:

  • Linguagem Simples: Evite jargões jurídicos excessivos. Como a equipe é reduzida (10 pessoas), o formato deve ser próximo ao de uma “roda de conversa” ou “workshop”.

  • Pílulas de Conhecimento: Entre um encontro e outro (durante os 30 dias), envie lembretes curtos no grupo da empresa (ex: “Você já bloqueou sua tela hoje?”) para fixar a cultura.

  • Accountability: Peça para que todos os funcionários assinem uma lista de presença nos 4 encontros. Isso serve como evidência (accountability) para a ANPD de que a empresa investe em “ações educativas”, reduzindo eventuais penalidades no futuro.

  • Avaliação do Treinamento:

    • Dos Alunos: Efetuar um teste gamificado do treinamento

    • do Instrutor: Efetuar uma avaliação do curso ministrado

Detalhes

por

Camila L. Oliveira
em

Compartilhe nas redes:

+ da Kompa: