legal-compliance-check — Verificação de Conformidade

Saída

## Verificação de Conformidade: [Iniciativa]

### Resumo
[Avaliação rápida: Prosseguir / Prosseguir com condições / Requer revisão adicional]

### Regulamentações e Políticas Aplicáveis
| Regulamentação/Política | Relevância | Requisitos-chave |
|------------------------|-----------|-----------------|
| [LGPD / Marco Civil / CLT / etc.] | [Como se aplica] | [O que você precisa fazer] |

### Requisitos
| # | Requisito | Status | Ação Necessária |
|---|-----------|--------|----------------|
| 1 | [Requisito] | [Atendido / Não Atendido / Desconhecido] | [O que fazer] |

### Áreas de Risco
| Risco | Severidade | Mitigação |
|-------|-----------|-----------|
| [Risco] | [Alta/Média/Baixa] | [Como endereçar] |

### Ações Recomendadas
1. [Ação mais importante]
2. [Segunda prioridade]
3. [Terceira prioridade]

### Aprovações Necessárias
| Aprovador | Por quê | Status |
|-----------|---------|--------|
| [Pessoa/Time] | [Motivo] | [Pendente] |

### Revisão Adicional Recomendada
[Áreas onde revisão de assessoria externa ou especializada é aconselhável]

Visão Geral das Regulamentações de Privacidade

LGPD — Lei Geral de Proteção de Dados (Lei 13.709/2018) — FRAMEWORK PRIMÁRIO

Escopo: Aplica-se ao tratamento de dados pessoais de indivíduos no território nacional brasileiro, independentemente de onde a organização processadora está localizada. Também se aplica quando a atividade de coleta ocorre no Brasil ou quando os dados são de indivíduos localizados no Brasil.

Obrigações Principais para Equipes Jurídicas:

• Base legal: Identificar e documentar a base legal para cada atividade de tratamento (consentimento, contrato, legítimo interesse, obrigação legal, tutela da saúde, proteção ao crédito — arts. 7º e 11)
• Direitos dos titulares: Responder a solicitações de acesso, correção, eliminação, portabilidade, revogação de consentimento e outros dentro de 15 dias (art. 18 LGPD e orientação ANPD)
• Relatório de Impacto à Proteção de Dados (RIPD): Exigido para tratamento de alto risco
• Notificação de incidente: Notificar a ANPD e os titulares afetados em prazo razoável (orientação ANPD: 72h para incidentes graves, art. 48)
• Registros de tratamento: Manter registros de atividades de tratamento
• Transferências internacionais: Garantir salvaguardas adequadas para transferências para fora do Brasil (arts. 33-36 LGPD — decisão de adequação da ANPD ou cláusulas contratuais padrão)
• Encarregado de Dados (DPO): Nomear encarregado se exigido pela ANPD
• Segurança: Medidas técnicas e administrativas aptas a proteger os dados (art. 46)

Enforcement: ANPD (Autoridade Nacional de Proteção de Dados) — sanções de até 2% do faturamento do grupo no Brasil, limitado a R$ 50 milhões por infração

Pontos de Contato Jurídico:

• Revisar contratos com operadores/suboperadores para conformidade com LGPD
• Assessorar equipes de produto nos requisitos de privacidade por design
• Responder a consultas da ANPD
• Gerenciar mecanismos de transferência internacional de dados
• Revisar mecanismos de consentimento e avisos de privacidade

Marco Civil da Internet (Lei 12.965/2014)

Escopo: Estabelece princípios, garantias, direitos e deveres para o uso da Internet no Brasil.

Obrigações Principais:

• Neutralidade de rede: Não discriminação no tráfego de dados
• Proteção de dados nas comunicações: Inviolabilidade das comunicações pela internet (exceto por ordem judicial)
• Retenção de logs: Provedores de conexão devem guardar logs por 1 ano; provedores de aplicações por 6 meses
• Remoção de conteúdo: Requisitos específicos para responsabilidade civil por conteúdo de terceiros
• Direitos dos usuários: Clareza sobre políticas de uso, privacidade e responsabilidade

Código Civil Brasileiro (Lei 10.406/2002)

Relevância para conformidade:

• Responsabilidade civil (arts. 186-188, 927): Base para responsabilidade por danos
• Obrigações contratuais (arts. 389-420): Rescisão, inadimplemento, multas
• Boa-fé objetiva (art. 422): Obrigação de conduta leal nas relações contratuais
• Limitação de responsabilidade: Interpretação das cláusulas limitativas (art. 402)
• Força maior (art. 393): Excludente de responsabilidade

CLT — Consolidação das Leis do Trabalho

Relevância quando aplicável:

• Relações de trabalho e categorização de trabalhadores (CLT vs. PJ/MEI)
• Proteção de dados de empregados (LGPD + CLT)
• Non-solicitation e non-compete em contratos de trabalho
• Acordos de confidencialidade com funcionários

Outras Regulamentações a Monitorar

Checklist de Revisão de DPA/Contrato de Processamento

Ao revisar um Contrato ou Adendo de Processamento de Dados (conforme exigido pela LGPD), verificar:

Elementos Obrigatórios (LGPD art. 37-40)

• Objeto e duração: Escopo e prazo de tratamento claramente definidos
• Natureza e finalidade: Descrição específica do tratamento e do porquê
• Tipo de dados pessoais: Categorias de dados pessoais tratados
• Categorias de titulares: De quem são os dados pessoais tratados
• Obrigações e direitos do controlador: Instruções do controlador e direitos de supervisão

Obrigações do Operador

• Tratar apenas conforme instruções documentadas: Operador se compromete a tratar apenas conforme instruções do controlador
• Confidencialidade: Pessoal autorizado a tratar os dados se comprometeu com sigilo
• Medidas de segurança: Medidas técnicas e organizacionais adequadas descritas (art. 46 LGPD)
• Requisitos para suboperadores:
  • Requisito de autorização escrita (geral ou específica)
  • Se autorização geral: notificação de alterações com oportunidade de objeção
  • Suboperadores vinculados pelas mesmas obrigações via acordo escrito
  • Operador permanece responsável pelo desempenho do suboperador
• Assistência nos direitos dos titulares: Operador auxiliará o controlador em responder a solicitações dos titulares
• Assistência em segurança e incidentes: Operador auxiliará com obrigações de segurança, notificação de incidentes e RIPDs
• Eliminação ou devolução: Na rescisão, eliminar ou devolver todos os dados pessoais (conforme escolha do controlador)
• Direitos de auditoria: Controlador tem direito de realizar auditorias e inspeções
• Notificação de incidente: Operador notificará o controlador sobre incidentes de segurança sem demora injustificada (preferencialmente em 24-48h para permitir que o controlador cumpra o prazo regulatório)

Transferências Internacionais (Arts. 33-36 LGPD)

• Mecanismo de transferência identificado: Decisão de adequação da ANPD, cláusulas contratuais padrão aprovadas pela ANPD, ou garantias específicas
• Avaliação de impacto de transferência: Concluída se transferindo para países sem decisão de adequação
• Medidas complementares: Técnicas, organizacionais ou contratuais para endereçar lacunas identificadas

Considerações Práticas

• Responsabilidade: Disposições de responsabilidade do DPA alinhadas com o contrato principal de serviços
• Alinhamento de vigência: Prazo do DPA alinhado com o contrato de serviços
• Locais de processamento: Locais de tratamento especificados e aceitáveis
• Padrões de segurança: Padrões ou certificações de segurança específicas exigidas (SOC 2, ISO 27001, etc.)

Tratamento de Solicitações de Titulares de Dados

Recebimento da Solicitação

Quando uma solicitação de titular de dados for recebida (art. 18 LGPD):

1. Identificar o tipo de solicitação:

   • Acesso (cópia dos dados pessoais)
   • Retificação (correção de dados inexatos)
   • Eliminação / exclusão
   • Portabilidade (formato estruturado e legível por máquina)
   • Revogação de consentimento
   • Oposição ao tratamento
   • Informação sobre compartilhamento

2. Identificar a(s) regulamentação(ões) aplicável(is):

   • Onde está localizado o titular de dados?
   • Quais leis se aplicam com base na presença e atividades da organização?

3. Verificar a identidade:

   • Confirmar que o solicitante é quem afirma ser
   • Usar medidas razoáveis de verificação proporcionais à sensibilidade dos dados

4. Registrar a solicitação:

   • Data de recebimento, tipo de solicitação, identidade do solicitante, regulamentação aplicável, prazo de resposta, responsável

Prazos de Resposta

Isenções e Exceções

Antes de atender uma solicitação, verificar se alguma isenção se aplica:

Isenções comuns (LGPD art. 16):

• Defesa em processos judiciais, administrativos ou arbitrais
• Obrigações legais de retenção
• Interesse público, pesquisa científica ou histórica
• Proteção do crédito
• Outros legítimos interesses do controlador (conforme aplicável)

Considerações específicas da organização:

• Hold judicial: dados sujeitos a retenção legal não podem ser eliminados
• Retenção regulatória: registros financeiros, registros trabalhistas e outras categorias podem ter prazos obrigatórios de retenção
• Direitos de terceiros: atender à solicitação pode afetar adversamente os direitos de outros

Monitoramento Regulatório

O que Monitorar

Manter-se atualizado sobre desenvolvimentos em:

• Orientações regulatórias: Novas ou atualizadas da ANPD, CGU, CADE, órgãos setoriais
• Ações de enforcement: Multas, ordens e acordos que sinalizam prioridades regulatórias
• Mudanças legislativas: Novas leis de privacidade, emendas a leis existentes
• Padrões da indústria: Atualizações em ISO 27001, SOC 2, frameworks de segurança setoriais
• Desenvolvimentos de transferência internacional: Decisões de adequação da ANPD, atualizações de cláusulas contratuais padrão

Critérios de Escalação

Escalar para Thaís Menezes ou Vitor Lacerda quando:

• Uma nova regulamentação ou orientação afeta diretamente as atividades de negócio principais
• Uma ação de enforcement no setor da organização sinaliza maior escrutínio regulatório
• Um prazo de conformidade está se aproximando e exige mudanças organizacionais
• Um mecanismo de transferência de dados do qual a organização depende é contestado ou invalidado
• Uma autoridade regulatória inicia uma consulta ou investigação envolvendo a organização

Dicas

1. Seja específico — "Queremos enviar email para todos os nossos usuários" é melhor do que "campanha de marketing."
2. Inclua a geografia — Os requisitos de conformidade variam por jurisdição.
3. Mencione os dados — Quais dados pessoais estão envolvidos? Isso determina a maioria dos requisitos de conformidade com a LGPD.

Este documento não constitui aconselhamento jurídico. Consulte Thaís Menezes ou Vitor Lacerda para decisões legais.