Embed badge
Show
Style
[](https://versuz.dev/skills/evolutionapi-evo-nexus-claude-skills-legal-compliance-check)Free SKILL.md scraped from GitHub. Clone the repo or copy the file directly into your Claude Code skills directory.
npx versuz@latest install evolutionapi-evo-nexus-claude-skills-legal-compliance-checkgit clone https://github.com/EvolutionAPI/evo-nexus.gitcp evo-nexus/SKILL.MD ~/.claude/skills/evolutionapi-evo-nexus-claude-skills-legal-compliance-check/SKILL.md--- name: legal-compliance-check description: Executar uma verificação de conformidade em uma ação proposta, funcionalidade de produto ou iniciativa de negócio, identificando regulamentações aplicáveis, aprovações necessárias e áreas de risco. Use ao lançar uma funcionalidade que lida com dados pessoais, quando marketing ou produto propõe algo com implicações regulatórias, ou quando é necessário saber quais aprovações e requisitos jurisdicionais se aplicam antes de prosseguir. argument-hint: "<ação ou iniciativa a verificar>" --- # legal-compliance-check — Verificação de Conformidade > **Este documento não constitui aconselhamento jurídico — consulte o assessor jurídico habilitado antes de tomar decisões com base nesta análise.** > Contatos legais: **Thaís Menezes** (contratos Brius/Etus) | **Vitor Lacerda** (jurídico Etus) Executar uma verificação de conformidade em uma ação proposta, funcionalidade de produto, campanha de marketing ou iniciativa de negócio. Os requisitos regulatórios mudam frequentemente; sempre verificar os requisitos atuais com fontes autorizadas. ## Acionamento User executa `/legal-compliance-check` ou solicita verificar conformidade de uma ação ou iniciativa. ## O que Preciso de Você Descreva o que você está planejando fazer. Exemplos: - "Queremos lançar um programa de indicações com recompensas em dinheiro" - "Estamos adicionando autenticação biométrica ao nosso aplicativo móvel" - "Precisamos processar dados de clientes brasileiros em nosso data center no exterior" - "Marketing quer usar depoimentos de clientes em anúncios" - "Vamos integrar com um novo subprocessador de dados na Europa" ## Saída ```markdown ## Verificação de Conformidade: [Iniciativa] ### Resumo [Avaliação rápida: Prosseguir / Prosseguir com condições / Requer revisão adicional] ### Regulamentações e Políticas Aplicáveis | Regulamentação/Política | Relevância | Requisitos-chave | |------------------------|-----------|-----------------| | [LGPD / Marco Civil / CLT / etc.] | [Como se aplica] | [O que você precisa fazer] | ### Requisitos | # | Requisito | Status | Ação Necessária | |---|-----------|--------|----------------| | 1 | [Requisito] | [Atendido / Não Atendido / Desconhecido] | [O que fazer] | ### Áreas de Risco | Risco | Severidade | Mitigação | |-------|-----------|-----------| | [Risco] | [Alta/Média/Baixa] | [Como endereçar] | ### Ações Recomendadas 1. [Ação mais importante] 2. [Segunda prioridade] 3. [Terceira prioridade] ### Aprovações Necessárias | Aprovador | Por quê | Status | |-----------|---------|--------| | [Pessoa/Time] | [Motivo] | [Pendente] | ### Revisão Adicional Recomendada [Áreas onde revisão de assessoria externa ou especializada é aconselhável] ``` ## Visão Geral das Regulamentações de Privacidade ### LGPD — Lei Geral de Proteção de Dados (Lei 13.709/2018) — FRAMEWORK PRIMÁRIO **Escopo**: Aplica-se ao tratamento de dados pessoais de indivíduos no território nacional brasileiro, independentemente de onde a organização processadora está localizada. Também se aplica quando a atividade de coleta ocorre no Brasil ou quando os dados são de indivíduos localizados no Brasil. **Obrigações Principais para Equipes Jurídicas:** - **Base legal**: Identificar e documentar a base legal para cada atividade de tratamento (consentimento, contrato, legítimo interesse, obrigação legal, tutela da saúde, proteção ao crédito — arts. 7º e 11) - **Direitos dos titulares**: Responder a solicitações de acesso, correção, eliminação, portabilidade, revogação de consentimento e outros dentro de 15 dias (art. 18 LGPD e orientação ANPD) - **Relatório de Impacto à Proteção de Dados (RIPD)**: Exigido para tratamento de alto risco - **Notificação de incidente**: Notificar a ANPD e os titulares afetados em prazo razoável (orientação ANPD: 72h para incidentes graves, art. 48) - **Registros de tratamento**: Manter registros de atividades de tratamento - **Transferências internacionais**: Garantir salvaguardas adequadas para transferências para fora do Brasil (arts. 33-36 LGPD — decisão de adequação da ANPD ou cláusulas contratuais padrão) - **Encarregado de Dados (DPO)**: Nomear encarregado se exigido pela ANPD - **Segurança**: Medidas técnicas e administrativas aptas a proteger os dados (art. 46) **Enforcement**: ANPD (Autoridade Nacional de Proteção de Dados) — sanções de até 2% do faturamento do grupo no Brasil, limitado a R$ 50 milhões por infração **Pontos de Contato Jurídico:** - Revisar contratos com operadores/suboperadores para conformidade com LGPD - Assessorar equipes de produto nos requisitos de privacidade por design - Responder a consultas da ANPD - Gerenciar mecanismos de transferência internacional de dados - Revisar mecanismos de consentimento e avisos de privacidade ### Marco Civil da Internet (Lei 12.965/2014) **Escopo**: Estabelece princípios, garantias, direitos e deveres para o uso da Internet no Brasil. **Obrigações Principais:** - **Neutralidade de rede**: Não discriminação no tráfego de dados - **Proteção de dados nas comunicações**: Inviolabilidade das comunicações pela internet (exceto por ordem judicial) - **Retenção de logs**: Provedores de conexão devem guardar logs por 1 ano; provedores de aplicações por 6 meses - **Remoção de conteúdo**: Requisitos específicos para responsabilidade civil por conteúdo de terceiros - **Direitos dos usuários**: Clareza sobre políticas de uso, privacidade e responsabilidade ### Código Civil Brasileiro (Lei 10.406/2002) **Relevância para conformidade:** - **Responsabilidade civil** (arts. 186-188, 927): Base para responsabilidade por danos - **Obrigações contratuais** (arts. 389-420): Rescisão, inadimplemento, multas - **Boa-fé objetiva** (art. 422): Obrigação de conduta leal nas relações contratuais - **Limitação de responsabilidade**: Interpretação das cláusulas limitativas (art. 402) - **Força maior** (art. 393): Excludente de responsabilidade ### CLT — Consolidação das Leis do Trabalho **Relevância quando aplicável:** - Relações de trabalho e categorização de trabalhadores (CLT vs. PJ/MEI) - Proteção de dados de empregados (LGPD + CLT) - Non-solicitation e non-compete em contratos de trabalho - Acordos de confidencialidade com funcionários ### Outras Regulamentações a Monitorar | Regulamentação | Jurisdição | Diferenciadores-chave | |---|---|---| | **GDPR** (UE) | União Europeia | Referência para parceiros europeus; base de adequação da LGPD | | **CCPA / CPRA** (California) | Califórnia, EUA | Para clientes com operações nos EUA | | **POPIA** (África do Sul) | África do Sul | Para parceiros sul-africanos | | **PIPL** (China) | China | Regras rígidas de transferência transfronteiriça; localização de dados | | **UK GDPR** | Reino Unido | Para parceiros britânicos | ## Checklist de Revisão de DPA/Contrato de Processamento Ao revisar um Contrato ou Adendo de Processamento de Dados (conforme exigido pela LGPD), verificar: ### Elementos Obrigatórios (LGPD art. 37-40) - [ ] **Objeto e duração**: Escopo e prazo de tratamento claramente definidos - [ ] **Natureza e finalidade**: Descrição específica do tratamento e do porquê - [ ] **Tipo de dados pessoais**: Categorias de dados pessoais tratados - [ ] **Categorias de titulares**: De quem são os dados pessoais tratados - [ ] **Obrigações e direitos do controlador**: Instruções do controlador e direitos de supervisão ### Obrigações do Operador - [ ] **Tratar apenas conforme instruções documentadas**: Operador se compromete a tratar apenas conforme instruções do controlador - [ ] **Confidencialidade**: Pessoal autorizado a tratar os dados se comprometeu com sigilo - [ ] **Medidas de segurança**: Medidas técnicas e organizacionais adequadas descritas (art. 46 LGPD) - [ ] **Requisitos para suboperadores**: - [ ] Requisito de autorização escrita (geral ou específica) - [ ] Se autorização geral: notificação de alterações com oportunidade de objeção - [ ] Suboperadores vinculados pelas mesmas obrigações via acordo escrito - [ ] Operador permanece responsável pelo desempenho do suboperador - [ ] **Assistência nos direitos dos titulares**: Operador auxiliará o controlador em responder a solicitações dos titulares - [ ] **Assistência em segurança e incidentes**: Operador auxiliará com obrigações de segurança, notificação de incidentes e RIPDs - [ ] **Eliminação ou devolução**: Na rescisão, eliminar ou devolver todos os dados pessoais (conforme escolha do controlador) - [ ] **Direitos de auditoria**: Controlador tem direito de realizar auditorias e inspeções - [ ] **Notificação de incidente**: Operador notificará o controlador sobre incidentes de segurança sem demora injustificada (preferencialmente em 24-48h para permitir que o controlador cumpra o prazo regulatório) ### Transferências Internacionais (Arts. 33-36 LGPD) - [ ] **Mecanismo de transferência identificado**: Decisão de adequação da ANPD, cláusulas contratuais padrão aprovadas pela ANPD, ou garantias específicas - [ ] **Avaliação de impacto de transferência**: Concluída se transferindo para países sem decisão de adequação - [ ] **Medidas complementares**: Técnicas, organizacionais ou contratuais para endereçar lacunas identificadas ### Considerações Práticas - [ ] **Responsabilidade**: Disposições de responsabilidade do DPA alinhadas com o contrato principal de serviços - [ ] **Alinhamento de vigência**: Prazo do DPA alinhado com o contrato de serviços - [ ] **Locais de processamento**: Locais de tratamento especificados e aceitáveis - [ ] **Padrões de segurança**: Padrões ou certificações de segurança específicas exigidas (SOC 2, ISO 27001, etc.) ## Tratamento de Solicitações de Titulares de Dados ### Recebimento da Solicitação Quando uma solicitação de titular de dados for recebida (art. 18 LGPD): 1. **Identificar o tipo de solicitação**: - Acesso (cópia dos dados pessoais) - Retificação (correção de dados inexatos) - Eliminação / exclusão - Portabilidade (formato estruturado e legível por máquina) - Revogação de consentimento - Oposição ao tratamento - Informação sobre compartilhamento 2. **Identificar a(s) regulamentação(ões) aplicável(is):** - Onde está localizado o titular de dados? - Quais leis se aplicam com base na presença e atividades da organização? 3. **Verificar a identidade**: - Confirmar que o solicitante é quem afirma ser - Usar medidas razoáveis de verificação proporcionais à sensibilidade dos dados 4. **Registrar a solicitação**: - Data de recebimento, tipo de solicitação, identidade do solicitante, regulamentação aplicável, prazo de resposta, responsável ### Prazos de Resposta | Regulamentação | Confirmação Inicial | Resposta Substantiva | Extensão | |---|---|---|---| | **LGPD** | Imediata (boa prática) | 15 dias | Limitada (com justificativa) | | GDPR | Não especificado (boa prática: imediata) | 30 dias | +60 dias (com aviso) | | CCPA/CPRA | 10 dias úteis | 45 dias corridos | +45 dias (com aviso) | ### Isenções e Exceções Antes de atender uma solicitação, verificar se alguma isenção se aplica: **Isenções comuns (LGPD art. 16):** - Defesa em processos judiciais, administrativos ou arbitrais - Obrigações legais de retenção - Interesse público, pesquisa científica ou histórica - Proteção do crédito - Outros legítimos interesses do controlador (conforme aplicável) **Considerações específicas da organização:** - Hold judicial: dados sujeitos a retenção legal não podem ser eliminados - Retenção regulatória: registros financeiros, registros trabalhistas e outras categorias podem ter prazos obrigatórios de retenção - Direitos de terceiros: atender à solicitação pode afetar adversamente os direitos de outros ## Monitoramento Regulatório ### O que Monitorar Manter-se atualizado sobre desenvolvimentos em: - **Orientações regulatórias**: Novas ou atualizadas da ANPD, CGU, CADE, órgãos setoriais - **Ações de enforcement**: Multas, ordens e acordos que sinalizam prioridades regulatórias - **Mudanças legislativas**: Novas leis de privacidade, emendas a leis existentes - **Padrões da indústria**: Atualizações em ISO 27001, SOC 2, frameworks de segurança setoriais - **Desenvolvimentos de transferência internacional**: Decisões de adequação da ANPD, atualizações de cláusulas contratuais padrão ### Critérios de Escalação Escalar para Thaís Menezes ou Vitor Lacerda quando: - Uma nova regulamentação ou orientação afeta diretamente as atividades de negócio principais - Uma ação de enforcement no setor da organização sinaliza maior escrutínio regulatório - Um prazo de conformidade está se aproximando e exige mudanças organizacionais - Um mecanismo de transferência de dados do qual a organização depende é contestado ou invalidado - Uma autoridade regulatória inicia uma consulta ou investigação envolvendo a organização ## Dicas 1. **Seja específico** — "Queremos enviar email para todos os nossos usuários" é melhor do que "campanha de marketing." 2. **Inclua a geografia** — Os requisitos de conformidade variam por jurisdição. 3. **Mencione os dados** — Quais dados pessoais estão envolvidos? Isso determina a maioria dos requisitos de conformidade com a LGPD. > **Este documento não constitui aconselhamento jurídico.** Consulte Thaís Menezes ou Vitor Lacerda para decisões legais.