MIGALHAS DE PESO

  1. Home >
  2. De Peso >
  3. Roteirizando um plano de conformidade para LGPD

Roteirizando um plano de conformidade para LGPD

Espera-se cada vez mais a alocação de recursos e priorização dessa temática, tanto por empresas, órgãos governamentais e demais organizações da sociedade civil.

quarta-feira, 21 de julho de 2021

Atualizado às 14:10

 (Imagem: Arte Migalhas)

(Imagem: Arte Migalhas)

Em 1º de agosto de 2021 entrarão em vigor as sanções administrativas previstas na Lei Geral de Proteção de Dados Pessoais (LGPD) passíveis de serem aplicadas pela Autoridade Nacional de Proteção de Dados (ANPD). Nesse cenário, fica ainda mais nítida a urgência na construção de um ambiente de negócios orientado à proteção e privacidade de dados pessoais. 

Muitas organizações, há algum tempo, já iniciaram medidas para se adequarem às exigências normativas trazidas com o advento da LGPD, investindo no desenvolvimento e adequação de suas estruturas para estarem em conformidade com a legislação e atender às novas exigências do próprio mercado. 

Contudo, muitas companhias encontram-se perdidas ou em estágios muito iniciais de adequação, sendo assim, seguem algumas orientações com o intuito de ajudar orientar na construção de um roteiro para tomada de decisão e na estruturação de uma jornada de conformidade em proteção e privacidade de dados. 

Avaliando a maturidade da organização 

Um passo fundamental para se iniciar qualquer projeto complexo como o atendimento a uma legislação ampla como a LGPD, que permeia pontos não apenas jurídicos como também de tecnologia, modelo de negócios e segurança da informação, é saber em que ponto de maturidade a organização se encontra em relação à governança, segurança e tratamento de dados. 

Uma avaliação dessa natureza requer uma abordagem multidisciplinar, devendo passar por todas as áreas da companhia, avaliando requisitos de conformidade regulatória, existência de políticas e procedimentos, ferramental e recursos dedicados à cibersegurança. Uma forma de nortear tal diagnóstico é através da utilização de frameworks de boas práticas, como os controles do CIS (Center for Internet Security) e a as normas da família ISO 27000 (27001, 27002, 27701, etc). 

Utilizar-se de frameworks é especialmente vantajoso quando se fala em Segurança da Informação e Privacidade de Dados, pois, eles trazem um direcionamento 360, englobando a organização como um todo e apresentam importantes orientações para correção de gaps e não conformidades detectadas. 

Nessa etapa o apoio de profissionais e entidades que possuam conhecimento aprofundado no uso desses frameworks é altamente recomendável, inclusive para que a corporação conte com uma olha externo sobre como sua estrutura está e aconselhar de qual forma ela pode evoluir em conformidade e maturidade. 

Definindo papéis e responsabilidades

É essencial que ocorra o estabelecimento de papéis e responsabilidades dentro da instituição, a própria LGPD impõe a necessidade da existência de um encarregado pelo tratamento de dados pessoais (DPO), sendo que esse papel pode ser desempenhado inclusive por uma pessoa ou empresa externa (DPO as a Service). Tal profissional legalmente possui as seguintes funções, conforme o art. 41 da LGPD

"Art. 41. O controlador deverá indicar encarregado pelo tratamento de dados pessoais.

§ 1º A identidade e as informações de contato do encarregado deverão ser divulgadas publicamente, de forma clara e objetiva, preferencialmente no sítio eletrônico do controlador.

§ 2º As atividades do encarregado consistem em:

I - aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;

II - receber comunicações da autoridade nacional e adotar providências;

III - orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e

IV - executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.

§ 3º A autoridade nacional poderá estabelecer normas complementares sobre a definição e as atribuições do encarregado, inclusive hipóteses de dispensa da necessidade de sua indicação, conforme a natureza e o porte da entidade ou o volume de operações de tratamento de dados." 

Como pode ser observado, o DPO conta como uma série de atribuições de extrema importância e complexidade, porém, ele não é o único responsável por garantir um programa de proteção e privacidade de dados.

É necessária a existência de outros profissionais que atuem diretamente e em conjunto com o DPO, como profissionais de tecnologia e segurança da informação, pontos focais das áreas de negócio como comercial, recursos humanos, jurídico, etc. É ainda altamente recomendável que seja constituído um comitê multidisciplinar que atue tratando as principais questões que impactem na proteção e tratamento de dados, contando com a presença da alta direção e definindo diretrizes de tomada de decisão.

 O dimensionamento das pessoas necessárias está diretamente relacionado ao modelo de negócios da companhia, tamanho, segmento de atuação, tipo de dados pessoais tratados, etc. Uma linha adotada por algumas organizações é a formação de um escritório de privacidade, que seria uma estrutura dedicadas às questões de proteção e privacidade de dados, detendo recursos e autonomia para melhor gestão dessa temática. 

Implementação das medidas de adequação 

Avaliada as medidas necessárias e definidos os papéis e responsabilidades, deve ser iniciada a implementação das ações de adequação mapeadas, tais medidas podem envolver a contratação de pessoas, implantação de ferramentas tecnológicas, elaboração de políticas e procedimentos, revisão de cláusulas contratuais, desenvolvimento e aplicação de treinamentos, entre outras. 

Durante a fase de implantação das medidas é de extrema importância o dimensionamento adequado dos prováveis impactos que podem ocorrer, como janelas de indisponibilidade na implantação de ferramentas, horas para participação em treinamentos e sessões de conscientização, contato junto aos parceiros para revisão de contratos, horas alocadas para customização e sustentação de soluções, e assim por diante. 

Outro aspecto importante nessa fase é contar com parceiros com expertise para otimizar a implantação dessas medidas e mitigar ao máximo os riscos e impactos negativos, bem como extrair todas as funcionalidades e benefícios dessas ferramentas. 

Conclusão

Dado o atual cenário, verifica-se a necessidade de serem iniciadas ou aceleradas as ações para construção de um programa de conformidade em proteção e privacidade de dados, não só por exigências de natureza legal e contratual, como também por uma questões estratégica e competitiva, já que incidentes de violação e vazamento de dados pessoais trazem além de custos financeiros consideráveis, drásticos danos à reputação das companhias. 

Sendo assim, espera-se cada vez mais a alocação de recursos e priorização dessa temática, tanto por empresas, órgãos governamentais e demais organizações da sociedade civil.

Cleber de Lima Junior

Cleber de Lima Junior

Especialista em Segurança da Informação na Tripla. Certificado em Segurança da Informação e Privacidade de Dados pela EXIN.

AUTORES MIGALHAS

Busque pelo nome ou parte do nome do autor para encontrar publicações no Portal Migalhas.

Busca