Artigos
8 passos essenciais para o sucesso de um projeto de conformidade com a LGPD
21/02/2020
Todas as organizações precisam ficar em conformidade com a Lei Geral de Proteção de Dados Pessoais. Baseado na nossa experiencia, considerando dados pessoais um subconjunto das informações sob responsabilidade da organização e no desenvolvimento de projeto de conformidade com a LGPD, apresento, neste artigo, recomendações diretas e objetivas.
Entendo que proveitosas para as organizações que desejam saber o “caminho das pedras” para não se afogar nos mares da perfeição e de controles que não são prioritários. Evidentemente estas recomendações podem e devem ser adaptadas à realidade de cada porte e tipo de negócio de empresa.
1. Tenha um coordenador do Projeto
Defina o Gestor da Segurança da Informação como Coordenador deste projeto. É um projeto multidisciplinar, porém a maioria dos controles exigem um efetivo processo de segurança da informação. É bom lembrar que Dados Pessoais é um subconjunto do conjunto de informação sob responsabilidade da organização.
2. Busque um patrocinador do projeto
Garanta que um dos Executivos (Diretores ou superior) seja o Patrocinador do Projeto. Que isto esteja formalizado. Porém, o mais importante: que este Executivo entenda a criticidade e os impactos que uma não conformidade com a LGPD pode acarretar para a organização: multas, ações de indenização e comprometimento da reputação. Todos os gestores e acionistas devem estar cientes deste impactos em caso de não conformidade com a LGPD.
3. Defina as etapas do projeto
Tenha definido todas as etapas do projeto. Mesmo que a implementação seja por fases ou de maneira parcial, é necessário que a organização tenha explícito todo o ambiente das atividades que deverão ser executadas. Recomendo as seguintes etapas:
* Avaliação da Maturidade dos Controles de Segurança da Informação e Proteção de Dados Pessoais.
* Planejamento das Ações e Atividades para a implementação dos controles.
* Identificação dos Dados Pessoais utilizados: finalidade, tipos de titulares, identificação dos Operadores e similar.
* Definição da Base Legal para cada tipo de Titular e Tratamento de Dado Pessoal.
* Elaboração ou aprimoramento das políticas e normas de Segurança da Informação e Proteção de Dados Pessoais. Inclusive a Política de Tratamento de Dados Pessoais exigida pela LGPD.
* Elaboração e definição de controles obrigatórios da LGPD, que incluem Encarregado pelo Tratamento de Dados Pessoais e Relatório de Impacto à Proteção de Dados Pessoais.
* Treinamento e conscientização em Segurança da Informação e Proteção de Dados Pessoais.
* Documento Verdade da Maturidade da Proteção de Dados Pessoais.
4. Assuma a responsabilidade em conhecer o negócio
A organização é a responsável por conhecer o seu negócio e o seu relacionamento com a LGPD. Não terceirize esta responsabilidade. A organização pode contar com a colaboração de uma consultoria com mais experiencia em conformidade com LGPD, porém é a organização que vai possibilitar o “casamento” da necessidade de negócio com os controles exigidos pela lei. As organizações que não assumem esta responsabilidade têm grande chance de no final do projeto se queixar que o projeto não foi adequado ao negócio.
5. Defina a responsabilidade de cada área
Identifique previamente as responsabilidades ou macro responsabilidades de cada área. Esta definição deve ter a participação dos envolvidos, para que todos entendam o porquê da repartição das responsabilidades pela execução de grupo de tarefas. É um bom momento para o aprofundamento do conhecimento da LGPD. Sugiro:
* Avaliação da Maturidade dos Controles de Segurança da Informação: Segurança Informação
* Identificação do Uso de Dados Pessoais, Tipos de Titulares: Segurança Informação, Administração Dados, Processos.
* Finalidade do tratamento de Dados Pessoais: – Negócios.
* Identificação da Base Legal: – Jurídico.
* Revisão de Contratos: – Jurídico
* Elaboração de Políticas e Normas: – Segurança Informação.
* Treinamento de pessoas: – Segurança Informação, Recursos Humanos, Encarregado
* Segurança Técnica, Criptografia, Eliminação de dados: Tecnologia da Informação.
* Comunicação com os Titulares e com a Autoridade Nacional – Encarregado.
6. Fique atento às deficiências fora do escopo da LGPD
Muitas vezes existem vulnerabilidades, fraquezas de controles e ambientes que são identificados quando do Projeto de Conformidade com a LGPD, mas são elementos que deveriam estar adequados independente da lei. Eles até poderão ser implementados ou aprimorados em paralelo a este projeto de conformidade, porém, é um outro projeto. Exemplo: Ferramenta de Banco de Dados ineficiente e não atende aos controles necessários.
7. Seja honesto, pense no plano B
Considere um plano alternativo para o caso da organização não conseguir implementar os controles exigidos pela LGPD até o início da aplicação da lei. E importantíssimo: comunique ao Corpo Diretivo da Organização. Caso não consiga implementar todos os controles, reforce a documentação, o plano de ação e garanta que os controles implementados estão documentados e efetivos. Execute uma análise de riscos considerando estes controles não implementados.
8. A Lei é geral, mas a aplicação é da organização
Garanta que a organização esteja implementando um projeto de uma solução desenhada especificamente para a sua organização. Não existe solução mágica, não existe sistema ou ferramenta que vai resolver tudo. O Custo (financeiro, tempo e operacional) será proporcional ao tamanho e tipo de negócio da organização. Não acredite em serviço grátis ou muito barato.
Conclusão
Evidentemente o Projeto para a Conformidade com a LGPD, tem várias outras considerações, mas tenho certeza que você seguindo estas oito recomendações estará no caminho correto e chegará à conformidade adequada com a LGPD.
*Edison Fontes é Consultor, Gestor e Professor de Segurança da Informação, Proteção de Dados Pessoais, Continuidade de Negócio, Risco Operacional e Combate à Fraude de Informação. Trabalhou como Security Officer em banco e empresa de alta disponibilidade de informação. Certificado Internacional CISA, CISM, CISA, e Mestre em Tecnologia
Fonte: CIO
Voltar