Valorizamos a sua privacidade

A LF Consultoria utiliza cookies e outras tecnologias semelhantes para melhorar a sua experiência, de acordo com o nosso Aviso de Privacidade de Dados Pessoais e, ao continuar navegando, você concorda com estas condições. Aviso de Privacidade de Dados Pessoais

Valorizamos a sua privacidade

A LF Consultoria utiliza cookies e outras tecnologias semelhantes para melhorar a sua experiência, de acordo com a nossa Política de Privacidade e, ao continuar navegando, você concorda com estas condições.

Necessary cookies are required to enable the basic features of this site, such as providing secure log-in or adjusting your consent preferences. These cookies do not store any personally identifiable data.

Functional cookies help perform certain functionalities like sharing the content of the website on social media platforms, collecting feedback, and other third-party features.

Analytical cookies are used to understand how visitors interact with the website. These cookies help provide information on metrics such as the number of visitors, bounce rate, traffic source, etc.

Performance cookies are used to understand and analyze the key performance indexes of the website which helps in delivering a better user experience for the visitors.

Advertisement cookies are used to provide visitors with customized advertisements based on the pages you visited previously and to analyze the effectiveness of the ad campaigns.

Powered by Cookieyes logo

8 passos essenciais para o sucesso de um projeto de conformidade com a LGPD

21/02/2020

Todas as organizações precisam ficar em conformidade com a Lei Geral de Proteção de Dados Pessoais. Baseado na nossa experiencia, considerando dados pessoais um subconjunto das informações sob responsabilidade da organização e no desenvolvimento de projeto de conformidade com a LGPD, apresento, neste artigo, recomendações diretas e objetivas.

Entendo que proveitosas para as organizações que desejam saber o “caminho das pedras” para não se afogar nos mares da perfeição e de controles que não são prioritários. Evidentemente estas recomendações podem e devem ser adaptadas à realidade de cada porte e tipo de negócio de empresa.

1. Tenha um coordenador do Projeto

Defina o Gestor da Segurança da Informação como Coordenador deste projeto. É um projeto multidisciplinar, porém a maioria dos controles exigem um efetivo processo de segurança da informação. É bom lembrar que Dados Pessoais é um subconjunto do conjunto de informação sob responsabilidade da organização.

2. Busque um patrocinador do projeto

Garanta que um dos Executivos (Diretores ou superior) seja o Patrocinador do Projeto. Que isto esteja formalizado. Porém, o mais importante: que este Executivo entenda a criticidade e os impactos que uma não conformidade com a LGPD pode acarretar para a organização: multas, ações de indenização e comprometimento da reputação. Todos os gestores e acionistas devem estar cientes deste impactos em caso de não conformidade com a LGPD.

3. Defina as etapas do projeto

Tenha definido todas as etapas do projeto. Mesmo que a implementação seja por fases ou de maneira parcial, é necessário que a organização tenha explícito todo o ambiente das atividades que deverão ser executadas. Recomendo as seguintes etapas:

* Avaliação da Maturidade dos Controles de Segurança da Informação e Proteção de Dados Pessoais.

* Planejamento das Ações e Atividades para a implementação dos controles.

* Identificação dos Dados Pessoais utilizados: finalidade, tipos de titulares, identificação dos Operadores e similar.

* Definição da Base Legal para cada tipo de Titular e Tratamento de Dado Pessoal.

* Elaboração ou aprimoramento das políticas e normas de Segurança da Informação e Proteção de Dados Pessoais. Inclusive a Política de Tratamento de Dados Pessoais exigida pela LGPD.

* Elaboração e definição de controles obrigatórios da LGPD, que incluem Encarregado pelo Tratamento de Dados Pessoais e Relatório de Impacto à Proteção de Dados Pessoais.

* Treinamento e conscientização em Segurança da Informação e Proteção de Dados Pessoais.

* Documento Verdade da Maturidade da Proteção de Dados Pessoais.

4. Assuma a responsabilidade em conhecer o negócio

A organização é a responsável por conhecer o seu negócio e o seu relacionamento com a LGPD. Não terceirize esta responsabilidade. A organização pode contar com a colaboração de uma consultoria com mais experiencia em conformidade com LGPD, porém é a organização que vai possibilitar o “casamento” da necessidade de negócio com os controles exigidos pela lei. As organizações que não assumem esta responsabilidade têm grande chance de no final do projeto se queixar que o projeto não foi adequado ao negócio.

5. Defina a responsabilidade de cada área

Identifique previamente as responsabilidades ou macro responsabilidades de cada área. Esta definição deve ter a participação dos envolvidos, para que todos entendam o porquê da repartição das responsabilidades pela execução de grupo de tarefas. É um bom momento para o aprofundamento do conhecimento da LGPD. Sugiro:

* Avaliação da Maturidade dos Controles de Segurança da Informação: Segurança Informação

* Identificação do Uso de Dados Pessoais, Tipos de Titulares: Segurança Informação, Administração Dados, Processos.

* Finalidade do tratamento de Dados Pessoais: – Negócios.

* Identificação da Base Legal: – Jurídico.

* Revisão de Contratos: – Jurídico

* Elaboração de Políticas e Normas: – Segurança Informação.

* Treinamento de pessoas: – Segurança Informação, Recursos Humanos, Encarregado

* Segurança Técnica, Criptografia, Eliminação de dados: Tecnologia da Informação.

* Comunicação com os Titulares e com a Autoridade Nacional – Encarregado.

6. Fique atento às deficiências fora do escopo da LGPD

Muitas vezes existem vulnerabilidades, fraquezas de controles e ambientes que são identificados quando do Projeto de Conformidade com a LGPD, mas são elementos que deveriam estar adequados independente da lei. Eles até poderão ser implementados ou aprimorados em paralelo a este projeto de conformidade, porém, é um outro projeto. Exemplo: Ferramenta de Banco de Dados ineficiente e não atende aos controles necessários.

7. Seja honesto, pense no plano B

Considere um plano alternativo para o caso da organização não conseguir implementar os controles exigidos pela LGPD até o início da aplicação da lei. E importantíssimo: comunique ao Corpo Diretivo da Organização. Caso não consiga implementar todos os controles, reforce a documentação, o plano de ação e garanta que os controles implementados estão documentados e efetivos. Execute uma análise de riscos considerando estes controles não implementados.

8. A Lei é geral, mas a aplicação é da organização

Garanta que a organização esteja implementando um projeto de uma solução desenhada especificamente para a sua organização. Não existe solução mágica, não existe sistema ou ferramenta que vai resolver tudo. O Custo (financeiro, tempo e operacional) será proporcional ao tamanho e tipo de negócio da organização. Não acredite em serviço grátis ou muito barato.

Conclusão

Evidentemente o Projeto para a Conformidade com a LGPD, tem várias outras considerações, mas tenho certeza que você seguindo estas oito recomendações estará no caminho correto e chegará à conformidade adequada com a LGPD.

*Edison Fontes é Consultor, Gestor e Professor de Segurança da Informação, Proteção de Dados Pessoais, Continuidade de Negócio, Risco Operacional e Combate à Fraude de Informação. Trabalhou como Security Officer em banco e empresa de alta disponibilidade de informação. Certificado Internacional CISA, CISM, CISA, e Mestre em Tecnologia

Fonte: CIO

Voltar
LinkedInPin
Footer sem selo