Confira as principais notícias

Como implantar um projeto de conformidade com a LGPD?

Cresce a cada dia a preocupação com a segurança da informação, principalmente depois de grandes vazamentos de dados que temos acompanhado nos últimos anos. Para ser possível garantir a segurança de dados pessoais, estão sendo criadas legislações para definir que as empresas tratem os dados de forma lícita, leal e transparente.

Empresas e usuários que se preocupam com os dados pessoais que são processados não terão interesse em parcerias com empresas que não possuem o mesmo nível de cuidado e transparência. Para que isso aconteça é necessário ter regras unificadas e que sejam claras para empresas e consumidores. Portanto, no Brasil, foi criada a Lei Geral de Proteção de Dados (LGPD), lei nº 13.709, sancionada dia 14 de agosto de 2018, que entrará em vigor em agosto de 2020. Esta lei se baseia em princípios que regulam a proteção dos dados pessoais, garantindo direitos aos cidadãos e estabelecendo regras claras sobre o tratamento de dados realizados por órgãos públicos ou privados.

Estar em conformidade com a LGPD é um desafio que envolve pessoas, processos e tecnologias. Portanto, implantar um projeto de adequação à lei e, mais do que isso, garantir a conformidade não é uma tarefa simples, mas para começar, podemos utilizar metodologias para servir de guia durante todo o processo até atingir maturidade no programa de governança em privacidade e proteção de dados.

1- Preparação

Para esta primeira etapa nos preocupamos muito em passar a ideia do impacto positivo que esta lei traz do ponto de vista organizacional e pessoal também. Para a conclusão buscamos executar as seguintes ações:

- Contextualizar colaboradores sobre a importância da adequação à LGPD;
- Definir um comitê de segurança da informação;
- Definir um escopo do projeto de conformidade;
- Planejar atividades do Mapeamento de Dados;
- Definir métricas de acompanhamento

O comitê de Segurança da Informação se torna simples de ser construído quando os colaboradores compreendem a importância dessa lei. Este comitê é constituído de pelo menos uma pessoa de cada área da empresa e o objetivo é que estes possam trazer questionamentos de suas áreas e que sejam os que vão difundir a cultura de Segurança da Informação dentro da organização. Outro ponto importante é o planejamento das atividades para que seja possível identificar quais são as áreas que tratam dados pessoais e que representam um risco alto levando em consideração a LGPD.

2- Mapeamento

Nesta etapa são realizados os mapeamentos de dados. Para cada contexto deverá ser criado um fluxo demonstrando todo o ciclo de vida do dado. Para a conclusão desta etapa é necessário executar as seguintes ações:

- Elaborar um mapa de dados para compreender o ciclo de vida do dado dentro da organização
- Realizar entrevistas com as áreas para preenchimento do mapa de dados
- Mapear os processos, políticas internas, tecnologias utilizadas, parceiros e terceiros

É importante ressaltar que os colaboradores escolhidos deverão ser estratégicos do ponto de vista de conhecimento sobre a sua área de atuação, acesso aos dados e processos internos, para que a atividade de mapeamento seja efetiva.

3- Avaliação

Nesta etapa é realizada a avaliação dos resultados obtidos através das entrevistas. Além disso é realizada a avaliação de risco para apoiar a definição das prioridades dentro do plano de ação. Para a conclusão desta etapa é necessário executar as seguintes ações:

- Avaliar o mapa dos dados com base nos requisitos da LGPD (GAP Analysis)
- Elaborar um relatório de Avaliação de impacto de proteção de dados (DPIA)
- Realizar a avaliação de risco

Com base no Gap Analysis é possível realizar o planejamento considerando o risco de cada área e de cada processo de tratamento de dados e dessa forma priorizar as ações com maior assertividade.

4- Planejamento

Nesta etapa será realizado o plano de ação, de acordo com a avaliação de risco definida na fase de Avaliação. Para a conclusão desta etapa é necessário executar as seguintes ações:

- Elaborar um plano de ação
- Definir ações que devem ser realizadas com base no que foi levantado no GAP Analysis
- Priorizar atividades Elaborar cronograma de implementação

5- Execução

Nesta etapa será realizada a implementação de guias de procedimentos, melhoria ou criação de processos, incluindo, a definição da estratégia de governança de dados, implementação de controles de segurança da informação, revisão de contratos, e gestão de políticas internas. Todas essas ações devem estar documentadas no programa de governança de privacidade e proteção de dados. Este é um documento vivo que deve ser atualizado constantemente. Para a conclusão desta etapa é necessário executar as seguintes ações:

- Executar as atividades do plano de ação
- Atualizar a documentação do programa de governança de privacidade e proteção de dados.

6- Monitoramento

Esta etapa consiste em garantir que a organização está mantendo a conformidade com a lei geral de proteção de dados. Para a conclusão desta etapa é necessário executar as seguintes ações:

- Realizar auditorias periódicas para garantir que a organização está mantendo a conformidade
- Garantir o andamento de um programa de conscientização e treinamentos recorrentes

Estes são alguns passos para ajudar que você e a sua empresa consigam colocar em prática um projeto de governança em privacidade e proteção de dados para adequação à LGPD. Nesta quinta-feira, dia 06 de fevereiro, é comemorado o Dia Internacional da Internet Segura. Uma ótima oportunidade para levar o tema para a sua empresa. A iniciativa para adotar estas medidas e se adequar à LGPD não precisa partir necessariamente da área de tecnologia. Você pode ser um agente de transformação na sua companhia e dar o start neste que é um tema tão importante.

Vale lembrar que faltam apenas seis meses para a LGPD entrar em vigor e poucas empresas brasileiras estão totalmente preparadas e adaptadas para seguir as normas e cuidados com os nossos dados.