Entregáveis principais para demonstrar conformidade com LGPD

Vou compartilhar aqui o que chamo de Grandes Entregáveis da LGPD, ou seja, são os entregáveis principais para demonstrar Conformidade com a lei.

1 - Programa de Governança em Privacidade

2 – Política de Segurança, com destaque para Política de Retenção e Eliminação de dados pessoais

3 - Política de Privacidade

4 – Análise de Impacto à Proteção de Dados Pessoais

5 - Avaliação de Riscos

6 – Plano de Melhorias/Framework de Segurança/Privacidade

7 – Ajustes em Contratos internos e externos, termos de privacidade etc

8 – Tratamento Seguro de Dados, com documentação das melhorias já implementadas e descrição de medidas técnicas e administrativas para reduzir os riscos

9 - Canal de Comunicação com Titulares para eles poderem exercer seus direitos, incluindo direito de acesso aos dados

10 – Ajustes em processos e procedimentos em cada área, incluindo sistemas (privacy by Design e by Default)

11 – Registro de Operações - ROPA

12 – Plano de Violação de Dados

13 – funções definidas: DPO e Controlador

Além disso, se o Legítimo Interesse for usado com hipótese de tratamento para alguma atividade, o teste de balanceamento deve ser elaborado.

Cada um dos itens acima pode ser detalhado conforme o porte da empresa que está se adequando.

É difícil ? Não, mas é bem trabalhoso. E é multi-disciplinar, envolvendo cada área.

O Projeto de Adequação não deve ser de papel (para inglês ver), mas é sim uma oportunidade da empresa investir em segurança dos dados.

O Plano de Melhorias (item 6) consolida as medidas sugeridas ou requeridas a partir da Análise de Riscos (item 5) e Análise de Impacto (item 4). Essas melhorias devem ser discutidas com cada gestor de área

Os itens acima NÃO são etapas de adequação, mas sim os entregáveis finais.

Esses entregáveis são cobrados pela ANPD, Procon e em processos de Due Diligence, Auditorias externas.

A LGPD deve ser seguida por toda empresa (ou pessoa física) com finalidade econômica e que trata dados pessoais.

Em empresas menores ou com menos recursos financeiros, basta desenvolver os entregáveis acima de forma mais simples. Inclusive a própria ANPD orientou sobre isso.

O item 1 (Governança) inclui a Auditoria periódica. Durante o projeto, é uma Auditoria de acompanhamento das melhorias listadas no item 6, feita com cada gestor durante vários meses, até que as melhorias sejam implementadas.

Após o projeto de adequação inicial (ou seja, empresa está em Conformidade), a privacidade se tranforma em um Programa de Privacidade, com melhoria contínua e perpetuação da espécie. :-)

O Mapeamento de Dados NÃO é um entregável (nem o Inventário), mas ele identifica os dados para vários entregáveis acima.

Sobre o Mapeamento de dados

O Mapeamento é a parte mais complexa do projeto. Nessa etapa os dados pessoais são analisados durante o seu ciclo de vida na empresa, em cada área.

Os dados do Mapeamento de Dados vão alimentar a Análise de Riscos e Análise de Impacto. Essa parte do projeto é exaustiva.

Para Análise de Impacto e Análise de Riscos considero:

-> Princípios da LGPD (FNT e os riscos em segurança da Informação - CID - no princípio Segurança)

-> Direitos dos Titulares

-> Hipóteses de Tratamento (bases legais)

-> Liberdades e garantias fundamentais como a não discriminação

-> Governança: responsabilização/prestação de contas

Sobre o DPO - Data Protection Officer

É o líder do projeto, e responsável (não legal) pela adequação.

Aqui no Brasil o DPO foi mal traduzido, considerando-se a lei européia (GDPR) como base e Portugal, então Officer (representante, oficial) virou Encarregado, que é um termo fraco no português brasileiro, que demonstra pouca estatura interna na empresa. Coisa de lobby feito por partes secretas na época que a LGPD foi elaborada, com finalidades escusas. :-<

Mesmo que o DPO seja terceirizado (DPO as a Service), é importante haver um líder interno para ajudar.

O projeto não deve ser do DPO, e sim da Empresa (envolver partes interessadas: pilar da Governança).

O DPO, seja interno ou terceirizado, traz o Expertise e segurança para a Empresa entender o que está sendo feito, porque.

O DPO traz a paz que a Empresa precisa para lidar com as questões de privacidade e segurança.

Podem ser usadas plataformas para ajudar, mas a automatização não substitui o ser humano no caso da LGPD.

Tem uma dúvida ou outra perspectiva sobre este assunto? Me chame nos comentários para trocarmos experiências ! 😀

#privacy

#cybersecurity

#lgpd

#seguranca

#dpo