Privacidade de Dados | Como o time de Privacidade de Dados deve se portar perante uma auditoria ou fiscalização

Chegamos a um ponto que, embora ainda não seja o de maturidade plena, já denota auto-suficiência intelectual e em termos de recursos para que as organizações possam desempenhar um papel responsável perante o controle e processamento de dados pessoais.

Com isso, vem as regulações que, por sua vez, precisam ser testadas, atestadas, homologadas e certificadas de acordo com sua aplicabilidade e órgão e, para que tal processo seja efetuado com excelência, é necessário um ponto único de organização e, por vezes, contato e, normalmente, este ponto é o time de Privaciadde de Dados.

Portanto, cabe a esta equipe mobilizar-se para que este evento seja realizado de forma a preservar alguns pilares importantes para a organização em questão, como a conformidade (com leis, regulações, padrões e políticas internas), impacto (sem que se interrompa ou prejudique o processo produtivo) e a capacidade de demonstração e reprodução de processos críticos (senioridade das pessoas responsáveis).

Com isso, cabe a nós, da área de Privacidade de Dados, receber as demandas, organizá-las tanto interna quanto externamente (passando pela logística, pela seleção de pessoas que auxiliarão nas respostas e evidências) e no suporte mútuo entre organização / entidade auditora ou fiscalizadora para que tudo seja verificado e evidenciado conforme o planejamento.

Isso requer conhecimento do que será auditado (leis, normas, processos, tipos de auditoria, tipos de abordagem, resultados possíveis e seus impactos), liderança, organização e senioridade para sua condução (tanto junto aos fiscais / auditorias quanto ao público interno) e também relacionamento com as áreas críticas e com a Alta Direção de modo a prever possíveis situações (e até mesmo resultados) e como atuar de forma preventiva e, se for o caso, reativa.

O DPO, CPO, Encarregado ou equivalente deve estar envolvido de forma ativa e responder, de fato, pela organização, enaquanto mobiliza seu time e seus relacionados para que o evento alcance seu único objetivo de forma clara, rápida e transparente: Atestar a conformidade com o que foi estabelecido como base de avaliação.

Enfim, um responsável por Privacidade de Dados não deve se resumir ao seu nicho, mas também relacionar-se e integrar-se com Segurança da Informação, Tecnologia da Informação, Recursos Humanos e todas as áreas consideradas essenciais e críticas para o negócio, pois só assim os elementos comentados anteriormente serão viabilizados e o sucesso poderá ser alcançada de forma apropriada.