Privacidade de Dados | Programa

Privacidade de Dados | Programa

Rodrigo Magdalena Rodrigo Magdalena

Rodrigo Magdalena

LATAM Data Privacy & Information Security Lead

Publicado em 30 de jun. de 2020
+ Siga

Tendo em vista a entrada em vigor da LGPD (Lei Geral de Proteção de Dados) em breve e a já sancionada GDPR (General Data Protection Regulation), respectivamente leis brasileira e européia, além de diversas outras legislações que podem ou não ter impacto nos negócios de organizações, como CCPA, por exemplo, não basta realizar uma ação de conformidade com esta(s) lei(s), mas sim a criação de um Programa de Privacidade, onde se tem escalabilidade e integração com outros programas, como os de Segurança da Informação, Qualidade, Meio Ambiente e também aspectos jurídicos, econômicos e administrativos, além de mais fácil assimilação de políticas internas existentes e, consequentemente, maior interação e sucesso.

O que diferencia um programa de uma simples adequação é que a segunda se limita a seguir o que um único componente (a LGPD, por exemplo) prega, sem se preocupar com outras possíveis mudanas decorrentes de aspectos legais e regulatórios, como novas leis, adoção de normas, como a ISO 27701, etc, enquanto um programa reúne antes todas as premissas gerais e ramifica isso nos domínios específicos, como em leis e regulações, escopo nacional e global, entre outros.

A organização que adota um programa tem um investimento inicial maior, mas uma estrutura consolidada e escalável desde sua implementação, possibilitando o retorno deste investimento inicial ao longo do tempo e diminuindo seu custo operacional de acordo com a maturidade atingida também em uma escala temporal.

Para que se implemente um programa, é necessário que haja o apoio explícito da Alta Direção, pois é algo que impacta a todo o ecossistema corporativo e não pode partir de uma única área como iniciativa de inovação, mas sim algo estratégico e vital para os negócios.

Desta forma, os seguintes passos, olhando de uma perspectiva macro e sem considerar ramificações e detalhes que cada organização requer, são necessários para que haja condições mínimas de um programa bem implementado:

  • Realização de estudo de viabilidade financeira e de todos os demais recursos;
  • Obtenção de apoio irrestrito e explícito da Alta Direção (preferencialmente do CEO, com comunicação direta ao público demonstrando e pedindo engajamento);
  • Estabelecimento do time de implementação (que pode ser uma consultoria gerenciada por uma liderança da corporação ou mesmo um time dedicado, seja apenas à implementação ou também que dará continuidade à operação, com um CISO, CSO e / ou DPO á frente dos trabalhos);
  • Integração completa com a área jurídica para condução e operação do programa, além de suporte especializado;
  • Capacitação do time de implementação, trazendo profissionais com conhecimentos e experiência ou mesmo capacitando os recursos já existentes com conteúdos e certificações relevantes para que seja realizado um trabalho com foco, prazo e qualidade;
  • Definição do escopo (o que será abordado, tais como leis - GDPR, CCPA, LGPD, Marco Civil, Resolução BACEN 4658; regulações - PCI-DSS; normas - ISO 27001, ISO 27701; além de estratégias e políticas internas;
  • Levantamento da estrutura organizacional (áreas corporativas, relacionamentos com entidades externas);
  • Definição da mancha de dados pessoais, ou seja, determinar as entradas, processamento, armazenamento, manipulação e saída de dados pessoais e dados pessoais sensíveis, bem como suas interdependências e correlações;
  • Avaliação do ambiente (Gap Analysis), onde será determinadas as áreas e pontos críticos, as melhorias e as implementações de controles necessários frente ao escopo definido pelo programa, além de boas práticas relacionadas;
  • Listagem de ativos e riscos de informação, com foco nas informações pessoais e informações pessoais sensíveis, dividindo as ações por área (de suporte e de negócio) e relacionamento externo (clientes, fornecedores e similares), com foco especial em Recrutamento e Seleção, Recursos Humanos e Folha de Pagemento, onde tipicamente há maior acúmulo de entrada de dados pessoais;
  • Validação, junto às áreas avaliadas, time de implementação, área jurídica e Alta Direção sobre as ações necessárias para conformidade e operação;
  • Desenvolvimento de um Guia de Implementação, onde devem ser inseridos os guidelines centralizados em uma única documentação orientando os times de implementação e jurídico;
  • Definição do cronograma de implementação considerando as ações a serem executadas das áreas mais críticas para as menos críticas;
  • Implementação de um programa de conscientização e treinamento;
  • Adoção de Governança com o estabelecimento de políticas, processos, fluxos e procedimentos com foco em conroles que garantam a conformidade com o escopo proposto;
  • Gestão de Incidentes com transparência e tratavias nos termos das regulações externas e internas;
  • Gestão de Continuidade de Negócios de modo que fraquezas em proteção de dados sejam devidamente identificadas, tratadas e mitigadas contra interrupções e desastres;
  • Prontidão para fiscalizações e certificações, estabelecendo, de fato, o PIMS (Personal Information Management System)

Estas premissas são aplicáveis em maior ou menor grau (ou mesmo dispensáveis) dependendo do escopo a ser abordardo e, certamente, deve ser complementado em todos os casos, definindo algo simples porém detalhado e que tenha direcionamento.

Entre para ver ou adicionar um comentário

Outros artigos de Rodrigo Magdalena

See all articles

Outras pessoas também visualizaram

Conferir tópicos