5 pontos que um programa de adequação à LGPD deve prever
A adequação à Lei Geral de Proteção de Dados (LGPD) é um processo urgente e necessário para todas as empresas. Cada organização tem seu ritmo e suas necessidades, e não há um caminho único em direção à conformidade. No entanto, podemos apontar alguns pontos que todo programa completo de adequação à LGPD deve prever.
Confira neste artigo!
Contrate uma consultoria de adequação à LGPD
A Get Privacy é especializada em projetos de adequação à LGPD e proteção de dados para empresas de todos os portes.
1. Avaliação inicial
O primeiro passo em um programa de conformidade consistente é entender a fundo o funcionamento da organização. Uma avaliação inicial deve ser feita sob o olhar tanto da proteção de dados quanto das necessidades do negócio. Afinal, é essencial conciliar ambos para garantir que o projeto seja bem sucedido.
Normalmente, esta etapa inicial inclui entrevistas com os gestores, avaliação das metas e do apetite de risco da empresa, e um entendimento geral de como o seu mercado de atuação funciona.
Depois que a avaliação é concluída, o time de adequação pode seguir para os próximos passos, que incluem análises mais técnicas relacionadas à proteção de dados em si.
2. Mapeamento de dados
O mapeamento de dados, ou data mapping, fornece a base de todo o programa de conformidade com a LGPD.
Basicamente, o mapeamento é processo pelo qual é possível conhecer de maneira aprofundada as atividades de tratamento de dados da organização. Ele consiste em analisar o caminho que o dado pessoal percorre desde o momento em que é coletado pela organização até o seu descarte.
Dessa forma, é possível identificar fatores fundamentais relacionados à adequação à LGPD, como:
- Quais tipos de dados a empresa trata (se trata dados sensíveis, por exemplo);
- Qual é a finalidade da coleta de dados;
- Se o titular dos dados é informado com clareza a respeito do tratamento e da sua finalidade;
- Em qual base legal o tratamento de dados se enquadra;
- Onde os dados ficam armazenados e com qual grau de segurança;
- Quem tem acesso aos dados;
- Se os dados são compartilhados com terceiros.
Sem o mapeamento de dados, não é possível identificar os riscos aos quais a empresa está exposta, como tratamento irregular, coleta desnecessária de dados sensíveis ou o uso de sistemas de armazenamento suscetíveis a invasões.
3. Análise de riscos
Com todas as informações do mapeamento de dados em mãos, é hora de analisar os riscos envolvidos no tratamento de dados. Essa análise pode variar muito dependendo de quem está coordenando o programa de conformidade.
Na Get Privacy, nós usamos uma abordagem convencional de gestão de risco, chamada de eixo de probabilidade. Ela tem por objetivo medir, em escala crescente, a probabilidade de um risco jurídico se concretizar, assim como o nível de impacto caso isso ocorra.
Com critérios próprios, estimamos a probabilidade de o ponto de atenção resultar em um efeito negativo jurídico, assim como o grau de impacto estimado.
Dessa maneira, é possível levantar todos os riscos envolvendo o tratamento de dados na empresa e propor soluções assertivas com base no grau de cada um.
Baixe a cartilha gratuita sobre LGPD
Nossos especialistas prepararam um material completo e gratuito com os fundamentos da lei. Clique e confira!
4. Análise de Segurança da Informação
A Segurança da Informação é parte fundamental da conformidade com a LGPD. Inclusive, a lei coloca a segurança como um dos seus princípios – ou seja, como algo que deve guiar todo o tratamento de dados pessoais.
Portanto, um programa de conformidade completo deve prever uma análise minuciosa relacionada à Segurança da Informação.
Com base nos critérios estabelecidos pelas normas ISO 27001 e 27002, devem ser analisados diversos pontos relacionados à segurança, identificando o nível de adequação da empresa a cada um deles. Dessa forma, é possível visualizar os pontos mais críticos e que precisam de adequação urgente.
Além disso, o ideal é que o programa também inclua uma análise de vulnerabilidades de todos os ativos de TI. Essa análise permite identificar riscos que podem levar a situações como ataques hacker e vazamentos ou perdas de dados.
5. Plano de ação
Por fim, depois de um entendimento geral da organização, do fluxo de dados e dos riscos jurídicos e de segurança da informação, é hora de pensar em um plano de ação para sanar os riscos identificados.
As medidas nesse plano de ação podem variar imensamente, dependendo dos gaps identificados. Ele pode incluir, por exemplo:
- Medidas de governança;
- Avaliação de contratos;
- Criação de cláusulas contratuais;
- Definição de políticas e protocolos diversos relacionados à proteção de dados;
- Implementação e gestão de medidas de Segurança da Informação;
- Treinamentos de funcionários; etc.
É fundamental ter um plano de ação bem definido e embasado, para que a empresa saiba com clareza quais medidas serão adotadas e por qual motivo.
Vale lembrar, no entanto, que manter a adequação à LGPD é um processo contínuo, que não termina com o plano de ação. É preciso constantemente monitorar novas regulamentações; treinar funcionários; reforçar medidas de segurança; avaliar novos processos de tratamento e adequá-los à lei; etc.
Como começar um programa de conformidade com a LGPD
Devido à complexidade do processo, o ideal é que as organizações contem com ajuda especializada para se adequar à Lei Geral de Proteção de Dados.
Na Get Privacy, nós contamos com uma equipe multidisciplinar especializada em proteção de dados para atender às suas demandas.
CONFIRA
OUTROS POSTS