As faces e as etapas da conformidade com a LGPD
Atualizado em 27 de setembro de 22 | Geral por
A conformidade com a Lei Geral de Proteção de Dados Pessoais (a “LGPD”) parece caminhar lentamente nas organizações privadas. Em recente pesquisa publicada pelo Cetic.br|NIC.br, quanto à adequação nacional à LGPD, a preparação da política de privacidade foi evidenciada como relevante para 32% dos entrevistados e a realização de testes de segurança contra vazamentos de dados para 30%. Lamentavelmente, somente 24% afirmaram ter elaborado um plano de adequação à legislação.
Dito isso, parece que há uma falta de compreensão geral sobre as multifaces dessa norma tão complexa, que faz latentes de atenção os deveres de promoção da privacidade dos dados e da segurança das informações organizacional, e as etapas de alcance conformidade, o que será abordado de forma breve a seguir, por tópicos.
As facetas da LGPD: privacidade e segurança da informação
Engana-se quem pensa que a LGPD exige apenas um braço documental ou que ela serve apenas às pessoas que precisam de uma política e igualmente iludido é aquele que afirma que o que importa é a adoção de ferramentas de segurança da informação – tecnológicas ou não. A LGPD é uma moeda e, como tal, possui duas faces e um contorno que as liga.
A face da privacidade demanda, sim, a existência de documentos, políticas e ferramentas de governança para que os dados pessoais sejam tratados de forma adequada, coletados sob desígnios legítimos e, na medida do possível, informados com franca transparência aos titulares, seus verdadeiros donos. De outra banda, a face da segurança da informação comanda que é insuficiente o reconhecimento da legitimidade sobre os dados adequadamente tratados com base legal e transparência, há que se tê-los sob prudente e cautelosa tutela para evitar a perda da sua confidencialidade, integridade e disponibilidade.
A linha conectora da nossa moeda é a gestão. A privacidade não existe sem a segurança da informação e a segurança de qualquer informação não é o bastante para dotar uma organização da dita conformidade com a LGPD. Assim, é preciso pensar em mecanismos que promovam a adequação institucional de forma uniforme e eficaz para proporcionar a gestão da temática internamente.
Essa gestão poderá ser dividida em duas etapas: (a) projeto de adequação; e (b) programa de conformidade, que poderá ter seus resultados medidos para avaliação da maturidade da gestão frente aos seus objetivos.
As etapas necessárias à conformidade legal
A LGPD exige que a organização implante um projeto de adequação porque isso facilita a tomada de decisões sobre produtos, processos, dispêndio de recursos e outros temas, a fim de alcançar a almejada conformidade. Por isso, planeje: (a) as especificidades; (b) o trajeto a ser percorrido; (c) a progressão esperada; (d) os recursos disponíveis (ativos humanos, financeiros e tecnológicos); e (e) os objetivos claros e viáveis do projeto. Depois de planificar os detalhes, execute os planos de ação, monitore o progresso e a qualidade das ações e encerre o projeto. Veja-se que projetos têm início, meio e fim e seus resultados devem ser mensuráveis.
Avalia-se que um projeto de implantação eficiente deve contemplar:
Comprometimento da Alta Direção
A partir do projeto, deve ser possível avaliar que o comprometimento da Alta Direção na disponibilidade de recursos, apoio e suporte aos planos de ação à adequação à LGPD foram suficientes à complexidade da estrutura da organização, atividades desenvolvidas e propagadoras da mudança de paradigma cultural da preservação da privacidade e segurança da informação;
Pessoas
As pessoas integrantes da organização foram chamadas à participar na implantação do projeto para mapear a execução de processos alimentados com dados pessoais. Isso não significa que todos eram agentes decisores, mas que todos foram informados, conscientizados e responsabilizados sobre os riscos das suas atividades. A engenharia social ainda é muito utilizada por hackers para comprometimento de organizações, então é importante que as pessoas sejam envolvidas nas temáticas da privacidade e da segurança da informação.
Tecnologia
Ativos de tecnologia foram mapeados para verificação dos protocolos de segurança e o tratamento de dados pessoais realizados em plataformas de serviços de terceiros e aplicações, critérios de avaliação e monitoramento de mecanismos de LGPD desses terceiros foram previstos. Foram realizadas varreduras em redes e sistemas para identificação e gerenciamento de potenciais vulnerabilidades, proteções contra malwares foram implementadas. O uso de criptografia, anonimização de dados pessoais, backup, autenticações, controles de acesso e outros tópicos de TI foram debatidos e implantados.
Organização interna
Controles para segregação de função, elaboração de políticas de diretrizes de processos e procedimentos de controle adequados para a promoção da privacidade e da segurança da informação de acesso, coleta adequada, gestão de contratos, gestão de terceiros, gestão de termos de consentimento, fluxo de comunicação com autoridades e grupos relevantes, retenção e eliminação de dados pessoais, comunicação com titulares, bem foram definidos, refinados e implementados.
A partir da implantação, vem a necessária gestão do programa implantado – nasce a responsabilidade de manter a gestão sobre os objetivos claros e viáveis previstos inicialmente para continuamente aprimorar as ferramentas implementadas – a gestão do programa de conformidade.
A gestão de um programa de conformidade é facilitada pelo projeto, pois ela consistirá basicamente na monitoria para manutenção ou melhoria das suas ferramentas, de acordo com o andar da carruagem e a maturidade da cultura interna de privacidade e segurança das informações organizacionais. O programa é contínuo, não tem fim, e deve ser mensurável para avaliação do atingimento dos seus objetivos, de preferência anualmente, a fim de ver revisados seus objetivos e estratégias de alcance operacional.
Portanto, considere as multifaces da LGPD quando for debater o tema internamente e organize-se para implantar um projeto e, posteriormente, realizar a manutenção de um programa. A implantação solitária de alguns novos processos pode parecer mais fácil, mas somente com a gestão das atividades ela será duradoura. Facilite a organização interna para a mudança da cultura que a temática da proteção de dados pessoais traz internamente e não se esqueça de mensurar seus resultados para conseguir analisar pontos críticos e dar atenção às prioridades de forma precisa.
Avante!
Mariana é advogada com expertise na implantação e gestão de projetos de Compliance e LGPD, especialista em Direito Digital (FMP) e Auditora-Líder de Sistemas de Gestão de Compliance ISO 37301:2021, incluindo as normas ISO 37301:2017 e ISO 19600:2014.
