Home > Gestão

8 passos essenciais para o sucesso de um projeto de conformidade com a LGPD

Assuma a responsabilidade em conhecer o negócio, mas seja honesto pensando em um plano B

Edison Fontes*

20/02/2020 às 14h00

Foto: Shutterstock

Todas as organizações precisam ficar em conformidade com a Lei Geral de Proteção de Dados Pessoais. Baseado na nossa experiencia, considerando dados pessoais um subconjunto das informações sob responsabilidade da organização e no desenvolvimento de projeto de conformidade com a LGPD, apresento, neste artigo, recomendações diretas e objetivas.

Entendo que proveitosas para as organizações que desejam saber o “caminho das pedras” para não se afogar nos mares da perfeição e de controles que não são prioritários. Evidentemente estas recomendações podem e devem ser adaptadas à realidade de cada porte e tipo de negócio de empresa.

1. Tenha um coordenador do Projeto

Defina o Gestor da Segurança da Informação como Coordenador deste projeto. É um projeto multidisciplinar, porém a maioria dos controles exigem um efetivo processo de segurança da informação. É bom lembrar que Dados Pessoais é um subconjunto do conjunto de informação sob responsabilidade da organização.

2. Busque um patrocinador do projeto

Garanta que um dos Executivos (Diretores ou superior) seja o Patrocinador do Projeto. Que isto esteja formalizado. Porém, o mais importante: que este Executivo entenda a criticidade e os impactos que uma não conformidade com a LGPD pode acarretar para a organização: multas, ações de indenização e comprometimento da reputação. Todos os gestores e acionistas devem estar cientes deste impactos em caso de não conformidade com a LGPD

CIO2503

E-book por:

3. Defina as etapas do projeto

Tenha definido todas as etapas do projeto. Mesmo que a implementação seja por fases ou de maneira parcial, é necessário que a organização tenha explícito todo o ambiente das atividades que deverão ser executadas. Recomendo as seguintes etapas:

  • Avaliação da Maturidade dos Controles de Segurança da Informação e Proteção de Dados Pessoais.
  • Planejamento das Ações e Atividades para a implementação dos controles.
  • Identificação dos Dados Pessoais utilizados: finalidade, tipos de titulares, identificação dos Operadores e similar.
  • Definição da Base Legal para cada tipo de Titular e Tratamento de Dado Pessoal.
  • Elaboração ou aprimoramento das políticas e normas de Segurança da Informação e Proteção de Dados Pessoais. Inclusive a Política de Tratamento de Dados Pessoais exigida pela LGPD.
  • Elaboração e definição de controles obrigatórios da LGPD, que incluem Encarregado pelo Tratamento de Dados Pessoais e Relatório de Impacto à Proteção de Dados Pessoais.
  • Treinamento e conscientização em Segurança da Informação e Proteção de Dados Pessoais.
  • Documento Verdade da Maturidade da Proteção de Dados Pessoais.

4. Assuma a responsabilidade em conhecer o negócio

A organização é a responsável por conhecer o seu negócio e o seu relacionamento com a LGPD. Não terceirize esta responsabilidade. A organização pode contar com a colaboração de uma consultoria com mais experiencia em conformidade com LGPD, porém é a organização que vai possibilitar o “casamento” da necessidade de negócio com os controles exigidos pela lei. As organizações que não assumem esta responsabilidade têm grande chance de no final do projeto se queixar que o projeto não foi adequado ao negócio.

5. Defina a responsabilidade de cada área

Identifique previamente as responsabilidades ou macro responsabilidades de cada área. Esta definição deve ter a participação dos envolvidos, para que todos entendam o porquê da repartição das responsabilidades pela execução de grupo de tarefas. É um bom momento para o aprofundamento do conhecimento da LGPD. Sugiro:

  • Avaliação da Maturidade dos Controles de Segurança da Informação: Segurança Informação
  • Identificação do Uso de Dados Pessoais, Tipos de Titulares: Segurança Informação, Administração Dados, Processos.
  • Finalidade do tratamento de Dados Pessoais: - Negócios.
  • Identificação da Base Legal: - Jurídico.
  • Revisão de Contratos: - Jurídico
  • Elaboração de Políticas e Normas: - Segurança Informação.
  • Treinamento de pessoas: - Segurança Informação, Recursos Humanos, Encarregado
  • Segurança Técnica, Criptografia, Eliminação de dados: Tecnologia da Informação.
  • Comunicação com os Titulares e com a Autoridade Nacional - Encarregado.

6. Fique atento às deficiências fora do escopo da LGPD

Muitas vezes existem vulnerabilidades, fraquezas de controles e ambientes que são identificados quando do Projeto de Conformidade com a LGPD, mas são elementos que deveriam estar adequados independente da lei. Eles até poderão ser implementados ou aprimorados em paralelo a este projeto de conformidade, porém, é um outro projeto. Exemplo: Ferramenta de Banco de Dados ineficiente e não atende aos controles necessários.

7. Seja honesto, pense no plano B

Considere um plano alternativo para o caso da organização não conseguir implementar os controles exigidos pela LGPD até o início da aplicação da lei. E importantíssimo: comunique ao Corpo Diretivo da Organização. Caso não consiga implementar todos os controles, reforce a documentação, o plano de ação e garanta que os controles implementados estão documentados e efetivos. Execute uma análise de riscos considerando estes controles não implementados.

8. A Lei é geral, mas a aplicação é da organização

Garanta que a organização esteja implementando um projeto de uma solução desenhada especificamente para a sua organização. Não existe solução mágica, não existe sistema ou ferramenta que vai resolver tudo. O Custo (financeiro, tempo e operacional) será proporcional ao tamanho e tipo de negócio da organização. Não acredite em serviço grátis ou muito barato.

Conclusão

Evidentemente o Projeto para a Conformidade com a LGPD, tem várias outas considerações, mas tenho certeza que você seguindo estas oito recomendações estará no caminho correto e chegará à conformidade adequada com a LGPD.

*Edison Fontes é Consultor, Gestor e Professor de Segurança da Informação, Proteção de Dados Pessoais, Continuidade de Negócio, Risco Operacional e Combate à Fraude de Informação. Trabalhou como Security Officer em banco e empresa de alta disponibilidade de informação. Certificado Internacional CISA, CISM, CISA, e Mestre em Tecnologia

Tags
Junte-se a nós e receba nossas melhores histórias de tecnologia. Newsletter Newsletter por e-mail