LGPD – Adequação, compliance na prática. – por Wagner Monteverde

Publicado por Jefferson em

Muito se tem dito sobre a lei 13.709/2018, conhecida como Lei Geral de Proteção de Dados Pessoais – LGPD [1]. Esta trouxe ao debate deveres como os de segurança, ética e responsabilidade quanto ao tratamento de dados pessoais.

Apesar de restar pouco tempo para sua entrada em vigor (Agosto/2020), o desconhecimento ainda é alto por parte da maioria da população sobre a nova lei. Segundo pesquisa realizada pela Serasa Experian [2], cerca de 25% nunca ouviram falar sobre a mesma, 50% pelo menos ouviram falar, 21% conhecem o básico e apenas 4% conhecem muito sobre.

Uma das dúvidas a respeito da lei é como estar compliance, ou seja, como se adequar à nova lei. Visto que cabe ao interessado o ônus da prova, e a Agencia Nacional de Proteção de Dados – ANP ainda não está em operação.

A resposta para esta dúvida não é pontual, pois depende de como a empresa está organizada, e se a mesma possui controles internos de gestão da informação, segurança da informação entre outros controles e políticas.

Lançando o olhar para o termo compliance de acordo com o literatura Foundations of Information Security – FIS [3]

temos os seguintes pontos:

  • A empresa precisa observar legislações locais, regulamentos e obrigações contratuais cabíveis ao seu negócio;
  • A produção de uma política interna dentro da organização é uma forma de se estar em conformidade;
  • Procedimentos para a aplicação prática devem ser desenvolvidos para orientar melhor os funcionários;
  • Recomenda-se procurar aconselhamento jurídico.

Portanto observando os pontos levantados pela literatura FIS, podemos observar como é ampla a abrangência do compliance, este se estende além organização, como por exemplo, seus fornecedores.

No quesito segurança as organizações deverão passar a se preocupar com a segurança da informação das empresas ou órgãos os quais se relaciona contratualmente.

Outro ponto importante ressaltado pela FIS é a forma de demonstrar a conformidade obtida pela observância de leis e diretrizes, que é a produção e documentação de políticas internas na organização. Mas claro, estas devem se ater a realidade dos mecanismos e controles técnicos, organizacionais e contratuais implementados.

Outro debate que surge é sobre o profissional responsável por implementar a lei nas organizações. Esta não é uma tarefa de apenas um profissional, mas de uma equipe. Desta forma é necessário uma equipe multidisciplinar para tratar todos os pontos da lei dentro das organizações.

Profissionais de Segurança da Informação, Tecnologia da Informação e do Direito tem que estar alinhados para que a adequação seja realizada com sucesso durante a execução de um Projeto de Adequação.

Sim, um Projeto de Adequação utilizando uma metodologia. Este ponto sem dúvida é muito importante. Um projeto adequado a realidade da organização é um caminho firme a ser trilhado para adequação.

Estima-se que a implementação de um projeto  estruturado de adequação possa durar cerca de 5 (cinco) a 14 (quatorze) meses, de acordo com critérios como:  o nível de maturidade da empresa no assunto de proteção de dados e segurança da informação; as regras e procedimentos já existentes; a quantidade de áreas e projetos que tratam dados pessoais; o nível de sensibilidade dos referidos dados objeto do tratamento e o orçamento previsto para a adequação.

Mas por onde começar?

O que deve estar no topo do projeto?

Mapeamento de dados, formação de um comitê de privacidade?

Isso é assunto para o próximo post.

Fonte:

Wagner Monteverde

https://www.linkedin.com/pulse/lgpd-adequa%C3%A7%C3%A3o-compliance-na-pr%C3%A1tica-wagner-monteverde/

Referências:

[1] Disponível em: http://www.planalto.gov.br/ccivil_03/_Ato2015-2018/2018/Lei/L13709.htm,  Acesso em (24.06.2019)

[2] Disponível em:  https://www.serasaexperian.com.br/ , Acesso em (24.06.2019)

[3] Disponível em: https://www.amazon.com.br/Foundations-Information-Security-ISO27001-ISO27002/dp/940180012X , Acesso em (24.06.2019)

1
Olá, está com alguma dúvida?
Powered by