8 Etapas de um Projeto de Adequação à LGPD
Conheça as 8 Etapas de um Projeto de Adequação à LGPD e saiba como reduzir os riscos de privacidade, de segurança e legais de sua empresa.
LGPD é a sigla para Lei Geral de Proteção de Dados do Brasil, sancionada em agosto de 2018. A LGPD estabelece regras sobre coleta, armazenamento, tratamento e compartilhamento de dados pessoais, impondo mais proteção e penalidades para o não cumprimento.
DevSecOps: Baixe agora a Avaliação e descubra seu nível de maturidade. Conheça os próximos passos para implantar segurança em escala em sua aplicação e infra cloud-native.
A Lei já está em vigor? Minha empresa pode ser multada?
No dia 18 de Setembro de 2020 a Lei Geral de Proteção de Dados (LGPD) finalmente entrou em vigor. Após a sua aprovação em 2018, as empresas tiveram 2 anos adequar seus processos.
Embora as sanções administrativas nela previstas permaneçam adiadas até agosto de 2021, incluindo as multas, que podem chegar a 50 milhões de reais ou a 2% do faturamento anual das organizações, diversas novas vulnerabilidades já surgiram para as empresas.
Em 02 de Outubro a Cyrela foi condenada pelo Ministério Público de SP a pagar R$ 10 mil a um cliente que teve seus dados compartilhados com parceiros sem autorização.
Para estar em conformidade com as mais de 50 obrigações trazidas pela LGPD existem alguns passos que as organizações precisam seguir em sua jornada de adequação à nova lei, como demonstrado abaixo:
1. Garantir o Apoio da Direção
Como qualquer iniciativa dentro da companhia, sem o apoio dos responsáveis por gerir as operações da organização e sem a demonstração explícita de comprometimento dos mesmos aos esforços destinados para a adequação da empresa à LGPD, dificilmente a empresa terá sucesso em sua jornada. É preciso garantir o apoio na mudança de cultura, além da disponibilidade de tempo e recursos.
2. Mapear os Dados e as Atividades de Tratamento
Um dos principais passos na jornada de adequação de uma organização se dá através de um mergulho em suas operações para que seja possível a identificação de:
- Processos que envolvam o tratamento de dados pessoais,
- Quais são os dados,
- Qual é o ciclo de vida dessas informações,
- Onde estão armazenados,
- Para quais finalidades são tratados e,
- Quais são o fluxo destes dados e os atores envolvidos em seu processamento.
Todas essas informações permitem a elaboração de um Inventário de Dados, do Fluxo de Dados da empresa e do Registro das Atividades de Tratamento por ela conduzidas.
3. Identificar as obrigações de privacidade aplicáveis e verificar seu nível de adequação
A organização deve mapear quais são as regulações e legislações de privacidade aplicáveis à atividade empresarial que desenvolve e avaliar qual seu grau de atendimento aos requisitos trazidos pela LGPD.
4. Identificar as bases legais aplicáveis
Com base no mapeamento das atividades de tratamento de dados pessoais realizada no segundo passo, a organização deve definir qual é a base legal, dentre as dez previstas para dados pessoais e as oito para dados pessoais sensíveis, que autoriza a condução que cada uma das operações de tratamento performadas pela empresa.
5. Avaliar os Controles e analisar o Risco de Privacidade e Segurança
As companhias devem identificar os riscos de privacidade dados aos quais estão sujeitas, e, quais os controles necessário para mitigá-los.
6. Elaborar um plano de adequação
Com base nas informações coletadas nos passos anteriores, a organização deve detectar quais são as ações que necessitam ser tomadas para sua adequação às obrigações presentes na LGPD, traças um cronograma para a condução destas ações, e, definir prazos e responsáveis por cada uma delas.
7. Implementar as ações pertinentes
Dentre os possíveis endereçamentos estão a designação de um “encarregado de dados” (DPO), a elaboração das políticas e procedimentos pertinentes como:
- Procedimentos de resposta a incidentes de segurança,
- Procedimento de resposta à requisição de titular ou da ANPD,
- Políticas de Privacidade e Segurança da Informação,
- Implementação de soluções de segurança da informação,
- Revisão de cláusulas contratuais,
- Condução de treinamentos e atividades de comunicação com as partes pertinentes etc.
8. Monitorar e aperfeiçoar continuamente
O ciclo PDCA é totalmente aplicável a um programa de privacidade. Sua adequação deve ser periodicamente monitorada e os aprimoramentos relevantes continuamente implementados.
Conclusão
Com o início da vigência da LGPD as organizações já estão vulneráveis e a jornada de adequação é longa. Por isso, quanto antes as empresas se movimentarem, mais cedo reduzirão sua vulnerabilidade às consequências do descumprimento das obrigações presentes na LGPD.