Esta semana, consolidamos o framework de Conformidade LGPD em nossa unidade de negócios BayGRC na Baymetrics Tecnologia. Nosso objetivo é fazer com que nossos clientes se beneficiem da jornada de privacidade como diferencial competitivo para alavancar seus negócios, oferecendo segurança a todos aqueles que lhe confiam dados pessoais.
Decidimos publicar este artigo para compartilhar informações relevantes sobre a LGPD e principalmente, esclarecer algumas dúvidas sobre como devemos proceder para o início de uma jornada de conformidade e privacidade.
Ao final do artigo estão informações de contato, caso tenham dúvidas, comentários ou sugestões. Acredito que a melhor forma de desenvolvermos uma cultura de privacidade e atingir os níveis de conformidade esperados para nossas companhias é através da colaboração e conscientização.
Você sabia ?
Desde 2013 já existem registros de mais de 14 bilhões de dados pessoais perdidos ou roubados em todo mundo. São vazamentos de dados em massa em grandes corporações, como recentemente no Marriot, Capital One, Facebook e muitos outros. Apenas 4 % destes dados estavam protegidos por algum tipo de criptografia, todos os demais estavam expostos sem qualquer proteção.
Outro dado importante é relacionado ao número de incidentes por indústria, pois, segundo o Breach Index – site de consolida e reporta informações sobre vazamento de dados no mundo todo, 27% dos incidentes foram na área da saúde e outros 14% em instituições financeiras.
E por onde começar a jornada de Conformidade LGPD e Privacidade?
Com base em minha experiência na implantação de programas de conformidade, listei alguns pontos importantes que devem ser estruturados como um programa corporativo, suportado pela liderança e principais stakeholders da companhia. E que seja o início de uma jornada de conscientização e mudança na forma com que a empresa coleta, processa e disponibiliza dados de seus clientes, empregados, parceiros ou fornecedores.
Defino a jornada de Conformidade LGPD e Privacidade como um programa, visto que o mesmo poderá ser segmentado em projetos de Negócio, Tecnologia da Informação, Treinamento & Conscientização, dentre outros. Considerando os seguintes milestones:
-
Compreender a aplicação da LGPD no segmento de mercado/indústria;
-
Mapear processos e dados pessoais considerando o escopo da LGPD;
-
Mapear processos e práticas de TI/SI relacionados a proteção de dados;
-
Analisar bases legais de tratamento de dados pessoais;
-
Realizar gap analysis e criar matriz de aderência;
-
Definir áreas de maior risco e exposição em relação a viabilidade x esforço;
-
Traçar e executar um plano/roadmap de Conformidade LGPD;
-
Revisar políticas de privacidade (internas e externas) e controles;
-
Definir cláusulas contratuais padronizadas e revisar acordosImplementar soluções de proteção e governança de dados;
-
Implementar controles para gestão de incidentes e notificação de autoridades;
-
Treinamento e conscientização de toda organização;
-
Estabelecer continuidade e governança do programa em linha com a cultura corporativa.
Tendo em vista a complexidade de um programa de Conformidade LGPD, definimos um framework para guiar nossos clientes em todas as etapas de adequação aos requisitos da LGPD, bem como, elevar o nível de maturidade na governança, gestão de riscos e conformidade relacionados a proteção de dados.
Nosso framework é baseado no princípio de que o programa de conformidade terá sucesso se considerarmos todos os fatores relacionados a Pessoas, Processos e Tecnologia.
Iniciamos com um projeto de 5 etapas, partindo do engajamento da liderança no programa e passando por etapas de entendimento do ambiente atual, análise de aderência em relação aos princípios da LGPD, desenvolvimento de um plano de trabalho, até chegar a conscientização e engajamento de toda a organização.
Ao final, temos um plano de adequação de cultura, processos e tecnologia que deverá ser conduzido com uma estrutura de governança e conjunto de ferramentas sugeridas durante o projeto. Nosso modelo de governança sugerido é baseado no COSO – Committee of Sponsoring Organizations, tendo em vista o sucesso desta aplicação em programas de Compliance.
Esta abordagem possibilita que as empresas iniciem o programa de conformidade com o devido engajamento e conscientização da alta liderança, através de um projeto específico e bem estruturado para o gap analysis, que conduzirá a um plano de adequação e posteriormente um modelo de governança e sustentação.
Para saber mais sobre o tema, ou como podemos ajudar a sua empresa na jornada de Conformidade LGPD e Privacidade, entre em contato ou fique ligado nas próximas publicações.
Contexto LGPD – Informação Adicional
Em 14 de agosto de 2018, após anos de debates e reformulações, foi sancionada a Lei Geral de Proteção de Dados do Brasil (LGPD). Sendo assim, dados os 18 meses de vacatio legis, a LGPD entrará em vigor em fevereiro de 2020.
A LGPD não foi sancionada como um todo. O presidente vetou várias seções. A seção principal do veto diz respeito ao estabelecimento de um novo órgão regulador, a Autoridade Nacional de Proteção de Dados (ANPD). Também vetou algumas das sanções da LGPD, incluindo a suspensão da operação de banco de dados / processamento, e certas provisões lidando com o compartilhamento de dados entre autoridades públicas e seu uso pelo governo. Embora as circunstâncias das futuras autoridades supervisoras de proteção de dados permaneçam incertas, é certo que o Brasil finalmente tem uma lei de proteção de dados.
Dentre os principais elementos da LGPD, temos:
Transferência Internacional de Dados:
semelhante ao GDPR, o Projeto de Lei é aplicável não apenas às organizações sediadas no Brasil e às empresas que processam dados pessoais no Brasil, mas também ao processamento internacional de dados pessoais de residentes brasileiros. Tais transferências são permitidas, entre países acreditados pela autoridade de proteção de dados ou em casos em que foram garantidas cláusulas contratuais gerais ou outros mecanismos aprovados pela autoridade de proteção de dados.
Princípios de privacidade e abordagem baseada no risco:
estabelece princípios fundamentais para o processamento de dados – incluindo legalidade, justiça, responsabilidade, não discriminação, limitação de objetivos e transparência no uso de dados pessoais. Estabelece também a necessidade de minimização de dados, precisão, limitação de armazenamento e segurança, incluindo integridade e confidencialidade – todos esses princípios já são familiares aos leitores GDPR.
Direitos dos titulares:
incluindo o direito de portabilidade de dados, juntamente com direitos de esquecimento e acesso ad dados pessoais, que no contexto brasileiro impõe prazos mais curtos para os controladores com solicitações de dados solicitados (15 dias em vez dos 30 dias impostos pelo GDPR).
Bases legais para o processamento de dados pessoais:
entre as bases específicas do Brasil estão incluídas, por exemplo, a proteção ao crédito ou a proteção da saúde em processo realizada por instituições médicas.
Mapeamento de dados e DPIAs:
para organizações que já passaram pelo mapeamento de dados e pelo exercício de elaboração de DPIA, esses novos requisitos impostos pela LGPD não serão excessivamente onerosos. De resto, as regras parecem ser bastante semelhantes aos requisitos do GDPR: tanto o controlador quanto o processador são obrigados a manter registros de processamento de dados e conduzir análises de impacto de privacidade para atividades de processamento que possam representar um risco maior aos dados pessoais dos indivíduos.
Notificação de violação obrigatória e DPO:
Os controladores de dados serão obrigados a notificar as violações de dados pessoais à agência reguladora e aos indivíduos afetados. Além disso, os controladores terão agora que nomear um DPO – Data Protection Officer, cujas responsabilidades envolvem a supervisão das atividades de processamento de dados da organização e a facilitação das solicitações de dados dos participantes – as semelhanças com a função de DPO do GDPR são aparentes.
Espero que o artigo tenha sido relevante para você e que conte com meu apoio e da Baymetrics Tecnologia em sua jornada.
