Eduardo-Person-Pardin.png

Eduardo Person Pardini

É sócio principal, responsável pelos projetos de governança, gestão de riscos, controles internos e auditoria interna da Crossover Consulting & Auditing. É diretor executivo do Internal Control Institute - Chapter Brasil, palestrante e instrutor do IIA Brasil.

artigos colunistasLeia todos os artigos


LGPD - Considerações para uma implementação de sucesso!

Voltar

Um dos temas mais discutidos no ambiente corporativo, neste ano de 2020, foi a Lei Geral de Proteção de Dados. O Brasil em consonância com uma tendência mundial, em agosto de 2018, sancionou e publicou a Lei 13.709, conhecida como Lei Geral de Proteção de Dados (LGPD). Seu objetivo é proteger os dados pessoais, garantindo o direito de privacidade, sigilo e confidencialidade para os titulares dos dados.

Isto se faz necessário, pois, com o advento da virtualização e digitalização das atividades pessoais e corporativas, uma quantidade enorme de dados pessoais está sendo coletado, processado e armazenado por sistemas eletrônicos, seja em redes sociais, provedores de e-mails, sistemas corporativos, financeiros, de saúde e outros.

A nossa Lei foi baseada na GDPR – General Data Protection Regulation, sancionada em 2016, que regulamenta a privacidade e proteção de dados pessoais na União Europeia, e no Espaço Econômico Europeu.

A LGPD ela abrange indivíduos, empresas públicas ou privadas, que de alguma forma tenham qualquer tipo de atividade que utilize e processe dados pessoais, seja coletando, armazenando, transferindo e eliminando.

Ficou muito claro que a Lei, em todos os seus prismas, promoveu uma mudança profunda no processo de gerenciamento e segurança da informação e dos dados, motivando a necessidade de um novo paradigma para governança corporativa, quando associados aos princípios definidos pela Lei.

Especificamente as corporações, deverão estabelecer padrões específicos de consciência e cultura em seu ambiente interno, como também toda uma estrutura específica e confiável em relação ao processo de gestão e segurança de dados.

A adequação à Lei requer a implementação de uma estrutura de gestão para que a organização esteja em conformidade com a Lei, e para seu sucesso, precisará abordar três frentes específicas, que se interrelacionam:

1 - Sensibilização dos colaboradores, terceirizados e prestadores em relação a importância da manutenção da privacidade e confidencialidade no processamento dos dados pessoais em sua operação,

2 – Elaboração de inventário da estrutura de coleta, armazenamento e utilização dos dados pessoais nos diversos sistema da organização,

3 – Definições e ações para o aperfeiçoamento dos instrumentos e processamento dos dados em relação a manutenção e proteção,

4 – Identificação, avaliação, tratamento e monitoramento dos fatores de riscos que podem causar não conformidade com a Lei, ou então perda da privacidade dos dados pessoais de posse da corporação.

A adequação da corporação aos requisitos da Lei tem a sua complexidade, principalmente se a organização contar com diversos sistemas e aplicações eletrônicos, com base de dados distintos e não relacionados.

Com o objetivo de auxiliar neste processo, entendendo que cada organização tem sua própria complexidade a qual deve ser considerada, abaixo descrevo uma sugestão de etapas que podem ajuda-lo na definição e estruturação do programa de implementação da LGPD em sua corporação:

a. Criação de um grupo multidisciplinar para implementação dos conceitos e requisitos da LGPD na corporação. Esta equipe será a responsável pelo estudo, criação e gestão do projeto de implementação,

b. Conforme definido no item VI do artigo 5º da Lei, é necessário a designação do Controlador pela corporação. Na sequência deve haver a designação do operador e do encarregado,

c. Inclusão ou ajustes dos requisitos de governança constantes no parágrafo segundo do artigo 50º, no programa de governança corporativa da organização,

d. Elaboração de política interna e procedimentos para o tratamento dos dados pessoais em consonância com o definido pela Lei, considerando os princípios da Lei, constantes em seu artigo 6º,

e. Estabelecimento de um programa de sensibilização e desenvolvimento de cultura e consciência no tratamento dos dados pessoais por meio de treinamento e/ou palestras para toda a organização, terceiros e prestadores de serviços sobre a política e procedimentos da corporação no quesito sobre proteção de dados,

f.  Mapeamento dos dados pessoais – O objetivo é identificar onde estão localizados, armazenados, como também o processo de como estes dados pessoais são coletados, utilizados e excluídos, e conhecer quais as ferramentas são utilizadas para a proteção dos mesmos em relação a perda de integridade, confidencialidade e privacidade,

g. Criação de mecanismos para autorização formal pelos titulares para o uso de seus dados, incluindo o aceite de cookies no site da corporação,

h. Com base no resultado do mapeamento, implementar de ações para o aperfeiçoamento do processo considerando as vulnerabilidades identificadas na estrutura de gestão dos dados pessoais,

i.  Criação de processo de comunicação efetivo da corporação com os titulares dos dados, e da corporação com a autoridade de proteção de dados,

j. Elaboração, de forma independente do grupo gestor, de uma matriz de riscos, identificando os riscos e os seus fatores de ocorrência de não conformidade com a lei de LGPD, bem como da possibilidade de utilização inadequada dos dados pessoais,

k. Identificação das ações de mitigação existentes para cada fator de risco identificado e se necessário, o grupo multidisciplinar deverá definir e executar ações para o fortalecimento do processo mitigatório,

l.  Criação de processo de monitoramento das atividades prescritas na política e procedimento da corporação, nas ações do controlador, operador e encarregado.

Como disse, as etapas acima devem ser visualizadas apenas como um norteador para que você possa, considerando a complexidade e natureza de sua organização, trabalhar na elaboração de um programa para implementação da Lei.

Não existe uma solução somente para atender a todo e qualquer tipo de organização. Cada empresa tem suas necessidades operacionais, estrutura organizacional, bem como sua cultura e consciência de governança.

A elaboração de um projeto para implementação da Lei considerando os fatores críticos de sucesso é essencial para que dentro de um cronograma adequado, você e sua empresa tenham sucesso na integração da Lei em sua estrutura organizacional e operacional.

Lembre-se que, seja em nossa vida pessoal, profissional ou na vida da empresa, a máxima “mude antes de precisar” é o caminho mais indicado para o sucesso!

pardini 30122020

Seja Feliz!

30.12.2020

crossover