Assuma a responsabilidade em conhecer o negócio, mas seja honesto pensando em um plano B.
Todas as organizações precisam ficar em conformidade com a Lei Geral de Proteção de Dados Pessoais. Baseado na nossa experiência, considerando dados pessoais um subconjunto das informações sob responsabilidade da organização e no desenvolvimento de projeto de conformidade com a LGPD, apresento, neste artigo, recomendações diretas e objetivas.
Entendo que proveitosas para as organizações que desejam saber o “caminho das pedras” para não se afogar nos mares da perfeição e de controles que não são prioritários. Evidentemente estas recomendações podem e devem ser adaptadas à realidade de cada porte e tipo de negócio de empresa.
1. Tenha um coordenador do projeto
Defina o Gestor da Segurança da Informação como Coordenador deste projeto. É um projeto multidisciplinar, porém a maioria dos controles exigem um efetivo processo de segurança da informação. É bom lembrar que Dados Pessoais é um subconjunto do conjunto de informação sob responsabilidade da organização.
2. Busque um patrocinador do projeto
Garanta que um dos Executivos (diretores ou superior) seja o Patrocinador do Projeto. Que isto esteja formalizado. Porém, o mais importante: que este Executivo entenda a criticidade e os impactos que uma não conformidade com a LGPD pode acarretar para a organização: multas, ações de indenização e comprometimento da reputação. Todos os gestores e acionistas devem estar cientes deste impactos em caso de não conformidade com a LGPD
3. Defina as etapas do projeto
Tenha definido todas as etapas do projeto. Mesmo que a implementação seja por fases ou de maneira parcial, é necessário que a organização tenha explícito todo o ambiente das atividades que deverão ser executadas. Recomendo as seguintes etapas:
- Avaliação da Maturidade dos Controles de Segurança da Informação e Proteção de Dados Pessoais.
- Planejamento das Ações e Atividades para a implementação dos controles.
- Identificação dos Dados Pessoais utilizados: finalidade, tipos de titulares, identificação dos Operadores e similar.
- Definição da Base Legal para cada tipo de Titular e Tratamento de Dado Pessoal.
- Elaboração ou aprimoramento das políticas e normas de Segurança da Informação e Proteção de Dados Pessoais. Inclusive a Política de Tratamento de Dados Pessoais exigida pela LGPD.
- Elaboração e definição de controles obrigatórios da LGPD, que incluem Encarregado pelo Tratamento de Dados Pessoais e Relatório de Impacto à Proteção de Dados Pessoais.
- Treinamento e conscientização em Segurança da Informação e Proteção de Dados Pessoais.
- Documento Verdade da Maturidade da Proteção de Dados Pessoais.
4. Assuma a responsabilidade em conhecer o negócio
A organização é a responsável por conhecer o seu negócio e o seu relacionamento com a LGPD. Não terceirize esta responsabilidade. A organização pode contar com a colaboração de uma consultoria com mais experiência em conformidade com LGPD, porém é a organização que vai possibilitar o “casamento” da necessidade de negócio com os controles exigidos pela lei. As organizações que não assumem esta responsabilidade têm grande chance de no final do projeto se queixar que o projeto não foi adequado ao negócio.
5. Defina a responsabilidade de cada área
Identifique previamente as responsabilidades ou macro responsabilidades de cada área. Esta definição deve ter a participação dos envolvidos, para que todos entendam o porquê da repartição das responsabilidades pela execução de grupo de tarefas. É um bom momento para o aprofundamento do conhecimento da LGPD. Sugiro:
- Avaliação da Maturidade dos Controles de Segurança da Informação: Segurança Informação.
- Identificação do Uso de Dados Pessoais, Tipos de Titulares: Segurança Informação, Administração Dados, Processos.
- Finalidade do tratamento de Dados Pessoais: Negócios.
- Identificação da Base Legal: Jurídico.
- Revisão de Contratos: Jurídico
- Elaboração de Políticas e Normas: Segurança Informação.
- Treinamento de pessoas: Segurança Informação, Recursos Humanos, Encarregado.
- Segurança Técnica, Criptografia, Eliminação de dados: Tecnologia da Informação.
- Comunicação com os Titulares e com a Autoridade Nacional: Encarregado.
6. Fique atento às deficiências fora do escopo da LGPD
Muitas vezes existem vulnerabilidades, fraquezas de controles e ambientes que são identificados quando do Projeto de Conformidade com a LGPD, mas são elementos que deveriam estar adequados independente da lei. Eles até poderão ser implementados ou aprimorados em paralelo a este projeto de conformidade, porém, é um outro projeto. Exemplo: Ferramenta de Banco de Dados ineficiente e não atende aos controles necessários.
7. Seja honesto, pense no plano B
Considere um plano alternativo para o caso da organização não conseguir implementar os controles exigidos pela LGPD até o início da aplicação da lei. E importantíssimo: comunique ao Corpo Diretivo da Organização. Caso não consiga implementar todos os controles, reforce a documentação, o plano de ação e garanta que os controles implementados estão documentados e efetivos. Execute uma análise de riscos considerando estes controles não implementados.
8. A Lei é geral, mas a aplicação é da organização
Garanta que a organização esteja implementando um projeto de uma solução desenhada especificamente para a sua organização. Não existe solução mágica, não existe sistema ou ferramenta que vai resolver tudo. O custo (financeiro, tempo e operacional) será proporcional ao tamanho e tipo de negócio da organização. Não acredite em serviço grátis ou muito barato.
Conclusão
Evidentemente o Projeto para a Conformidade com a LGPD, tem várias outras considerações, mas tenho certeza que você seguindo estas oito recomendações estará no caminho correto e chegará à conformidade adequada com a LGPD.