* Por Samantha Nunes

Cresce a cada dia a preocupação com a segurança da informação, principalmente depois de grandes vazamentos de dados que temos acompanhado nos últimos anos. Para ser possível garantir a segurança de dados pessoais, estão sendo criadas legislações para definir que as empresas tratem os dados de forma lícita, leal e transparente.

Empresas e usuários que se preocupam com os dados pessoais que são processados não terão interesse em parcerias com empresas que não possuem o mesmo nível de cuidado e transparência. Para que isso aconteça é necessário ter regras unificadas e que sejam claras para empresas e consumidores. Portanto, no Brasil, foi criada a Lei Geral de Proteção de Dados (LGPD), lei nº 13.709. Esta lei se baseia em princípios que regulam a proteção dos dados pessoais, garantindo direitos aos cidadãos e estabelecendo regras claras sobre o tratamento de dados realizados por órgãos públicos ou privados.

Estar em conformidade com a LGPD é um desafio que envolve pessoas, processos e tecnologias. Portanto, implantar um projeto de adequação à lei e, mais do que isso, garantir a conformidade não é uma tarefa simples, mas para começar, podemos utilizar metodologias para servir de guia durante todo o processo até atingir maturidade no programa de governança em privacidade e proteção de dados.

Preparação

Para esta primeira etapa nos preocupamos muito em passar a ideia do impacto positivo que esta lei traz do ponto de vista organizacional e pessoal também. Para a conclusão buscamos executar as seguintes ações:

  • Contextualizar colaboradores sobre a importância da adequação à LGPD;

  • Definir um comitê de segurança da informação;

  • Definir um escopo do projeto de conformidade;

  • Planejar atividades do Mapeamento de Dados;

  • Definir métricas de acompanhamento.

O comitê de Segurança da Informação se torna simples de ser construído quando os colaboradores compreendem a importância dessa lei. Este comitê é constituído de pelo menos uma pessoa de cada área da empresa e o objetivo é que estes possam trazer questionamentos de suas áreas e que sejam os que vão difundir a cultura de Segurança da Informação dentro da organização. Outro ponto importante é o planejamento das atividades para que seja possível identificar quais são as áreas que tratam dados pessoais e que representam um risco alto levando em consideração a LGPD.

Mapeamento

Nesta etapa são realizados os mapeamentos de dados. Para cada contexto deverá ser criado um fluxo demonstrando todo o ciclo de vida do dado. Para a conclusão desta etapa é necessário executar as seguintes ações:

  • Elaborar um mapa de dados para compreender o ciclo de vida do dado dentro da organização;

  • Realizar entrevistas com as áreas para preenchimento do mapa de dados;

  • Mapear os processos, políticas internas, tecnologias utilizadas, parceiros e terceiros.

É importante ressaltar que os colaboradores escolhidos deverão ser estratégicos do ponto de vista de conhecimento sobre a sua área de atuação, acesso aos dados e processos internos, para que a atividade de mapeamento seja efetiva.

Avaliação

Nesta etapa é realizada a avaliação dos resultados obtidos através das entrevistas. Além disso, é realizada a avaliação de risco para apoiar a definição das prioridades dentro do plano de ação. Para a conclusão desta etapa é necessário executar as seguintes ações:

  • Avaliar o mapa dos dados com base nos requisitos da LGPD (GAP Analysis);

  • Elaborar um relatório de Avaliação de impacto de proteção de dados (DPIA);

  • Realizar a avaliação de risco.

Com base no Gap Analysis é possível realizar o planejamento considerando o risco de cada área e de cada processo de tratamento de dados e dessa forma priorizar as ações com maior assertividade.

Planejamento

Nesta etapa será realizado o plano de ação, de acordo com a avaliação de risco definida na fase de Avaliação. Para a conclusão desta etapa é necessário executar as seguintes ações:

  • Elaborar um plano de ação;

  • Definir ações que devem ser realizadas com base no que foi levantado no GAP Analysis;

  • Priorizar atividades;

  • Elaborar cronograma de implementação.

Execução

Nesta etapa será realizada a implementação de guias de procedimentos, melhoria ou criação de processos, incluindo, a definição da estratégia de governança de dados, implementação de controles de segurança da informação, revisão de contratos, e gestão de políticas internas. Todas essas ações devem estar documentadas no programa de governança de privacidade e proteção de dados. Este é um documento vivo que deve ser atualizado constantemente. Para a conclusão desta etapa é necessário executar as seguintes ações:

  • Executar as atividades do plano de ação;

  • Atualizar a documentação do programa de governança de privacidade e proteção de dados.

Monitoramento

Esta etapa consiste em garantir que a organização está mantendo a conformidade com a Lei Geral de Proteção de Dados.  Para a conclusão desta etapa é necessário executar as seguintes ações:

  • Realizar auditorias periódicas para garantir que a organização está mantendo a conformidade;

  • Garantir o andamento de um programa de conscientização e treinamentos recorrentes.

Estes são alguns passos para ajudar que você e a sua empresa consigam colocar em prática um projeto de governança em privacidade e proteção de dados para adequação à LGPD. Nesta quinta-feira, dia 06 de fevereiro, é comemorado o Dia Internacional da Internet Segura. Uma ótima oportunidade para levar o tema para a sua empresa. A iniciativa para adotar estas medidas e se adequar à LGPD não precisa partir necessariamente da área de tecnologia. Você pode ser um agente de transformação na sua companhia e dar o start neste que é um tema tão importante. Vale lembrar que faltam apenas seis meses para a LGPD entrar em vigor e poucas empresas brasileiras estão totalmente preparadas e adaptadas para seguir as normas e cuidados com os nossos dados.

* Samantha Nunes é analista de Segurança da Informação na Take, empresa brasileira líder no mercado de soluções conversacionais e chatbots da América Latina.