* Por Samantha Nunes
Cresce a cada dia a preocupação com a segurança da informação, principalmente depois de grandes vazamentos de dados que temos acompanhado nos últimos anos. Para ser possível garantir a segurança de dados pessoais, estão sendo criadas legislações para definir que as empresas tratem os dados de forma lícita, leal e transparente.
Empresas e usuários que se preocupam com os dados pessoais que são processados não terão interesse em parcerias com empresas que não possuem o mesmo nível de cuidado e transparência. Para que isso aconteça é necessário ter regras unificadas e que sejam claras para empresas e consumidores. Portanto, no Brasil, foi criada a Lei Geral de Proteção de Dados (LGPD), lei nº 13.709. Esta lei se baseia em princípios que regulam a proteção dos dados pessoais, garantindo direitos aos cidadãos e estabelecendo regras claras sobre o tratamento de dados realizados por órgãos públicos ou privados.
Estar em conformidade com a LGPD é um desafio que envolve pessoas, processos e tecnologias. Portanto, implantar um projeto de adequação à lei e, mais do que isso, garantir a conformidade não é uma tarefa simples, mas para começar, podemos utilizar metodologias para servir de guia durante todo o processo até atingir maturidade no programa de governança em privacidade e proteção de dados.
Preparação
Para esta primeira etapa nos preocupamos muito em passar a ideia do impacto positivo que esta lei traz do ponto de vista organizacional e pessoal também. Para a conclusão buscamos executar as seguintes ações:
Contextualizar colaboradores sobre a importância da adequação à LGPD;
Definir um comitê de segurança da informação;
Definir um escopo do projeto de conformidade;
Planejar atividades do Mapeamento de Dados;
Definir métricas de acompanhamento.
O comitê de Segurança da Informação se torna simples de ser construído quando os colaboradores compreendem a importância dessa lei. Este comitê é constituído de pelo menos uma pessoa de cada área da empresa e o objetivo é que estes possam trazer questionamentos de suas áreas e que sejam os que vão difundir a cultura de Segurança da Informação dentro da organização. Outro ponto importante é o planejamento das atividades para que seja possível identificar quais são as áreas que tratam dados pessoais e que representam um risco alto levando em consideração a LGPD.
Mapeamento
Nesta etapa são realizados os mapeamentos de dados. Para cada contexto deverá ser criado um fluxo demonstrando todo o ciclo de vida do dado. Para a conclusão desta etapa é necessário executar as seguintes ações:
Elaborar um mapa de dados para compreender o ciclo de vida do dado dentro da organização;
Realizar entrevistas com as áreas para preenchimento do mapa de dados;
Mapear os processos, políticas internas, tecnologias utilizadas, parceiros e terceiros.
É importante ressaltar que os colaboradores escolhidos deverão ser estratégicos do ponto de vista de conhecimento sobre a sua área de atuação, acesso aos dados e processos internos, para que a atividade de mapeamento seja efetiva.
Avaliação
Nesta etapa é realizada a avaliação dos resultados obtidos através das entrevistas. Além disso, é realizada a avaliação de risco para apoiar a definição das prioridades dentro do plano de ação. Para a conclusão desta etapa é necessário executar as seguintes ações:
Avaliar o mapa dos dados com base nos requisitos da LGPD (GAP Analysis);
Elaborar um relatório de Avaliação de impacto de proteção de dados (DPIA);
Realizar a avaliação de risco.
Com base no Gap Analysis é possível realizar o planejamento considerando o risco de cada área e de cada processo de tratamento de dados e dessa forma priorizar as ações com maior assertividade.
Planejamento
Nesta etapa será realizado o plano de ação, de acordo com a avaliação de risco definida na fase de Avaliação. Para a conclusão desta etapa é necessário executar as seguintes ações:
Elaborar um plano de ação;
Definir ações que devem ser realizadas com base no que foi levantado no GAP Analysis;
Priorizar atividades;
Elaborar cronograma de implementação.
Execução
Nesta etapa será realizada a implementação de guias de procedimentos, melhoria ou criação de processos, incluindo, a definição da estratégia de governança de dados, implementação de controles de segurança da informação, revisão de contratos, e gestão de políticas internas. Todas essas ações devem estar documentadas no programa de governança de privacidade e proteção de dados. Este é um documento vivo que deve ser atualizado constantemente. Para a conclusão desta etapa é necessário executar as seguintes ações:
Executar as atividades do plano de ação;
Atualizar a documentação do programa de governança de privacidade e proteção de dados.
Monitoramento
Esta etapa consiste em garantir que a organização está mantendo a conformidade com a Lei Geral de Proteção de Dados. Para a conclusão desta etapa é necessário executar as seguintes ações:
Realizar auditorias periódicas para garantir que a organização está mantendo a conformidade;
Garantir o andamento de um programa de conscientização e treinamentos recorrentes.
Estes são alguns passos para ajudar que você e a sua empresa consigam colocar em prática um projeto de governança em privacidade e proteção de dados para adequação à LGPD. Nesta quinta-feira, dia 06 de fevereiro, é comemorado o Dia Internacional da Internet Segura. Uma ótima oportunidade para levar o tema para a sua empresa. A iniciativa para adotar estas medidas e se adequar à LGPD não precisa partir necessariamente da área de tecnologia. Você pode ser um agente de transformação na sua companhia e dar o start neste que é um tema tão importante. Vale lembrar que faltam apenas seis meses para a LGPD entrar em vigor e poucas empresas brasileiras estão totalmente preparadas e adaptadas para seguir as normas e cuidados com os nossos dados.
* Samantha Nunes é analista de Segurança da Informação na Take, empresa brasileira líder no mercado de soluções conversacionais e chatbots da América Latina.