Checklist de Conformidade à LGPD/GDPR

Importante ressaltar que temos muito conteúdo sendo produzido atualmente em relação a Lei Geral de Proteção de Dados, sem, no entanto, muitos destes conteúdos repetirem mais do mesmo sem dizer o como fazer, apenas aduzindo que existe isto ou aquilo.

Neste sentido, Fernando Marinho no seu perfil do LinkedIn fez um trabalho diferenciado, mostrando um caminho mais prático e efetivo para fazer acontecer como um negócio a LGPD.

Sugiro a leitura e contato com o autor que se mostrou muito solícito a trocar mais ideias.

Checklist de Conformidade à LGPD/GDPR

Pois é: fazer difícil é fácil. Difícil é fazer fácil. Sempre digo isso aos meus alunos.

E por isso estou publicando esse artigo, abordando um checkist para verificarmos se sua organização atende à LGPD/GDPR.

O princípio da responsabilidade é fundamental para o atendimento aos requisitos da LGPD/GDPR (Lei Geral de Proteção de Dados/Regulamento Geral de Proteção de Dados): organizações que processam dados pessoais, devem não só cumprir, mas também serem capazes de demonstrar o seu cumprimento, com os requisitos destas ordenações.

A lista abaixo indica oito itens essenciais que devem existir, para garantir que você demonstre conformidade da sua organização, com a LGPD/GDPR.

1. Estabelecer uma estrutura de prestação de contas e governança

A conformidade com a LGPD/GDPR exige o suporte da Alta Gestão. Portanto, é essencial que a diretoria entenda as implicações da Lei – tanto positivas quanto negativas – para garantir os recursos necessários para alcançar e manter a conformidade.

O que você precisa fazer

• Apresentar à Alta Gestão os riscos e oportunidades da LGPD/GDPR.

• Obter suporte de gerenciamento para um projeto de conformidade com a LGPD/GDPR.

• Atribuir a responsabilidade pela LGPD/GDPR a uma pessoa da Diretoria.

• Incorporar o risco de proteção de dados na estrutura de gerenciamento de riscos corporativos e controles interno.

2. Escopo e planejamento do projeto

Depois de obter suporte de nível superior, você precisará descobrir quais áreas de sua organização se enquadram no escopo da LGPD/GDPR e considerar quais processos existentes podem ser afetados, auxiliando em seus esforços de conformidade.

O que você precisa fazer:

• Nomear e capacitar um gerente de projeto e indicar/nomear um Encarregado de Dados ou DPO (oficial de proteção de dados), se necessário.

• Identificar quais entidades estarão no escopo: unidades de negócios, filiais, terceirizados, localidades, etc.

• Identificar padrões ou sistemas de gerenciamento que possam fornecer uma estrutura para conformidade. Por exemplo: a ISO 27001 demonstra atendimento às melhores práticas de gerenciamento de segurança da informação e proteção de dados.

• Avalie o princípio da proteção de dados incorporado e, por padrão, em relação a processos e sistemas, atuais ou novos.

• Considere as implicações de regras e Leis anteriores à LGPD/GDPR, no seu planejamento.

3. Realizar um inventário de dados e uma auditoria de fluxo de dados

É impossível cumprir os requisitos de processamento de dados da LGPD/GDPR, se você não entender completamente quais dados processa e como você os processa.

O que você precisa fazer:

• Avalie as categorias de dados mantidos, a origem e a base legal para o processamento.

• Mapeie os fluxos de dados de, para, através e da própria organização.

• Use o mapa de dados para identificar os riscos em suas atividades de processamento de dados, indicando se um DPIA (análise de impacto na proteção de dados) é necessário.

• Criar a documentação do Artigo 30 – o registro de atividades de processamento de dados pessoais, com base na auditoria do fluxo de dados e da análise do inventário.

4. Realize uma análise detalhada de brechas

A abordagem sensata da conformidade estabelece o que você ainda não faz – avaliar seus fluxos de trabalho, processos e procedimentos atuais – para identificar as lacunas que você precisa preencher.

O que você precisa fazer

• Auditar sua posição de conformidade atual em relação aos requisitos da LGPD/ GDPR.

• Identificar as lacunas de conformidade que exigem correção.

5. Desenvolver políticas, procedimentos e processos operacionais

Fornecemos uma avaliação no local de suas práticas de gerenciamento de privacidade e processamento de dados, produzindo um relatório resumido das suas lacunas de conformidade e fornecendo recomendações de correção.

O que você precisa fazer

• Garantir que as políticas de proteção de dados e os avisos de privacidade estejam alinhados com a LGPD/GDPR.

• Sempre que precisar de consentimento, assegurar que atenda aos requisitos da LGPD/GDPR.

• Revise os contratos de funcionários, clientes e fornecedores e atualize, se necessário.

• Planejar como reconhecer e lidar com as solicitações de acesso de sujeitos dos dados, fornecendo respostas dentro do prazo estipulado.

• Tenha um processo para determinar se é necessária Análise de Impacto de Privacidade.

• Analise se os mecanismos para transferências externas de dados são compatíveis com a proteção interna.

6. Proteger os dados pessoais através de medidas processuais e técnicas

A LGPD/GDPR exige que as organizações implementem “medidas técnicas e organizacionais apropriadas” para garantir que os dados pessoais sejam processados apropriadamente.

O que você precisa fazer

• Ter uma política de segurança da informação em vigor.

• Ter uma política de privacidade em vigor.

• Praticar controles técnicos básicos, como os especificados por estruturas estabelecidas como o Cyber Essentials.

• Usar criptografia e /ou anonimizacão e /ou pseudonimização, quando apropriado.

• Garantir que políticas e procedimentos sejam implementados para detectar, relatar, investigar e responder a violações de dados pessoais. 

7. Comunicações

Manter sua conformidade com a LGPD/GDPR depende muito de sua equipe entender corretamente o que deve fazer e por quê. Todos os envolvidos no processamento de dados devem ser adequadamente capacitados e treinados para seguir processos e procedimentos definidos.

O que você precisa fazer

• A conformidade com o LGPD/GDPR é um projeto de mudança de negócios – comunicações internas eficazes com as partes interessadas e a equipe são essenciais.

• Os funcionários precisam entender a importância da proteção de dados e serem treinados nos princípios básicos de LGPD/GDPR e nos procedimentos que estão sendo implementados para garantir a conformidade.

8. Monitorar e auditar a conformidade

A conformidade com o GDPR é um projeto dinâmico – realizando uma jornada em vez de buscar um destino. Você deve executar auditorias internas periódicas e atualizar seus processos de proteção de dados, incluindo a verificação de seus registros de atividades de processamento (logs), mecanismos de consentimento, testes de controles de segurança de informações e a realização de Análises de Impacto na Privacidade (PIAs).

O que você precisa fazer

• Agendar auditorias regulares de atividades de processamento de dados e controles de segurança.

• Manter registros do processamento de dados pessoais atualizados.

• Empreender DPIAs e PIAs, quando necessário.

Espero ter auxiliado você, que terminou de ler esse pequeno artigo. Obviamente existe muito mais, que não caberia aqui. Busque acessaar meus outros artigos aqui mesmo no Linkedin e talvez você encontre mais alguma coisa que ainda não sabe sobre este tema.

Se ainda tiver dúvidas, visite meu site pessoal (ver abaixo) e podemos conversar sem compromisso.

Meu nome é Fernando Marinho, sou consultor de empresas especialista em Continuidade de Negócios, Privacidade & SI, Gestão de Riscos e de Crises. Professor de Pós Graduação na UFRJ e autor de livros sobre o que faço. Se quiser conhecer mais sobre meu trabalho, visite o site da minha empresa emhttp://www.epokaconsutoria.com.br

FONTE: HTTPS://WWW.LINKEDIN.COM/PULSE/CHECKLIST-DE-CONFORMIDADE-%C3%A0-LGPDGDPR-FERNANDO-MARINHO/

Depois de todas estas ideias, resta uma coisa a ser dita: Mãos a obra!

Bora executar o dito acima e criar caminhos para que esta lei tenha um impacto pequeno, quiçá inexpressivo nos clientes empresariais ou ainda, pelo menos, que não seja por falta de conhecimento, aviso ou alerta que o cliente não faça o que você indicou!

#FraternoAbraço

Gustavo Rocha
Consultoria GustavoRocha.com  |  Gestão, Tecnologia e Marketing Estratégicos
Robôs  | Inteligência Artificial  |  Jurimetria
(51) 98163.3333  | gustavo@gustavorocha.com  | www.gustavorocha.com