fbpx
conformidade lgpd GAT

Gestão de conformidade LGPD: guia completo

Tempo de leitura: 5 minutos

A gestão de conformidade LGPD é um dos maiores desafios nas empresas brasileiras atualmente. 

Com a vigência da lei se aproximando, pouquíssimas organizações estão prontas para lidar com as novas regras de coleta, tratamento e proteção dos dados pessoais.

Embora já existam soluções que prometem uma adequação rápida aos requisitos de privacidade, o processo exige uma análise muito mais profunda com relação aos controles existentes para segurança dos dados e uma verdadeira mudança cultural em relação à informação digital e à governança da privacidade.

Por isso, vamos ajudar você a alcançar a conformidade LGPD e criar um programa de segurança da informação à altura das novas exigências. 

Leia até o fim e dê os primeiros passos para proteger seus dados. 

Conformidade LGPD: por que é importante se adequar

A gestão de conformidade LGPD está no radar das empresas brasileiras, já que a lei deve entrar em vigor em agosto de 2020.

Nossa Lei Geral de Proteção de Dados Pessoais seguirá os mesmos princípios do Regulamento Geral sobre a Proteção de Dados (GPDR) da União Europeia, priorizando o respeito à privacidade.

Logo, as empresas devem se preparar para aderir às normas e adaptar sua segurança da informação à proteção de dados dos usuários. 

Basicamente, a lei regulamenta o uso, transferência e proteção de dados pessoais, estabelecendo regras para o tratamento das informações pelas organizações.

Para os líderes e executivos de TI, a LGPD representa um marco da cibersegurança, que mudará totalmente a forma de coletar, armazenar e gerenciar informações pessoais.

Em caso de vazamentos de dados e desrespeito às normas, a empresa pode ser penalizada com uma advertência, fechamento e multas que vão de 2% do faturamento até R$ 50 milhões, conforme diz a Lei 13.709

Mas as sanções não devem ser o único motivo para adequação da empresa à LGPD, já que não basta estar em compliance com a lei para garantir uma política eficaz de segurança digital.

Além de utilizar tecnologias e serviços para aplicar as diretrizes de proteção de dados, as empresas precisam, essencialmente, construir uma cultura de segurança sólida e transformar seus processos. 

Já vamos entender o que isso significa no contexto do TI.

Os desafios da conformidade à LGPD 

Apesar de toda a movimentação em torno da gestão de conformidade LGPD no mundo dos negócios, a maioria das empresas está longe de se adequar à nova realidade. 

Segundo um relatório da consultoria ICTS Protiviti, divulgado em 2019 na Época Negócios. 84% das empresas brasileiras não estão preparadas para a LGPD.

Já a Gartner prevê que menos de 30% das organizações conseguirão cumprir a lei até agosto de 2020, de acordo com a fala de seu vice-presidente no Gartner IT Symposium/XPo 2019, divulgada na Crypto ID. 

A pesquisa da consultoria também revela que as maiores preocupações das empresas são sofrer impacto financeiro por violações de dados (46%), perder clientes (45%) e sofrer danos à reputação (44%). 

O grande desafio da LGPD é que não existe uma fórmula única ou um pacote de soluções que garanta a conformidade da empresa, pois toda a organização deve estar comprometida com uma mudança técnica, cultural e estratégica na forma de lidar com dados pessoais. 

Na área da segurança da informação, a tarefa de compliance é ainda mais complexa, pois envolve atualizações de infraestrutura, análises profundas das operações, mapeamento de processos e uma nova postura em relação à proteção de dados.

Tudo para garantir que os dados de clientes, colaboradores, parceiros e qualquer indivíduo sejam protegidos de vazamentos, perdas, destruição, exposição e acesso não autorizado nas empresas, além de tratados sob consentimento e manipulados dentro das normas. 

Inclusive, essas regras se estendem a terceiros que utilizam os dados da empresa, o que torna a avaliação de segurança de fornecedores ainda mais urgente. 

Mas, para cumprir todos esses requisitos, não basta ter as melhores ferramentas de segurança: é preciso ter processos de negócio compatíveis com a lei.

Para a área de tecnologia, isso significa ter uma política de segurança, classificar informações, controlar o acesso, realizar testes de intrusão e vulnerabilidades, ter planos de resposta a incidentes, e várias outras medidas.

5 passos para alcançar a conformidade LGPD na segurança da informação

Para alcançar a conformidade LGPD, a segurança da informação deve adotar uma nova perspectiva sobre a proteção de dados pessoais. 

Veja como estruturar um programa de governança eficiente em alguns passos. 

1. Nomeie os responsáveis pela gestão dos dados

O primeiro passo para alcançar a conformidade LGPD é nomear responsáveis como um diretor de proteção de dados ou DPO. 

De acordo com as boas práticas recomendadas pela Gartner, é interessante que o responsável possa atuar além do TI para alinhar as políticas de proteção de dados com outras áreas da empresa e fornecedores.

Além disso, é preciso atribuir as funções de controlador e/ou operador de dados, conforme previsto na lei. 

2. Faça um mapeamento de dados pessoais e sensíveis

O próximo passo é fazer um mapeamento dos dados pessoais e dados sensíveis utilizados na empresa.

De acordo com a LGPD, são enquadrados como sensíveis os dados relativos às seguintes informações, quando vinculados à pessoa natural:

  • Origem racial ou étnica
  • Convicção religiosa
  • Opinião política
  • Filiação a sindicato ou organização de caráter religioso, filosófico ou político
  • Dado referente à saúde ou à vida sexual
  • Dado genético ou biométrico.

Nessa etapa, você terá que analisar os processos do negócio para identificar como os dados são coletados, por onde passam, onde são armazenados, por quem são tratados e como podem ser apagados. 

Além disso, é importante olhar para todas as áreas da empresa, processos de negócio e terceiros que lidam com dados pessoais no meio digital, para identificar os riscos e demandas atuais. 

Lembre-se de revisar o texto da lei para conferir as mais de vinte atividades de tratamento previstas (coleta, controle, eliminação, etc.).

3. Estruture um programa de segurança e privacidade

Com os riscos e demandas da empresa em mente, você deverá estruturar um programa de governança e privacidade adaptado à realidade do negócio e seus processos de coleta, armazenamento e uso de dados pessoais. 

Um referencial teórico importante para essa tarefa é a ISO 27001:2013, disponível no catálogo da ABNT, que é padrão internacional para sistemas de gestão de segurança da informação e já conta com a extensão mais recente para proteção de dados, a ISO 27701.

Mas é claro que, sozinho, esse framework não garante uma política de segurança digital eficaz, servindo apenas de referência para tratar de aspectos como:

  • Políticas de segurança da informação e privacidade
  • Organização e segurança da informação e privacidade
  • Seguranças nas operações e comunicações
  • Segurança física e do ambiente
  • Relacionamento da cadeia de suprimentos
  • Criptografia
  • Controle de Acesso
  • Aquisição, desenvolvimento e manutenção de sistemas
  • Compliance.

Além disso, a norma inclui diretrizes adicionais para controladores e operadores.

4. Implemente políticas claras de retenção e tratamento de dados

A LGPD não trata apenas da proteção dos dados contra uso indevido e acesso não autorizado, mas também da segurança na coleta, classificação, utilização, transmissão e exclusão das informações, entre outras atividades.

Por isso, é essencial que você implemente métodos e políticas para tratar das exigências da lei, por meio de ações como:

  • Criar documentos (contratos, termos, políticas) para uso interno e externo dos dados
  • Criar métodos e ferramentas para gerenciar o consentimento e anonimização para atender às eventuais solicitações dos titulares dos dados e da futura agência reguladora 
  • Criar um banco de dados para controlar os pedidos dos titulares dos dados, seja para acesso, confirmação, portabilidade, anonimização, etc.
  • Garantir que seja possível elaborar relatórios de impacto para os órgãos de fiscalização
  • Formalizar normas, ações e procedimentos para mitigar riscos no tratamento dos dados
  • Adotar as providências necessárias para excluir os dados tratados ou conservá-los ao final do processo.

5. Desenvolva planos de resposta à violação de dados

Por fim, a criação de planos de resposta a incidentes e violações de dados é um aspecto fundamental da conformidade LGPD.

Afinal, a empresa deve estar preparada para lidar com eventuais vazamentos, perdas, ciberataques, danos estruturais e outros incidentes, implementando ações preventivas e corretivas.

Para isso, é fundamental avaliar os riscos, ameaças e vulnerabilidades relacionadas aos dados pessoais, além de monitorar continuamente esses aspectos e atualizar as políticas de governança. 

Em todas essas etapas, você pode contar com o GAT para realizar a análise e gestão de conformidade LGPD.

Nossa plataforma de gestão integrada de riscos cibernéticos e conformidade inclui o compliance com a LGPD, ISO 27001, PCI-DSS e Bacen 4.658 e 3.909, facilitando a auditoria.

Assim, você pode agilizar o processo de adequação e centralizar todas as tarefas no mesmo sistema — além de sair na frente da concorrência.

Você também pode curtir isso:

+55 11 4450 0996

Copyright © 2019-2020

Newsletter