Image for post
Image for post
Marcelo Nascimento | Consultor DPO | everis Brasil

Lei Geral de Proteção de Dados — Gerenciamento de riscos de privacidade e auditoria

Buscando sua adequação à nova Lei Geral de Proteção de dados (Lei nº 13.709/2018 — LGPD), legislação brasileira que regula as atividades de tratamento de dados pessoais, houve uma verdadeira corrida de cem metros para atingir o objetivo: a adequação. Para adequação a legislação de proteção de dados pessoais, muitas vezes são, somente, considerados, os mínimos requisitos, pois a grande maioria do cenário empresarial possuí poucos recursos, financeiros ou em tempo, para estarem adequadas. Todavia, somente a adequação não é o suficiente, as empresas precisam aumentar seu nível de maturidade, ao longo do tempo, em uma curva estável fornecendo maior segurança para o mercado, obtendo um diferencial competitivo. Por fim, a maturidade à proteção da privacidade é importante, pois distancia a empresa de qualquer penalização por parte da agência nacional de proteção de dados (ANPD), que ainda está em construção.

Entre os maiores desafios da gestão de risco empresarial moderno está a proteção à privacidade dos colaboradores, fornecedores e, principalmente, clientes. Nós, como consumidores estamos preocupados com quais informações são utilizadas e de que maneira. Essa preocupação, somada à regulamentação especifica, cria um binômio de obrigação para as empresas: atender a expectativa de seu cliente, e, caso não o faça, ser severamente punida pelo Estado. Sabemos que as sanções são pesadas: danos à imagem por publicações de infrações, multas no valor de até cinquenta milhões de reais, paralização total ou parcial do banco de dados, entre outras.[1]

A maioria das organizações já entendeu estas necessidades, sua implementação já faz parte da pauta de muitas reuniões de diretores. O real desafio para as empresas que já atingiram o nível de maturidade de implementação, é sustentar estas boas práticas. Esta sustentação geralmente se dará por meio do encarregado de proteção de dados, ou mais conhecido pela sigla associada ao regulamento europeu de proteção de dados pessoais: DPO — Data Protection Officer.

A manutenção do DPO é um desafio em si. Conjugar num único profissional as habilidades necessárias para um bom DPO é um evento raríssimo, pois, em pouquíssimos cenários haverá profissionais que estejam habituados a questões de tecnologia, Direito e compliance numa única pessoa. Assim, estas lacunas são supridas por diversos profissionais, naturalmente, mudando o “O”, de DPO, para office, de encarregado de proteção de dados pessoais para escritório encarregado de proteção de dados pessoais.

Todavia, o desafio não acaba por aí. Manter diversos profissionais tão especializados é, muitas vezes, caro demais, habilitando, constantemente, o outsorcing desta função.

O DPO, próximo do quadro diretivo da empresa para qual atua, precisará destacar as mais diversas medidas de sustentação do ambiente de respeito à privacidade, pela companhia: procedimentos para atendimento à requisição de titulares de dados; procedimentos para atendimento à requisição da ANPD; elaborações de Data Privacy Impact Assessment — DPIA; aculturamento da empresa, entre outras, incluindo uma rotina de gerenciamento de riscos de privacidade e auditoria.

Uma auditoria, e por consequência, um auditor, deverá considerar os temas como os papeis na proteção à privacidade, gerenciamento de risco à privacidade; controles de proteção à privacidade e risco-chaves e suas ações, sem prejuízo de todas as demais necessidades. O atual cenário de privacidade e proteção de dados pessoais permite que auditores sejam participantes ativos, ajudando a organização a perceber e lidar com questões de risco à privacidade.

A falha do gerenciamento em abordar adequadamente a proteção de informações pessoais apresenta vários riscos para a organização, incluindo perdas financeiras de alto valor, milionárias, seja por dano à imagem, com perda de contratos e clientes, seja por multas diretas, aplicadas pela ANPD. É necessário, em qualquer framework de proteção à privacidade considerar as questões abaixo, minimamente, além de outras adaptáveis à organização auditada.

Em primeiro momento, é absolutamente necessário considerar-se os controles de privacidade. Proporcionar governança e supervisão adequadas pelos “C’s level”, diretores e gerentes (ou seja, tone at the top) é um controle essencial para abordar os riscos de privacidade enfrentados pela organização. É absolutamente necessário verificar, pelo auditor, se há incentivo à classe executiva em abordar como a organização gerencia, controla e protege os dados pessoais que coleta sobre clientes e funcionários.

É importante verificar, ainda, se a organização avalia a as práticas de conformidade e manipulação de dados pessoais e pontos fracos, comparando-os com políticas, leis e regulamentos internos e melhores práticas de mercado.

Na mesma esteira, é fundamental que a organização implemente um programa de privacidade que inclui, dentre seus controles: Governança e responsabilidade da privacidade; uma política ou aviso de privacidade (a depender do cenário, ambos); políticas e procedimentos escritos sobre privacidade com publicidade; controles e processos; papéis e responsabilidades; treinamento e educação de funcionários e prestadores de serviços; monitoramento; práticas de segurança da informação; planos de resposta a incidentes em privacidade; adequações tecnológicas para acesso a informação; leis e regulamentos de privacidade aplicáveis à organização em um framework organizado; planos para responder a problemas detectados e ação corretiva.

Todos esses pontos podem ser alvos de auditoria, onde os auditores podem contribuir para a melhor governança, desempenhando um papel que aproxime a realidade da organização aos seus objetivos, ou seja, mapeando o cenário atual (AS IS) e apontando os gaps. São algumas dessas atividades específicas: trabalhando junto ao departamento jurídico para certificar-se que a legislação e regulamentos de privacidade aplicáveis sejam considerados. Trabalhando junto ao departamento de tecnologia da informação e proprietários de processos de negócios para avaliar se os controles de segurança da informação e proteção de dados estão em vigor e são revisados ​​regularmente. Realizar avaliações de risco de privacidade ou revisar a eficácia das políticas, práticas de privacidade, e controles em toda a organização. Identificando os tipos de dados pessoais coletados, a metodologia de coleta utilizada e se o uso das informações pela organização está de acordo com o uso pretendido. Revisão de políticas, procedimentos e diretrizes dos fluxos de dados. Revisão dos procedimentos de tratamento de dados desenhados para proteger a privacidade dos dados pessoais, com foco na identificação de potenciais oportunidades para padronizar práticas de proteção de dados em toda a organização. Conduzir uma avaliação dos prestadores de serviços, incluindo uma revisão de procedimentos. Revisar as práticas e materiais de treinamento atuais, e inventário da conscientização e de treinamento necessários.

Assim, podemos dizer, em última análise, que proteção à privacidade vai além do projeto de adequação a LGPD, por mais privilegiado e necessário que este seja. O gerenciamento de riscos de privacidade e auditoria é apenas uma das diversas facetas que a manteneção do ambiente de proteção à privacidade deve possuir para uma maturidade adequada, sendo extremamente importante e relevante.

[1] BRASIL, Lei Geral de Proteção de Dados (2018), CAPÍTULO VIII DA FISCALIZAÇÃO, Art. 52.

Written by

Exponential intelligence for exponential companies

Get the Medium app

A button that says 'Download on the App Store', and if clicked it will lead you to the iOS App store
A button that says 'Get it on, Google Play', and if clicked it will lead you to the Google Play store