A LGPD introduz o Princípio da Segurança, que consiste na utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão (LGPD, art. 6, inciso VII).
Os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas, aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas, ou seja, vulnerabilidades que podem expor os dados dos titulares a tratamento inadequado ou ilícito. Estas medidas devem ser observadas desde a fase de concepção do produto ou do serviço até a sua execução (LGPD, art. 46).
Os agentes de tratamento ou qualquer outra pessoa que intervenha em uma das fases do tratamento obriga-se a garantir a segurança da informação prevista na Lei em relação aos dados pessoais, mesmo após o seu término (LGPD, art. 47).
Uma importante obrigação do controlador relacionada à segurança de dados pessoais é a comunicação à autoridade nacional e ao titular, na ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares de dados (LGPD, art. 48).
Por fim, a Lei estabelece que os sistemas utilizados para o tratamento de dados pessoais devem ser estruturados de forma a atender aos requisitos de segurança, aos padrões de boas práticas e de governança e aos princípios gerais previstos na LGPD e nas demais normas regulamentares (LGPD, art. 49).
Para aplicação dos Princípios da Segurança e da Prevenção (LGPD, art. 6, incisos VII e VIII) a Lei orienta que o controlador implemente um Programa de Governança em Privacidade que possua as seguintes características (LGPD, art. 50, inciso I):
demonstre o comprometimento da organização com a proteção de dados pessoais;
seja aplicável a todos os dados pessoais que estejam sob seu controle;
seja adaptado à estrutura, à escala e ao volume de suas operações;
seja baseado em um processo de avaliação sistemática de riscos à privacidade;
estabeleça uma atuação transparente;
estabeleça e aplique mecanismos de supervisão internos e externos;
conte com planos de resposta a incidentes e remediação; e
seja atualizado constantemente;
Quando apropriado e, em especial, a pedido da autoridade nacional ou de outra entidade responsável por promover o cumprimento de boas práticas ou códigos de conduta, será necessário demonstrar a efetividade deste Programa de Governança em Privacidade (LGPD, art. 50, inciso II).
Para construir um Programa de Governança em Privacidade que atenda aos requisitos impostos pela LGPD, podemos seguir os seguintes passos:
Construir o Organograma da Organização
A construção de um organograma facilita a identificação do escopo do tratamento de dados pessoais pela organização e a distribuição das funções e responsabilidades dentro do Programa de Governança em Privacidade.
Definir os Papéis e Responsabilidades
Para que um programa de Governança em Privacidade seja efetivo, é necessário que sejam definidos papéis e suas respectivas responsabilidades.
Desta forma, as atividades necessárias de gestão e operação podem ser distribuídas e executadas pelos seus responsáveis conforme foram projetadas e supervisionadas para garantir sua efetividade. Além disso, é possível evitar conflitos de interesses através da segregação de funções, conforme orientam as boas práticas de segurança da informação.
Mapear os Processos da Organização
O mapeamento dos processos da organização serve de base para realizar a etapa de identificação da finalidade do tratamento dos dados pessoais.
Quanto mais detalhado for o mapeamento dos processos, mais informações estarão disponíveis para ajudar nas tomadas de decisões que ocorrerão durante a implantação do Programa de Governança em Privacidade.
Porém, caso não haja condições de realizar um mapeamento detalhado, a construção de uma lista dos processos executados pela organização, com a sua finalidade e seus responsáveis já é suficiente.
Identificar os Dados Pessoais Tratados pela Organização
Depois de mapear os processos da organização, é necessário identificar quais são os dados pessoais tratados em cada um deles.
Este trabalho permitirá identificar se a organização trata dados além dos necessários para atender as suas finalidades.
Identificar a Finalidade do Tratamento dos Dados Pessoais
Nesta etapa é verificado se os dados pessoais tratados em cada processo são condizentes com a sua finalidade, auxiliando na adequação aos Princípios da Finalidade e da Necessidade (LGPD, art. 6, incisos I e III).
Criar o Inventário de Ativos Organizacionais
Com os processos mapeados, os dados pessoais identificados e a finalidade do seu tratamento analisada, chega o momento de identificar onde estes dados pessoais são tratados.
É necessário identificar os sistemas utilizados pela organização para realizar o processamento dos dados pessoais, os locais do seu armazenamento e tráfego, as equipes que possuem acesso e os terceiros (fornecedores) com quem estes dados são compartilhados.
Identificar os Fornecedores Estratégicos da Organização
O mapeamento dos fornecedores estratégicos que tratam dados pessoais em nome da organização, é fundamental para que sejam adotadas medidas administrativas como a revisão de contratos e a construção de termos de confidencialidade entre as partes.
Documentar as Operações de Tratamento de Dados Pessoais Realizadas pela Organização
Com todas as etapas anteriores realizadas, é possível identificar as operações de tratamento realizadas e construir o fluxo dos dados pessoais dentro da organização.
Nesta etapa, é detalhado como estes dados são coletados, armazenados, processados, compartilhados e excluídos.
Identificar os Riscos Envolvidos no Tratamento dos Dados Pessoais
Com o detalhamento das operações de tratamento de dados pessoais na organização concluído, já é possível identificar os riscos envolvidos em cada uma destas operações.
A “identificação dos riscos” consiste no processo de busca, reconhecimento e descrição das ameaças que possam explorar vulnerabilidades encontradas na organização.
Analisar e Avaliar os Riscos Identificados
Com os riscos identificados, é o momento de analisar qual a probabilidade e o impacto de cada um deles na organização.
Esta etapa é importante para que possa ser feita a priorização das atividades que serão realizadas posteriormente para tratar os riscos identificados na organização.
A “avaliação de risco” é o processo de comparar o risco, previamente identificado e estimado, com critérios de risco predefinidos para determinar sua importância.
O objetivo desta avaliação é obter subsídios para tratar, aceitar e priorizar cada risco identificado.
Definir e Implementar os Controles Internos para Tratar os Riscos Identificados
Com os riscos analisados, é preciso priorizar o tratamento daqueles que possuem maior relevância para a organização.
Este tratamento é realizado através da aplicação de medidas técnicas e administrativas (controles internos) capazes de reduzir os riscos considerados excessivos para um nível que seja aceitável pela organização.
Frameworks como o CIS Controls podem ser utilizados para ajudar a definir quais os controles devem ser implementados.
Atualizar Periodicamente as Documentações, os Riscos e os Controles Internos
Depois de implementar os controles internos necessários para manter os riscos em um nível aceitável pela organização, é necessário controlar a efetividade destes controles internos através de auditorias periódicas.
Além disso, é preciso que os riscos e as documentações que compõem o Programa de Governança em Privacidade sejam revistos periodicamente, a fim de garantir que ainda estão alinhados com as necessidades atuais da organização, e caso necessário, sejam ajustados.
Se você precisa de ajuda para criar o Programa de Governança em Privacidade de sua organização, pode contar com o apoio da Safecomply.
Possuímos equipe especializada e uma plataforma de GRC própria que pode apoiar a sua organização em todas as etapas de adequação à LGPD.
Comentarios