Gap Analysis

O Gap Analysis é a análise da diferença entre onde a sua empresa está e onde pretende chegar. Essa diferença é a lacuna (gap) que precisa ser preenchida, para que a empresa atinja o nível de conformidade e alinhamento com as medidas de segurança, técnicas e administrativas requisitadas pela LGPD.

A análise ajudará a sua empresa a  compreender o seguinte:

• As medidas de segurança, técnicas e administrativas estão aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito?
• Quais ações e recursos são necessários para que a empresa desenvolva os procedimentos,  as capacidades, as competências, os sistemas e a infraestrutura para atingir os objetivos de conformidade com a LGPD?
• Quanto tempo a empresa levará para atingir esses objetivos?

Observação: O mapeamento de dados pessoais com o seu ciclo de vida deverá ser feito e todas as questões legais de conformidade com a LGPD, deverão ser feitas por uma consultoria jurídica.

Avaliação de Maturidade

A Avaliação de Maturidade é um modelo de julgamento da maturidade dos processos  adotados pela sua empresa e ajudará a identificar as ações necessárias para aumentar o nível de maturidade deles.

Uma empresa  mais madura é definida como aquela cujos processos são melhor definidos, integrados e gerenciados.

Com base no Gap Analysis, a escala de maturidade do legado de processos da sua empresa será julgado, em relação à  segurança da informação e à proteção de dados pessoais, conforme os requisitos da LGPD e com base nas seguintes áreas de foco:

• Visão e Direcionamento – Objetivos e metas da segurança da informação em relação aos requisitos de negócio e de conformidade com a LGPD.
• Processos – Processos e procedimentos necessários para alcançar os objetivos e as metas.
• Pessoas – Competências necessárias para a realização dos processos.
• Tecnologia – Sistemas e infraestrutura para permitir que os processos sejam realizados. 
• Cultura – Comportamentos e atitudes requeridas em relação à segurança da informação e de proteção a dados pessoais dentro da empresa.
  

Avaliação de Riscos

Em complemento ao Gap Analysis e à Avaliação de Maturidade, a Avaliação de Riscos ajudará a identificar as fragilidades dos processos adotados pela sua empresa.

Com base nos requisitos de conformidade da LGPD, os riscos poderão ser classificados da seguinte forma:

• Risco Legal: quando as bases legais e os requisitos de tratamento de dados pessoais não estão em conformidade com a legislação, podendo gerar riscos às liberdades civis e aos direitos fundamentais dos titulares dos dados.

• Risco Operacional: quando as medidas, técnicas e administrativas, incluindo os recursos humanos e operacionais da empresa não estão aptas a proteger os dados pessoais.

Os riscos levantados deverão ser avaliados, classificados e de acordo com a severidade,  ações de mitigação deverão ser definidas para prevenir, evitar e/ou minimizar os seguintes impactos:

• Perda de clientes e de contratos;
• Danos à imagem;
• Perda de produtividade;
• Aumento no custo do trabalho para conter, reparar e recuperar qualquer violação de dados; e
• Procedimentos que resultem em sanções administrativas.
  

Segurança da Informação

De acordo com o artigo 50 da LGPD, todos os agentes de tratamento poderão formular regras de boas práticas e de governança que estabeleçam as condições de organização, o regime de funcionamento, os procedimentos, incluindo reclamações e petições de titulares, as normas de segurança, os padrões técnicos, as obrigações específicas para os diversos envolvidos no tratamento, as ações educativas, os mecanismos internos de supervisão e de mitigação de riscos e outros aspectos relacionados ao tratamento de dados pessoais.

Considerando que os dados pessoais são ativos de informação, a Segurança da Informação desempenha um papel crucial na formulação das regras de boas práticas e de governança. Como não se pode garantir 100% de segurança, há a necessidade de um conjunto de benchmarks ou padrões para ajudar a garantir que um nível adequado de segurança seja atingido, os recursos sejam usados de forma eficiente e as melhores práticas de segurança sejam adotadas.

A metodologia básica para realizar o benchmark de Segurança da Informação será a ISO 27002. Ela oferece a garantia de que a sua empresa está protegendo os seus ativos de informação usando critérios com um padrão reconhecido internacionalmente. Os benefícios são aplicáveis a empresas de todos os tamanhos e todos os níveis de maturidade de segurança.

Documentação

A fim de manter uma gestão eficaz da segurança da informação e de proteção de dados pessoais na sua empresa, é fundamental documentar as diretrizes, os procedimentos de segurança e os seus registros, mantendo os padrões definidos, com a atribuição de responsabilidades para  que as pessoas apropriadas as executem  com a regularidade estabelecida.

A documentação é importante para ajudar a sua empresa a:

• nivelar o conhecimento e o entendimento de todos;
• garantir que a execução dos procedimentos seja feito da mesma maneira, mesmo com a saída das pessoas;
• garantir que todos fiquem atualizados com as alterações feitas nas diretrizes e nos procedimentos, através da revisão dos documentos, informando a data e a alteração realizada; e
• registrar todas as evidências necessárias para comprovar que a sua empresa possui as medidas de segurança implementadas,  aptas a proteger os dados pessoais, cumprindo as diretrizes e procedimentos estabelecidos em conformidade com a legislação.
  

Análise e Medição

De acordo com a LGPD, na aplicação dos princípios indicados nos incisos VII e VIII do   caput do art. 6º da Lei, o controlador, observados a estrutura, a escala e o volume de suas operações, bem como a sensibilidade dos dados tratados e a probabilidade e a gravidade dos danos para os titulares dos dados, poderá:

• I - implementar um programa de governança em privacidade, que no mínimo: 

h) seja atualizado constantemente com  base em informações obtidas a partir de monitoramento contínuo e avaliações periódicas; e

• II - demonstrar a efetividade de seu programa de governança em privacidade quando apropriado e, em especial, a pedido da autoridade nacional ou de outra entidade responsável por promover o cumprimento de boas práticas ou códigos de conduta, os quais, de forma independente, promovam o cumprimento desta Lei.

Para isso, a sua empresa precisa definir os indicadores de desempenho aptos a analisar e avaliar o cumprimento dos objetivos da segurança de informação e de proteção de dados pessoais implementados em conformidade com a legislação.

Auditorias

As auditorias são uma forma de avaliar se a sua empresa está seguindo as boas práticas de segurança da informação e de proteção de dados pessoais. Elas desempenham um papel fundamental, ajudando a sua empresa a compreender e a cumprir suas obrigações de proteção de dados. As auditorias analisam se a sua empresa tem controles eficazes em vigor, juntamente com políticas e procedimentos estabelecidos.

As auditorias também verificam se a sua empresa está cumprindo os requisitos da legislação e o relatório resultante trará recomendações sobre como melhorar continuamente as medidas de segurança implementadas, motivo pelo qual deve ser realizada periodicamente.

Os requisitos a serem avaliados podem incluir:

• modelo de gestão de segurança da informação e de proteção de dados pessoais, a sua estrutura, políticas e procedimentos para garantir o cumprimento da LGPD;
• os processos para responder a qualquer pedido dos titulares de dados pessoais;
• as medidas técnicas e organizacionais em vigor para garantir a segurança adequada dos dados pessoais; e
• o fornecimento e o monitoramento de ações educativas sobre os requisitos de proteção de dados pessoais pessoais e a conscientização sobre privacidade. 

Ações Educativas

As ações educativas são complementos importantes para colocar em prática todas as diretrizes e procedimentos definidos como medidas de segurança da informação e de proteção de dados pessoais na sua empresa, além de estarem previstas na LGPD.

O objetivo delas deve ser instruir e informar os funcionários sobre comportamentos e hábitos em relação à privacidade, desenvolvendo e melhorando a questão cultural no ambiente corporativo.

Para que isso se concretize, um plano de treinamentos deve ser elaborado periodicamente, abordando temas como:

• Privacidade;
• Proteção de Dados;
• Direitos dos Titulares de Dados;
• Segurança da Informação;
• Cibersegurança;
• Avaliação de Riscos; e
• Resposta a Incidentes.

DPO as a Service

De acordo com a LGPD, Lei 13.709 e a Lei 13.853 – Art. 5, o encarregado é a pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).

Conforme o Art. 41 da LGPD, todo controlador deverá nomear um encarregado para o tratamento de dados pessoais. Portanto, a nomeação desse profissional é de extrema importância, pois além de cumprir a legislação, ele será responsável pela operação e gestão do tratamento de dados, pelo monitoramento das ações internas no tratamento de dados e pela manutenção da conformidade com os Regulamentos de Proteção de Dados.

Com a contratação de serviços de um provedor de serviços de DPO externo, a sua empresa poderá reduzir os desafios e as despesas para recrutar e formar um funcionário para ser o Encarregado pelo Tratamento de Dados Pessoais em tempo integral.