Considerações sobre as ações de adaptação à Lei Geral de Proteção de Dados

Considerações sobre as ações de adaptação à Lei Geral de Proteção de Dados

Considerações sobre as ações de adaptação à Lei Geral de Proteção de Dados

Conforme nossa equipe multidisciplinar expõe em nossas palestras e de acordo com o que aplicamos nas consultorias, assessorias e ações de adaptação da norma prestadas em empresas dos mais variados seguimentos, para a realização correta do mapa de conformidades sobreposto ao mapa de riscos e coleta e evidências, entendemos que é necessário criar uma equipe dedicada ou terceirizada que não se restrinja, tão somente, a análise jurídica, mas utilize mais dois pilares de valor, sendo um de processo e outro de tecnologia da informação e, se possível, tendo um gerente de projetos.
Entendemos que, por se tratar de norma de conformidade que impacta profundamente a cultura da empresa e necessita de uma minuciosa identificação e mapeamento do fluxo de dados, bem como, seu correto tratamento abrangendo todo o espectro da lei e de segurança de informação esses pilares se tornam fundamentais para a correta execução.
Nesse mesmo sentido, a conscientização - reuniões de alinhamento e conscientização dos líderes, visto que, trata-se de legislação que porventura altera a cultura da empresa quanto ao tratamento de dados pessoais – os treinamentos - por meio de Workshops para embasamento sobre os conceitos necessários sobre os itens e requisitos da norma de referência, LGPD e metodologia de trabalho para execução deste projeto – e o gap anlisys - através de entrevista com os colaboradores e análise documental para avaliar a situação atual da empresa com relação ao nível de conformidades aderentes à LGPD, no que se refere ao mapeamento e tratamento de dados, gestão de consentimento e anonimização, canal de atendimento para o titular dos dados, plano de comunicação para incidentes de segurança, eliminação dos dados, existência do DPO, formas de comunicação entre colaboradores e parceiros, forma de coleta e produção de evidências, eliminação de dados, governança de tratamento e rastreabilidade de utilização de dados, relatório de impacto, identificação de dados sensíveis, análise e sugestões de alterações contratuais dos colaboradores e parceiros, identificação das zonas risco que concentram grandes volumes de dados com grande volume de acessos e dados, verificação da existência de política de privacidade e termos de uso (esse quando for necessário), existência tratamento de incidentes), orientação na elaboração da documentação, mapeamento do fluxo de dados, ressalvas em comunicação, contratos e definição de soluções tecnológicas, orientação e esclarecimentos de dúvidas na implementação dos processos e tecnologias definidos padronizados durante a consultoria, elaboração do mapa de riscos e vulnerabilidades, plano de ação e plano do projeto; esclarecimentos e ajustes – são etapa fundamentais, para não se dizer necessárias.
Outra dica, além da montagem da equipe multidisciplinar, é estudar a NBR ISO IEC 27001:2013 que, resumidamente, trata de segurança de informação e a recém editada ISSO 27701, sobre sistemas de Gestão de Informação Privada tem como objetivo estabelecer controles de segurança para proteção de dados, que vão lhe ajudar muito no desenho do fluxo de dados de uma maneira geral e ter no seu time especialistas familiarizados com a implantação dessas normas e com segurança da informação.


Rodolfo Luiz Bressan Spigai – sócio do Caetano de Paula e Spigai – Advocacia e Consultoria
Ronaldo Sirosse – Consultor