Matriz de Criticidade das Áreas de LGPD
Mario Alves W. de Souza, MBA, MBS, CIEIE
Gerente de Consultoria da Brasiliano INTERISK
Janeiro | 2020
Estamos próximos da entrada em vigor da LGPD, agosto de 2020. Isso se não for aprovada a PL 5.762/19, de autoria do deputado Carlos Bezerra (MDB-MT), que propõe adia-la em dois anos, vigorando a partir de 15 de agosto de 2022.
Abrindo um parêntese, quanto a esse tema, que se encontra aguardando o parecer do relator na Comissão de Constituição e Justiça e de Cidadania (CCJC), como opinião particular, acredito que o congresso nacional adotará um meio termo, com a concessão de um período de adaptação onde não haverá multas, apenas notificações.
Seguindo no tema propósito, independente de quando ocorrer a entrada em vigor e, apesar da legislação não abordar de forma direta, não vejo formas de adaptação a LGPD sem que haja uma avaliação de riscos.
Nos projetos que estamos em curso, ajudando as empresas a entenderem o seu negócio e se adaptarem da melhor forma a Lei, dentro do framework que criamos, quero compartilhar uma das ferramentas que desenvolvemos e nos auxiliam e dão conforto aos gestores quanto a conformidade e o caminho (e investimentos) a serem empregados. A nossa maior preocupação desde o início foi: uma planilha Excel ou ações pré-determinadas não devem confortar, a decisão deve ser estruturada.
Nesse contexto, destaco o fragmento abaixo do § 2º do Art. 50:
[...] o controlador, observados a estrutura, a escala e o volume de suas operações, bem como a sensibilidade dos dados tratados e a probabilidade e a gravidade dos danos para os titulares dos dados, poderá:
I - Implementar programa de governança em privacidade [...]
Entendo que a Lei destaca que o programa de governança em privacidade, isto é, todos os controles administrativos, físicos e tecnológicos aplicados, devem ser adequados ao tipo de organização, ou seja, a sua criticidade quando a LGPD.
Assim, após realizar a coleta, identificação e classificação dos dados pessoais, empregamos a ferramenta abaixo para, de forma estruturada, classificar as áreas quando a sua criticidade.
O seu emprego é bem simples, sendo o pré-requisito profundo entendimento para aplicar dois critérios em cada área analisada, são eles:
Como resultado é obtida a matriz abaixo:
Fonte: Software INTERISK
Por meio dela são destacadas as áreas que possuem maior ou menor criticidade e, o conjunto da criticidade das áreas provê o nível de risco da organização. Como resultado, para a fase de implementação da LGPD, a matriz:
-
Norteia os gestores a entenderem a criticidade do negócio sob a ótica da LGPD;
-
Como consequência do entendimento, os investimentos possuem maior fundamentação, evitando gastos com soluções excelentes e custosas, mas desnecessárias sob o aspecto de criticidade; e
-
Maior foco pela equipe de implementação, uma vez que os esforços necessários são altos, prevenindo que grandes lapsos não sejam observados e, posteriormente, sanções de grande envergadura sejam aplicadas. O foco deve ser nas áreas de maior criticidade.
Além da implementação, há pessoas que esquecem que haverá “vida” após essa fase, e a estrutura deve ser mantida, com aplicação de rotinas, verificações em controles, análises e gerenciamento de eventuais crises. Cabe destacar que essa fase talvez não seja tão “glamurosa” como nesse momento, mas é a principal. Assim, essa matriz possibilita o DPO a definir quais áreas devem:
-
Ser mais treinadas e orientadas; e
-
Ser alvo de fiscalização e avaliações.
Ferramentas como a apresentada possibilita foco, evitando desgastes e custos desnecessários, agregando enorme valor à organização.