Matriz de Criticidade das Áreas de LGPD

Mario Alves W. de Souza, MBA, MBS, CIEIE

Gerente de Consultoria da Brasiliano INTERISK

Janeiro | 2020

Estamos próximos da entrada em vigor da LGPD, agosto de 2020. Isso se não for aprovada a PL 5.762/19, de autoria do deputado Carlos Bezerra (MDB-MT), que propõe adia-la em dois anos, vigorando a partir de 15 de agosto de 2022.

Abrindo um parêntese, quanto a esse tema, que se encontra aguardando o parecer do relator na Comissão de Constituição e Justiça e de Cidadania (CCJC), como opinião particular, acredito que o congresso nacional adotará um meio termo, com a concessão de um período de adaptação onde não haverá multas, apenas notificações.

Seguindo no tema propósito, independente de quando ocorrer a entrada em vigor e, apesar da legislação não abordar de forma direta, não vejo formas de adaptação a LGPD sem que haja uma avaliação de riscos.

Nos projetos que estamos em curso, ajudando as empresas a entenderem o seu negócio e se adaptarem da melhor forma a Lei, dentro do framework que criamos, quero compartilhar uma das ferramentas que desenvolvemos e nos auxiliam e dão conforto aos gestores quanto a conformidade e o caminho (e investimentos) a serem empregados. A nossa maior preocupação desde o início foi:  uma planilha Excel ou ações pré-determinadas não devem confortar, a decisão deve ser estruturada.

Nesse contexto, destaco o fragmento abaixo do § 2º do Art. 50:

[...] o controlador, observados a estrutura, a escala e o volume de suas operações, bem como a sensibilidade dos dados tratados e a probabilidade e a gravidade dos danos para os titulares dos dados, poderá:

I - Implementar programa de governança em privacidade [...]

Entendo que a Lei destaca que o programa de governança em privacidade, isto é, todos os controles administrativos, físicos e tecnológicos aplicados, devem ser adequados ao tipo de organização, ou seja, a sua criticidade quando a LGPD.  

Assim, após realizar a coleta, identificação e classificação dos dados pessoais, empregamos a ferramenta abaixo para, de forma estruturada, classificar as áreas quando a sua criticidade.

O seu emprego é bem simples, sendo o pré-requisito profundo entendimento para aplicar dois critérios em cada área analisada, são eles:

Como resultado é obtida a matriz abaixo:

Fonte: Software INTERISK 

Por meio dela são destacadas as áreas que possuem maior ou menor criticidade e, o conjunto da criticidade das áreas provê o nível de risco da organização. Como resultado, para a fase de implementação da LGPD, a matriz:

  • Norteia os gestores a entenderem a criticidade do negócio sob a ótica da LGPD;

  • Como consequência do entendimento, os investimentos possuem maior fundamentação, evitando gastos com soluções excelentes e custosas, mas desnecessárias sob o aspecto de criticidade; e

  • Maior foco pela equipe de implementação, uma vez que os esforços necessários são altos, prevenindo que grandes lapsos não sejam observados e, posteriormente, sanções de grande envergadura sejam aplicadas. O foco deve ser nas áreas de maior criticidade.

 

Além da implementação, há pessoas que esquecem que haverá “vida” após essa fase, e a estrutura deve ser mantida, com aplicação de rotinas, verificações em controles, análises e gerenciamento de eventuais crises. Cabe destacar que essa fase talvez não seja tão “glamurosa” como nesse momento, mas é a principal. Assim, essa matriz possibilita o DPO a definir quais áreas devem:

  • Ser mais treinadas e orientadas; e

  • Ser alvo de fiscalização e avaliações.

 

Ferramentas como a apresentada possibilita foco, evitando desgastes e custos desnecessários, agregando enorme valor à organização.

Conheça o Software INTERISK, solicite uma demonstração!

Nossas redes sociais
Brasiliano INTERISK
Contato

Rua Barão de Jaceguai, 1768 - Campo Belo
São Paulo - SP - CEP: 04606-004

  • Facebook - Grey Circle
  • LinkedIn - Grey Circle
  • YouTube - Grey Circle