Captura_de_Tela_2020-08-05_às_10.01.16

Gestão de Risco e Lei Geral
de Proteção de Dados (LGPD)

Mario Alves W. de Souza, MSc, MBA, MBS, CIEIE, CIEAC, CEGRC

Gerente de Gestão de Riscos da Brasiliano INTERISK

Julho | 2020

Vivemos a adequação à Lei Geral de Proteção de Dados. Algumas poucas empresas evoluídas no assunto e a grande maioria em processo a “passos curtos”, fruto da indefinição de sua vigência aliada a crise sem precedentes que estamos passando, onde todos os esforços foram centralizados em sobreviver ou, para as que se beneficiam com esse cenário, aproveitar a oportunidade.

A legislação é relativamente simples quanto ao seu objetivo, que resumo em:

  • Proteger os dados pessoais e privacidade das pessoas;

  • Impedir abusos, solicitando dados desnecessários visando benefícios de mercado ou, no pior caso, ações discriminatórias.

 

Quanto aos controles a serem aplicados, também não vejo nenhum mistério, apesar da histeria que existe, principalmente de mais profissionais/consultorias que visam somente lucro. O segredo está em:

  • Ler a legislação ponto a ponto e separar as obrigatoriedades; 

  • Analisar os anexos da ISO 27701/2019, que além de estar bem alinhadas a legislação, aborda as questões relacionadas as tecnologias e outros processos importantes para a adequação.

 

Tudo isso é muito simples, resumindo, teremos:

  • O entendimento do intuito da Lei, que é um grande avanço e responde a várias perguntas;

  • O que deve ser obrigatoriamente adequado, com base na lei, o que pode ser adequado, com base na norma;

  • Inventários de dados, contemplando todo o ciclo de vida dos dados, coleta, tratamento, armazenamento e descarte.

 

Mas o que a legislação tampouco a norma não abordam, é que todo esse esforço não passa de um Sistema de Gestão de Dados Pessoais (SGDP) e, alinhado as demais normas de Sistema de Gestão (ISO 9001, 14001, 45000, 27001 e outras diversas), entender onde está o ponto mais crítico é essencial.

Assim, antes de elaborar dezenas de planos de ação e despender investimentos, deve-se entender onde estão as maiores criticidades, para que controles mais robustos sejam aplicados nos pontos certos. Nesse sentido, destaco algumas ferramentas que, na minha visão, devem ser aplicadas:

  • Matriz de Criticidade das Áreas – LGPD: já exposta em artigo anterior¹, tem por objetivo entender quais áreas se expõem de forma mais significativa no tratamento de dados pessoais. Essas áreas devem ter mais controle, bem como, toda a equipe da área deve possuir maior entendimento e envolvimento à LGPD.

 

  • Matriz de Risco – LGPD: uma dúvida paira nesse ponto, porém, o item VII, do Art. 6º da LGPD expõe indiretamente os riscos que devemos analisar e avaliar - proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão.

 

A LGPD se diferencia de outras legislações, pois, não somente impõe diretrizes a serem seguidas de forma igual por todas as organizações. Não é um sistema binário de “sim ou não”. Vai além disso, estabelece uma essência pautada em diretrizes cujo grau de criticidade dos dados pessoais e formas de tratamento deve determinar o nível de controles a serem aplicados.

Além disso, não basta apenas implementar, como num típico Sistema de Gestão, deve-se verificar os controles periodicamente. A Auditoria Baseada em Riscos (ABR) é altamente aplicável.  

Concluindo, a sua aplicação é totalmente multidisciplinar, deve envolver advogados, especialistas em riscos e especialista em segurança da informação, além de utilizar estruturas de sistema de gestão já existentes, como da Qualidade (ISO 9001). Uma planilha com o mapeamento de dados pessoais coletados com centenas de linhas, a análise da legislação e adoção de controles de segurança da informação não basta, deve-se buscar o entendimento dos dados, a criticidade e a integração com demais áreas da organização.

Haverá um dia em que Proteção de Dados será algo tão normal, estará na consciência de todos os colaboradores e gestores, que não haverá nenhum estardalhaço midiático, pois, na essência, é muito simples, basta focar onde está a sua maior criticidade.       

Nossas redes sociais
Brasiliano INTERISK
Contato
  • Facebook - Grey Circle
  • LinkedIn - Grey Circle
  • YouTube - Grey Circle

Rua Barão de Jaceguai, 1768 - Campo Belo
São Paulo - SP - CEP: 04606-004