[ editar artigo]

Sistema de Gestão de Privacidade e Proteção de Dados: Definição de um framework

Sistema de Gestão de Privacidade e Proteção de Dados: Definição de um framework

 

Para você que já sabe da importância da Lei Geral de Proteção de Dados Pessoais – LGPD e seus impactos na gestão e processos das empresas, venho falar hoje do processo de implementação do Sistema de Gestão de Privacidade e Proteção de Dados – SGPD, apto a demonstrar cumprimento das obrigações previstas no citado dispositivo legal.

Mas afinal, a implementação de um Sistema de Gestão de Privacidade e Proteção de Dados é um projeto da área de TI, do jurídico, da controladoria ou da direção da empresa? Começando por aqui, é importante deixar claro que estamos falando de compliance e quando falamos em compliance não podemos deixar de observar os pilares. Tone of the top! Portanto, a implementação do Sistema de Gestão de Privacidade e Proteção de Dados precisa ter o suporte da alta direção e ser visto como um projeto da empresa e não como iniciativa isolada de determinado setor.

OK! Projeto da Empresa. E agora, para aonde ir? Se é da empresa, é todos, se é de todos, pode não ser de ninguém. Então, quem deve se envolver? Quais normas devem ser observadas? Quais as obrigações da empresa? Quem são os agentes ? Como demonstrar o cumprimento das obrigações legais e adequação às normas?

Essa angústia paira por aí também?

Estes primeiros passos geralmente estão acompanhados de muitas dúvidas. Para respostas a todas estas questões, organização, definição de prioridades e responsabilidades é fundamental que a empresa adote um framework de Privacidade e Proteção de Dados.

Mas o que é um framework?

Framework é um quadro que permite uma visão geral ou estruturada de itens interligados que suportam uma abordagem direcionada para objetivos predefinidos. Trata-se de um conjunto estruturado de diretrizes e práticas que trazem os requisitos de conformidade regulatórios que se aplicam a uma organização, seus processos, políticas e controles de negócios.

Pode ser desenvolvido para qualquer projeto empresarial.  Sob a égide da Lei Geral de Proteção de Dados Pessoais, será um Framework de Privacidade e Proteção de Dados Pessoais. E este tipo de framework proporciona uma forma estruturada de gestão de tal maneira que as organizações são capazes de cumprir leis complexas, inclusive a nível internacional.

Há duas maneiras de estruturar. A primeira, é desenvolver internamente um quadro que se adeque ao seu core business. Certamente esta é a mais morosa, cara e com pouca chance de deixar a empresa no caminho para conformidade até a entrada em vigor da legislação nacional. A segunda, está baseada nas melhores práticas já estabelecidas e pode ser um caminho mais rápido e menos oneroso para a conformidade.

Qualquer framework a ser utilizado incluem três categoria: pessoas, processos e tecnologia.

A LGPD, assim como o Regulamento Europeu consigna que os Sistema de Gestão de Privacidade e Proteção de Dados tenha por base as melhores práticas estabelecidas, para tanto, não há necessidade de reinventar a roda. Existem no mercado normas e padrões internacionais de Segurança da Informação, Privacidade e Proteção de Dados que podem (e devem) ser usadas como ferramentas aptas a demonstrar o cumprimento dos requisitos legais.

Sem demérito dos demais, minha sugestão é pelo framework oferecido pela família da ISO/IEC. Principais normas:

  • 27001 - Requisitos para o SGSI
  • 27002 - Código de prática para controles de segurança da informação
  • 27003 - Diretrizes para implantação de um SGSI
  • 27005 - Gestão de riscos de segurança da informação
  • 27701 – Gestão da Privacidade da Informação
  • 29100 – Framework de Privacidade

Assim, as empresas que ainda não possuem um framework definido, podem usar essas  estruturas padronizadas para dar um salto em direção à conformidade; as que já utilizam podem obter certificações que aumentarão sua credibilidade entre  consumidores e demais stakeholders e, ao mesmo tempo, demonstrar aos reguladores seu olhar estratégico e disruptivo.

Desta forma, definido seu framework com base nas melhores práticas sugeridas (neste caso pela ISO/IEC), podemos dividir a implementação do Sistema de Gestão de Privacidade e Proteção de Dados em cinco fases.

  1. Preparação: Preparação inicial da empresa para a proteção de dados e privacidade
  2. Organização: Definição de estruturas organizacionais e mecanismos para as necessidades de Proteção de Dados e Privacidade da empresa
  3. Desenvolvimento e Implementação: das medidas e controles
  4. Governança: estabelece mecanismos para a governança
  5. Avaliação e Melhoria: Avaliação constante. O processo não é estático.

No próximo artigos falaremos sobre a fase de preparação.

Defina seu framework e mãos a obra.

 


Referências:

Kyriazoglou, J., Data Protection and Privacy Management System. Data Protection and Privacy Guide - Vol. 1

www.itgovernance.co.uk

Lei Geral de Proteção de Dados Pessoais: Lei 13.709, de 14/08/2018 . Disponível em http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm

ISO/IEC. Relação de Normas. Disponível em https://standards.iso.org/ittf/PubliclyAvailableStandards/index.html

 

Comunidade Legal Hub
Laura Carvalhal
Laura Carvalhal Seguir

Mestre em Direito pela UFSC. Esp. em Direito Digital e Compliance. Advogada nas áreas cível e empresarial, preventivo e contencioso, desde 2007. Professora universitária desde 2009. Associada IAPP e Certificada EXIN PD&P e ISO27001.

Ler matéria completa
Indicados para você