[LGPD] O Framework de Implantação

Atualizado: 12 de Dez de 2019



Após o lançamento do programa LGPD, os profissionais e empresas enfrentam o desafio de fazer a transição dos artigos da lei e seus resultados para o dia-a-dia, bem como implantar um conjunto de processos que se tornarão parte do modelo padrão de processos organizacionais.

O modelo de processos agrupa as atividades em torno de nove processos centrais. Para cada processo central, existem vários subprocessos que cobrem aspectos detalhados de dados pessoais em conformidade com a LGPD.


Entenda:



FRAMEWORK DE PROCESSOS LGPD

Este framework cobre os requisitos e artigos da LGPD e é baseado em boas práticas de governança e segurança da informação, como ITIL, COBIT, ISO27K, ISO20K, ISO29100, e para implantação, os profissionais devem aproveitar as práticas de governança já existentes e utilizados na organização.



1 Manter a Governança de Dados
Ao tratar dados pessoais, as empresas devem fornecer uma governança abrangente para garantir conformidade com os requisitos da LGPD. Os processos de governança devem possibilitar todos os envolvidos (funcionários, internos e externos) a contar em um conjunto definido de princípios, políticas e procedimentos que definem claramente e explicam como os dados pessoais podem ser processados e tratados.

1.1 Estabelecer framework de Proteção da Dados Pessoais

O processo de proteção de dados pessoais deve estar alinhado ou fazer ligações com os procedimentos operacionais, segurança da informação e normas de governança e definir claramente as finalidades, limitações e controles, expressando orientação da alta direção, modelos e ferramentas que abordam os aspectos do processamento de proteção de dados pessoais.


1.2 Gestão do Registro de Processamento (logs)

Registros devem ser completos, atualizados, mantidos e apresentados em formatos aditáveis.


1.3 Gestão das Regras para Consentimento

O consentimento para coleta e o processamento de dados pessoais deve ser regido por um conjunto definido de regras que são comunicadas e formalizadas em procedimentos operacionais. No mínimo, o consentimento deve cobrir transparência, tipos de consentimento, retirada do consentimento pelos titulares de dados, controles e verificação para o consentimento de crianças e adolescentes, incluindo verificação apropriada de idade, autoridade parental, bem como o consentimento dos pais os reesposáveis, além de canais de comunicação com simplicidade de linguagem para consentimento.


1.4 Gestão de Solicitações de Dados Pessoais

Os direitos dos titulares de solicitar informações, alterações ou retificações devem ser regidos por um conjunto definido de regras. O processo deve abranger aspectos como recebimento das solicitações referentes a dados pessoais, respostas formais e Interfaces para outros processos.


1.5 Gestão de Reclamações de Dados Pessoais

As reclamações dos titulares de dados, seja diretamente ou por meio da autoridade nacional, devem ser gerenciadas por um conjunto definido de regras e formalizadas em procedimentos operacionais, devendo cobrir: Recebimento formal das solicitações de reclamações de