[LGPD] O Framework de Implantação

Após o lançamento do programa LGPD, os profissionais e empresas enfrentam o desafio de fazer a transição dos artigos da lei e seus resultados para o dia-a-dia, bem como implantar um conjunto de processos que se tornarão parte do modelo padrão de processos organizacionais.

O modelo de processos agrupa as atividades em torno de nove processos centrais. Para cada processo central, existem vários subprocessos que cobrem aspectos detalhados de dados pessoais em conformidade com a LGPD.

Entenda:

FRAMEWORK DE PROCESSOS LGPD

Este framework cobre os requisitos e artigos da LGPD e é baseado em boas práticas de governança e segurança da informação, como ITIL, COBIT, ISO27K, ISO20K, ISO29100, e para implantação, os profissionais devem aproveitar as práticas de governança já existentes e utilizados na organização.

1 Manter a Governança de Dados

Ao tratar dados pessoais, as empresas devem fornecer uma governança abrangente para garantir conformidade com os requisitos da LGPD. Os processos de governança devem possibilitar todos os envolvidos (funcionários, internos e externos) a contar em um conjunto definido de princípios, políticas e procedimentos que definem claramente e explicam como os dados pessoais podem ser processados e tratados.

1.1 Estabelecer framework de Proteção da Dados Pessoais

O processo de proteção de dados pessoais deve estar alinhado ou fazer ligações com os procedimentos operacionais, segurança da informação e normas de governança e definir claramente as finalidades, limitações e controles, expressando orientação da alta direção, modelos e ferramentas que abordam os aspectos do processamento de proteção de dados pessoais.

1.2 Gestão do Registro de Processamento (logs)

Registros devem ser completos, atualizados, mantidos e apresentados em formatos aditáveis.

1.3 Gestão das Regras para Consentimento

O consentimento para coleta e o processamento de dados pessoais deve ser regido por um conjunto definido de regras que são comunicadas e formalizadas em procedimentos operacionais. No mínimo, o consentimento deve cobrir transparência, tipos de consentimento, retirada do consentimento pelos titulares de dados, controles e verificação para o consentimento de crianças e adolescentes, incluindo verificação apropriada de idade, autoridade parental, bem como o consentimento dos pais os reesposáveis, além de canais de comunicação com simplicidade de linguagem para consentimento.

1.4 Gestão de Solicitações de Dados Pessoais

Os direitos dos titulares de solicitar informações, alterações ou retificações devem ser regidos por um conjunto definido de regras. O processo deve abranger aspectos como recebimento das solicitações referentes a dados pessoais, respostas formais e Interfaces para outros processos.

1.5 Gestão de Reclamações de Dados Pessoais

As reclamações dos titulares de dados, seja diretamente ou por meio da autoridade nacional, devem ser gerenciadas por um conjunto definido de regras e formalizadas em procedimentos operacionais, devendo cobrir: Recebimento formal das solicitações de reclamações de dados pessoais, análise de reclamações, incluindo interfaces organizacionais, legais e técnicas dentro da empresa, definição e implementação de remediação, resposta formal, incluindo os canais de comunicação, formatos pré-definidos e identificação de lacunas ou fraquezas potenciais que levam à reclamação e oportunidades de melhoria.

1.6 Gestão da Garantia de Gestão Imparcial

A supervisão deve ser regida por um processo que defina os papéis e responsabilidades, escopo, frequência e objetivos das atividades de supervisão. Atividades incluem: definição de papeis e responsabilidades (RACI), garantindo a supervisão imparcial e atividades da supervisão.

2 Coletar, Identificar e Classificar Dados Pessoal

Gerenciar e controlar a coleta de novos dados pessoais, identificação dos dados pessoais existentes e classificação de acordo com a LGPD e com o princípio da minimização de dados.

2.1 Gestão do Ciclo de Vida

Os dados pessoais devem ser gerenciados usando um ciclo de vida relacionado com a classificação do dado, desde a coleta inicial até o arquivamento e eliminação.

2.2 Gestão da Identificação dos Dados Pessoais

As empresas devem garantir que todos os dados pessoais existentes (ex. Funcionários, Terceiros, Clientes) dentro de sua esfera de controle sejam devidamente identificados e documentados. Isso engloba ativos de informação existentes e dados pessoais recém coletados (por exemplo, um novo processo de negócios que está sendo introduzido).

2.3 Gestão da Classificação dos Dados Pessoais

Os dados pessoais devem ser qualificados através de um processo definido que inclua mecanismos de classificação e níveis de classificação. Tais como a análise do nível de proteção em segurança da informação, e garantia que os dados pessoais são corretamente reconhecidos e tratados de acordo com a LGPD.

2.4 Gestão do Registro de Dados Pessoais

Os dados pessoais devem ser documentados em um registro que seja auditável e completo. O registro deve fornecer uma fonte definitiva do que está sendo processado e porquê. Devendo abordar: Tipos e formatos de dados, incluindo dados não mantidos em formatos eletrônicos, localização, cópias, imagens virtualizadas e em nuvem. O processo de registro de dados pessoais deve ser atribuído a um proprietário administrativo. Uma matriz RACI é recomendada.

2.5 Gestão de Dados Pessoais Sensíveis

Os dados pessoais pertencentes a categorias especiais devem ser gerenciados com cuidado e cautela adicionais, fornecendo uma razão e legitimação para o processamento.

2.6 Gestão de Exclusão da Dados Pessoais

O processo de gerenciamento de eliminação deve conter etapas apropriadas para garantir que os dados pessoais a serem excluídos sejam identificados, verificados e realmente apagados. O resultado da eliminação deve ser comunicado a todas as partes interessadas, tanto internamente quanto externamente.

3 Gerenciar Riscos de Dados Pessoais

O processamento de dados pessoais está sujeito a vários riscos pré-definidos que devem ser identificados, avaliados e tratados de forma adequada. O impacto potencial desses riscos deve ser avaliado em razão de medidas de mitigação de risco. O processo de gerenciamento de riscos deve gerenciar ainda o risco residual, usando processos reconhecidos e padronizados. Os subprocessos são:

3.1 Realizar Avaliação de Riscos

3.2 Conduzir Avaliação de Impacto da Proteção de Dados

3.3 Gerenciar o Tratamento de Risco

3.4 Realizar a Validação de Risco

4 Gerenciar Segurança de Dados Pessoais

O processamento de dados pessoais requer segurança adequada, eles devem ser tratados em conformidade e com nível de proteção em termos de confidencialidade, integridade e disponibilidade.

4.1 Gerenciar Anonimato

Anonimização é importante medida de segurança aplicada a dados pessoais, pois impossibilita a identificação direta ou indireta de pessoas físicas.

4.2 Gerenciar Criptografia

A criptografia é uma medida de segurança essencial para proteger dados pessoais. Deve basear-se em algoritmos reconhecidos, ferramentas e técnicas para garantir integridade e robustez.

4.3 Gerenciar Níveis de Proteção

Os níveis de proteção padronizados para confidencialidade, integridade e disponibilidade devem ser aplicados aos dados pessoais, bem como quaisquer outros ativos de informação.

4.4 Gerenciar Recuperação

Os dados pessoais devem ser protegidos contra perda, alteração ou indisponibilidade acidental para garantir o processamento controlado. O processo deve cobrir planos de recuperação de conjuntos de dados pessoais e Backup e restauração para conjuntos de dados pessoais. Este processo deve ser integrado ao processo de gerenciamento de incidentes, aproveitando ferramentas e técnicas.

4.5 Gerenciar Acessos

O gerenciamento de acessos (físico e logico) aos dados pessoais deve ser controlado e gerido de acordo com os requisitos da LGPD e os princípios de necessidade e de privilégios reduzidos. Este procedimento deve ser integrado ao processo de gerenciamento de acesso já existente da organização.

4.6 Gerenciar Testes e Maturidade de Segurança

A segurança de dados pessoais deve ser testada e avaliada regularmente.

O teste e a avaliação da segurança de dados pessoais devem ser incorporados em testes e avaliações gerais de segurança da informação. No mínimo, o processo deve abordar testes e avaliações, por exemplo, testes conceituais, varredura de vulnerabilidades e testes de penetração.

5 Gerenciar Dados Pessoais na Cadeia de Suprimentos

Quando os dados pessoais são processados por mais de uma organização, deve ser gerenciado e controlado acordos com a LGPD. O processo de gestão inclui, qualquer departamento ou fornecedor externo que manipulem dados pessoais.

5.1 Gerenciar Controladores

O processo de gerenciamento garante que todos os controladores sejam conhecidos, controlados e que o processamento de dados em toda a cadeia de suprimentos esteja em conformidade com os requisitos da LGPD.

5.2 Gerenciar Fornecedores

Para gestão no tratamento de dados pessoais em mais de uma organização. O processo de gerenciamento garante que todos os fornecedores sejam conhecidos, controlados e que o processamento de dados em toda a cadeia de suprimentos esteja em conformidade com os requisitos da LGPD.

5.3 Gerenciar Acordos de Dados Pessoais (SLAs)

As relações entre controladores e fornecedores devem ser adequadamente definidas, implementadas e controladas. O processo de acordos LGPD fornece um instrumento indispensável para o processamento de dados pessoais.

5.4 Gerenciar Impacto na Cadeia de Suprimentos

Em uma cadeia de suprimentos com vários atores, os impactos resultantes dos riscos de LGPD podem se materializar a qualquer momento, deve-se, portanto, abranger todos os controladores e fornecedores envolvidos no gerenciamento de impacto. Esses envolvidos, devem aplicar sua própria abordagem de LGPD e documentar os resultados de testes, assessment e verificações.

5.5 Gerenciar Controles na Cadeia de Suprimentos

Obtenção e análise da documentação de controles internos e de terceiros como procedimentos de teste de eficácia, amostragem e coleta de evidências que demonstrem controles e procedimentos de monitoramento e revisão de registros, incluindo planejamento e auditorias.

6 Gerenciar Incidentes e Reclamações

Incidentes e violações relacionados a dados pessoais devem ser reportados de acordo com a LGPD. Isto inclui a notificação para supervisão, Autoridade Nacional de Proteção de Dados, bem como as comunicações aos titulares de dados, reais ou potencialmente afetados pela violação.

6.1 Gerenciar as Notificações

O processo de notificação, além de satisfazer os requisitos obrigatórios da LGPD, deve servir como um instrumento que não só comunica a natureza e os detalhes do incidente, mas também demonstra o controle e conscientização de remediação e melhorias.

6.2 Gerenciar Comunicação de Dados Pessoais

A notificação aos titulares dos dados deve satisfazer os requisitos obrigatórios da LGPD e seguir as boas práticas em termos de comunicação. Isso requer um processo que utiliza os canais corretos de comunicação, informação e linguagem apropriadas, mensagens-chave aprovadas explicando a violação no contexto.

6.3 Gerenciamento de Crises

Como a maioria dos incidentes e violações de dados pessoais podem ter grandes consequências, o processo de gerenciamento prevê a escalada para o nível de incidentes ou crises graves, ligando assim as violações de dados pessoais ao gerenciamento de crises dentro da empresa.

6.4 Gestão de Reinvindicações, Reclamações e Evidencias

Garantir provas e justificativa e defesa contra as reclamações resultantes do incidente ou violação. O processo inclui: Procedimentos definidos para coletar e garantir evidências, procedimento e modelos para análise pós-incidente e relatórios, procedimento para fundamentar reclamações contra terceiros e procedimento para preparar defesas contra reclamações de terceiros.

7 Criar e manter a consciência

A proteção de dados e a privacidade como valores fundamentais em uma empresa exigem conhecimento e informações contínuas sobre Proteção de Dados Pessoais. O processo de conscientização suporta todos os outros processos, explicando, comunicando e reforçando os requisitos da LGPD e suas boas práticas. O processo de conscientização inclui educação, treinamento, engajamento e elementos de qualificação para garantir que as empresas tenham os conjuntos de habilidades necessários.

7.1 Manter a Conscientização em Toda a Empresa

O primeiro componente do processo de conscientização aborda a empresa como um todo, criando e mantendo a consciência em todos os níveis. É uma base importante para comunicar os requisitos da LGPD, bem como governança, risco, gestão e conformidade.

7.2 Gerenciar Educação e Habilidades

A LGPD exige um conjunto de habilidades e qualificações que devem estar presentes na empresa. A gestão de competências e educação é um processo essencial para garantir que a LGPD e suas consequências sejam totalmente compreendidos. O processo deve cobrir: definição de habilidades, níveis e requisitos internos para tarefas, mapeamento de habilidades para papéis e funções organizacionais (matriz), identificação de níveis de qualificação adequados e qualificações formais ou certificações.

7.3 Gerenciar Treinamentos

O processo de formação e treinamento deve basear-se nas competências e na matriz de educação, fornecendo conteúdo adequado e relevante aos diferentes destinatários dentro da empresa. O processo de treinamento deve incluir treinamentos obrigatórios e opcionais cobrindo no mínimo, treinamento LGPD básico definido e validado, de preferência obrigatório para todos os membros da empresa, conceito de treinamento baseado nas habilidades e na matriz educacional, plano de treinamento, geralmente anual, incluindo oportunidades de treinamento interno e externo.

8 Organize a função DPO (Data Protection Officer)

A LGPD determina a designação de um oficial de proteção de dados. Um processo é necessário para garantir que, uma vez estabelecido, o DPO realiza tarefas regulares e interaja com outras partes da empresa. Ao fazer isso, o DPO deve garantir ainda a conformidade com leis e regulamentos, estruturado e bem organizado. Os sub-processos incluem:

8.1 Manter a Função do DPO

8.2 Gerenciar Orçamento e Recursos

8.3 Gerenciar Interfaces Organizacionais

8.4 Gerenciar Relatórios

8.5 Gerenciar Serviços Externos

9 Manter Controles Internos

O tratamento de dados pessoais de acordo com a LGPD requer um conjunto abrangente de controles internos que garantam conformidade e fornecem uma garantia razoável.

O processamento deve estar totalmente alinhado com o sistema geral de controles internos operados pela empresa.

9.1 Manter Controles de Coleta de Dados

Os controles de coleta de dados pessoais garantem que qualquer dado que flua para a empresa seja legítimo, de acordo com a lei. O processo para gerenciar esses controles deve identificar os meios de coleta de dados pessoais, bem como os canais de entrada.

9.2 Manter Controles de Processamento

Os dados pessoais devem estar sujeitos a controles que garantam o processamento legal e a adesão ao objetivo definido. Esses controles devem, portanto, ser implementados em todos os estágios do ciclo de processamento. O processo deve cobrir identificação de etapas do processo, entradas e saídas que devem ser controladas e identificação de pontos de entrega para terceiros.

9.3 Manter Controles de Armazenamento

Os dados pessoais em repouso (ou seja, armazenados ou arquivados) estão sujeitos a controles de integridade, disponibilidade e acesso.

9.4 Manter Controles de Exclusão

Os controles de exclusão de dados pessoais devem estar vinculados ao ciclo de vida do processamento de dados para garantir a exclusão.

9.5 Manter Controles de Monitoramento

O processamento, armazenamento, exclusão e qualquer outro uso de dados pessoais estão sujeitos a monitoramento permanente, e devem fazer parte do processo interno de monitoração.

9.6 Realizar Revisão de Qualidade (QA LGPD)

Conforme estabelecido pela LGPD, o tratamento de dados pessoais deve ser revisado de forma independente e de maneira imparcial. O processo de gerenciamento de revisões deve abordar os tipos de revisão, bem como sua frequência e alcance. A gestão de revisões requer etapas de planejamento semelhantes às revisões de QA, incluindo notificação, trabalho de campo, análise, relatórios e revisões de melhoria contínua nos processos.

Inicie aqui o processo de adequação: https://conteudo.grupoassaf.com/adequacao_lgpd

A Lei Geral de Proteção de Dados ainda não está clara para você?

Clique aqui e baixe nosso e-book, é grátis! 😎

Sobre a Assaf

O Grupo Assaf tem como objetivo ajudar empresas de todos os segmentos e portes a entender e implantar a LGPD. Fundada em 2014, Assaf é uma empresa com destaque no cenário nacional especializada na implantação de Governança, LGPD e Processos com foco na necessidade do negócio, eficiência operacional, mitigação de riscos e redução de custos. Na lista de suas atividades estão a implantação de processos ITSM, implantação de ferramentas , LGPD, gerenciamento de projetos, qualidade de software e governança de TI.