Símbolo do Jus.com.br Jus.com.br
Artigo

Checklist de Conformidade à LGPD/GDPR

Gustavo Rocha
Gustavo Rocha
17/04/2019 às 10:14
Leia nesta página:

Checklist de Conformidade à LGPD/GDPR

Importante ressaltar que temos muito conteúdo sendo produzido atualmente em relação a Lei Geral de Proteção de Dados, sem, no entanto, muitos destes conteúdos repetirem mais do mesmo sem dizer o como fazer, apenas aduzindo que existe isto ou aquilo.

Neste sentido, Fernando Marinho no seu perfil do LinkedIn fez um trabalho diferenciado, mostrando um caminho mais prático e efetivo para fazer acontecer como um negócio a LGPD.

Sugiro a leitura e contato com o autor que se mostrou muito solícito a trocar mais ideias.

Checklist de Conformidade à LGPD/GDPR

Pois é: fazer difícil é fácil. Difícil é fazer fácil. Sempre digo isso aos meus alunos.

E por isso estou publicando esse artigo, abordando um checkist para verificarmos se sua organização atende à LGPD/GDPR.

O princípio da responsabilidade é fundamental para o atendimento aos requisitos da LGPD/GDPR (Lei Geral de Proteção de Dados/Regulamento Geral de Proteção de Dados): organizações que processam dados pessoais, devem não só cumprir, mas também serem capazes de demonstrar o seu cumprimento, com os requisitos destas ordenações.

A lista abaixo indica oito itens essenciais que devem existir, para garantir que você demonstre conformidade da sua organização, com a LGPD/GDPR.

1. Estabelecer uma estrutura de prestação de contas e governança

A conformidade com a LGPD/GDPR exige o suporte da Alta Gestão. Portanto, é essencial que a diretoria entenda as implicações da Lei – tanto positivas quanto negativas – para garantir os recursos necessários para alcançar e manter a conformidade.

O que você precisa fazer

• Apresentar à Alta Gestão os riscos e oportunidades da LGPD/GDPR.

• Obter suporte de gerenciamento para um projeto de conformidade com a LGPD/GDPR.

• Atribuir a responsabilidade pela LGPD/GDPR a uma pessoa da Diretoria.

• Incorporar o risco de proteção de dados na estrutura de gerenciamento de riscos corporativos e controles interno.

2. Escopo e planejamento do projeto

Depois de obter suporte de nível superior, você precisará descobrir quais áreas de sua organização se enquadram no escopo da LGPD/GDPR e considerar quais processos existentes podem ser afetados, auxiliando em seus esforços de conformidade.

O que você precisa fazer:

• Nomear e capacitar um gerente de projeto e indicar/nomear um Encarregado de Dados ou DPO (oficial de proteção de dados), se necessário.

• Identificar quais entidades estarão no escopo: unidades de negócios, filiais, terceirizados, localidades, etc.

• Identificar padrões ou sistemas de gerenciamento que possam fornecer uma estrutura para conformidade. Por exemplo: a ISO 27001 demonstra atendimento às melhores práticas de gerenciamento de segurança da informação e proteção de dados.

• Avalie o princípio da proteção de dados incorporado e, por padrão, em relação a processos e sistemas, atuais ou novos.

• Considere as implicações de regras e Leis anteriores à LGPD/GDPR, no seu planejamento.

3. Realizar um inventário de dados e uma auditoria de fluxo de dados

É impossível cumprir os requisitos de processamento de dados da LGPD/GDPR, se você não entender completamente quais dados processa e como você os processa.

O que você precisa fazer:

• Avalie as categorias de dados mantidos, a origem e a base legal para o processamento.

• Mapeie os fluxos de dados de, para, através e da própria organização.

• Use o mapa de dados para identificar os riscos em suas atividades de processamento de dados, indicando se um DPIA (análise de impacto na proteção de dados) é necessário.

• Criar a documentação do Artigo 30 – o registro de atividades de processamento de dados pessoais, com base na auditoria do fluxo de dados e da análise do inventário.

4. Realize uma análise detalhada de brechas

A abordagem sensata da conformidade estabelece o que você ainda não faz – avaliar seus fluxos de trabalho, processos e procedimentos atuais – para identificar as lacunas que você precisa preencher.

O que você precisa fazer

• Auditar sua posição de conformidade atual em relação aos requisitos da LGPD/ GDPR.

• Identificar as lacunas de conformidade que exigem correção.

5. Desenvolver políticas, procedimentos e processos operacionais

Fornecemos uma avaliação no local de suas práticas de gerenciamento de privacidade e processamento de dados, produzindo um relatório resumido das suas lacunas de conformidade e fornecendo recomendações de correção.

O que você precisa fazer

• Garantir que as políticas de proteção de dados e os avisos de privacidade estejam alinhados com a LGPD/GDPR.

• Sempre que precisar de consentimento, assegurar que atenda aos requisitos da LGPD/GDPR.

• Revise os contratos de funcionários, clientes e fornecedores e atualize, se necessário.

• Planejar como reconhecer e lidar com as solicitações de acesso de sujeitos dos dados, fornecendo respostas dentro do prazo estipulado.

• Tenha um processo para determinar se é necessária Análise de Impacto de Privacidade.

• Analise se os mecanismos para transferências externas de dados são compatíveis com a proteção interna.

6. Proteger os dados pessoais através de medidas processuais e técnicas

A LGPD/GDPR exige que as organizações implementem “medidas técnicas e organizacionais apropriadas” para garantir que os dados pessoais sejam processados apropriadamente.

O que você precisa fazer

• Ter uma política de segurança da informação em vigor.

• Ter uma política de privacidade em vigor.

• Praticar controles técnicos básicos, como os especificados por estruturas estabelecidas como o Cyber Essentials.

• Usar criptografia e /ou anonimizacão e /ou pseudonimização, quando apropriado.

• Garantir que políticas e procedimentos sejam implementados para detectar, relatar, investigar e responder a violações de dados pessoais. 

7. Comunicações

Manter sua conformidade com a LGPD/GDPR depende muito de sua equipe entender corretamente o que deve fazer e por quê. Todos os envolvidos no processamento de dados devem ser adequadamente capacitados e treinados para seguir processos e procedimentos definidos.

O que você precisa fazer

• A conformidade com o LGPD/GDPR é um projeto de mudança de negócios – comunicações internas eficazes com as partes interessadas e a equipe são essenciais.

• Os funcionários precisam entender a importância da proteção de dados e serem treinados nos princípios básicos de LGPD/GDPR e nos procedimentos que estão sendo implementados para garantir a conformidade.

8. Monitorar e auditar a conformidade

A conformidade com o GDPR é um projeto dinâmico – realizando uma jornada em vez de buscar um destino. Você deve executar auditorias internas periódicas e atualizar seus processos de proteção de dados, incluindo a verificação de seus registros de atividades de processamento (logs), mecanismos de consentimento, testes de controles de segurança de informações e a realização de Análises de Impacto na Privacidade (PIAs).

O que você precisa fazer

• Agendar auditorias regulares de atividades de processamento de dados e controles de segurança.

• Manter registros do processamento de dados pessoais atualizados.

• Empreender DPIAs e PIAs, quando necessário.

Espero ter auxiliado você, que terminou de ler esse pequeno artigo. Obviamente existe muito mais, que não caberia aqui. Busque acessaar meus outros artigos aqui mesmo no Linkedin e talvez você encontre mais alguma coisa que ainda não sabe sobre este tema.

Se ainda tiver dúvidas, visite meu site pessoal (ver abaixo) e podemos conversar sem compromisso.

Meu nome é Fernando Marinho, sou consultor de empresas especialista em Continuidade de Negócios, Privacidade & SI, Gestão de Riscos e de Crises. Professor de Pós Graduação na UFRJ e autor de livros sobre o que faço. Se quiser conhecer mais sobre meu trabalho, visite o site da minha empresa emhttp://www.epokaconsutoria.com.br

FONTE: HTTPS://WWW.LINKEDIN.COM/PULSE/CHECKLIST-DE-CONFORMIDADE-%C3%A0-LGPDGDPR-FERNANDO-MARINHO/

Depois de todas estas ideias, resta uma coisa a ser dita: Mãos a obra!

Bora executar o dito acima e criar caminhos para que esta lei tenha um impacto pequeno, quiçá inexpressivo nos clientes empresariais ou ainda, pelo menos, que não seja por falta de conhecimento, aviso ou alerta que o cliente não faça o que você indicou!

#FraternoAbraço

Gustavo Rocha
Consultoria GustavoRocha.com  |  Gestão, Tecnologia e Marketing Estratégicos
Robôs  | Inteligência Artificial  |  Jurimetria
(51) 98163.3333  | [email protected]  | www.gustavorocha.com

Sobre o autor
Imagem do autor Gustavo Rocha
Gustavo Rocha

Professor da Pós Graduação, coordenador de grupos de estudos e membro de diversas comissões na OAB. Autoridade em Inteligência Artificial – IA no setor jurídico (chat gpt, Gemmini, Copilot e muito mais!). Consultor em gestão, tecnologia e marketing jurídico. Também sou craque em Privacidade e implementação de LGPD! Vamos conversar? Envie um e-mail ou mensagem pelo Microsoft Teams: [email protected] Prefere contato direto? WhatsApp ou Telegram: (51) 98163.3333

Informações sobre o texto

Este texto foi publicado diretamente pelos autores. Sua divulgação não depende de prévia aprovação pelo conselho editorial do site. Quando selecionados, os textos são divulgados na Revista Jus Navigandi

Leia seus artigos favoritos sem distrações, em qualquer lugar e como quiser

Assine o JusPlus e tenha recursos exclusivos

  • Baixe arquivos PDF: imprima ou leia depois
  • Navegue sem anúncios: concentre-se mais
  • Esteja na frente: descubra novas ferramentas
Economize 17%
Logo JusPlus
JusPlus
de R$
29,50
por

R$ 2,95

No primeiro mês

Cobrança mensal, cancele quando quiser
Assinar
Já é assinante? Faça login
Publique seus artigos Compartilhe conhecimento e ganhe reconhecimento. É fácil e rápido!
Colabore
Publique seus artigos
Fique sempre informado! Seja o primeiro a receber nossas novidades exclusivas e recentes diretamente em sua caixa de entrada.
Publique seus artigos