Checklist de conformidade da LGPD

Pensando nas últimas notícias preocupantes, visto que pode ser que a Lei Geral de Proteção de Dados passe a vigorar como o previsto anteriormente (agosto de 2020), desenvolvi, no decorrer desses dias pesquisando outros autores e especialistas, um “checklist” para facilitar o seu entendimento do que é necessário para estar em conformidade com a LGPD.

Então, seguem alguns pontos eficazes e práticos que você deve observar para iniciar a implementação da LGPD e deixar sua empresa em conformidade:

• Estabelecer uma estrutura de prestação de contas e governança

De início você deve se preocupar em ter o suporte da alta gestão. Desta forma, é de suma importância que a diretoria entenda as implicações da Lei, tanto o ônus quanto o bônus, pois somente assim poderão ser garantidos os recursos necessários para alcançar e manter a conformidade.

Dito isso, o que é preciso fazer? Deve ser apresentado à alta gestão os riscos e oportunidades da LGPD; obter suporte de gerenciamento para um projeto de conformidade; atribuir a responsabilidade pela LGPD a uma pessoa da Diretoria; incorporar o risco de proteção de dados na estrutura de gerenciamento de riscos corporativos e controles internos.

• Escopo e planejamento do projeto

Uma vez obtido o suporte de nível superior, é necessário descobrir quais áreas de sua organização se enquadram no escopo da LGPD e considerar quais processos existentes podem ser afetados, para que, assim, possa ser desenvolvido em conformidade.

O próximo passo é nomear e capacitar um gerente de projeto e indicar um encarregado de dados ou DPO (data protection officer), se necessário for. Então, deve ser observado e identificado quais entidades estarão no escopo, por exemplo, unidades de negócios, filiais, terceirizados, localidades, etc.

É necessário identificar padrões ou sistemas de gerenciamento que possam oferecer essa estrutura para a conformidade, um exemplo é a ISO 27001, que demonstra atendimento às melhores práticas de gerenciamento de segurança da informação e proteção de dados (esse tema da ISO já foi abordado em um artigo anterior aqui no site).

Tenha uma atenção no princípio da proteção de dados incorporado e, por padrão (temas também já abordados no site “privacy by desing and default”), em relação a processos e sistemas, atuais ou novos. Considere, também, as implicações de regras e Leis anteriores à LGPD no seu planejamento. 

• Realizar um inventário de Dados e uma auditoria de fluxo de dados

Veja bem, você só vai conseguir cumprir os requisitos de processamento de dados da LGPD, se souber completamente quais são esses dados captados.

Por esse motivo, é necessária a avaliação das categorias de dados mantidos, a origem e a base legal para o processamento. Mapeie os fluxos de dados de, para, através e da própria organização. 

Seria importante se utilizasse esse mapa para identificar os riscos em suas atividades de processamento de dados, indicando se uma análise de impacto na proteção de dados é necessária. 

Atente-se para o artigo 30 da LGPD, para a criação do registro de atividades de processamento de dados pessoais, com base na auditoria do fluxo de dados e da análise do inventário. 

• Análise detalhada de brechas

Este ponto é importante para identificar as lacunas que você precisa preencher. Assim, é necessário auditar sua posição de conformidade atual em relação aos requisitos da LGPD.

Desta forma, você irá identificar as lacunas de conformidade que exigem correção.

• Desenvolver políticas, procedimentos e processos operacionais

Avalie o local de suas práticas de gerenciamento de privacidade e processamento de dados, produzindo um relatório resumido de suas lacunas de conformidade, fornecendo recomendações de correção. 

Neste relatório deve haver a garantia que as políticas de proteção de dados e os avisos de privacidade estejam alinhados com a LGPD. Ainda que precise de consentimento, assegure-se de que atenda aos requisitos da lei. 

Revise os contratos de funcionários, clientes e fornecedores e atualiza, se necessário. Planeje como reconhecer e lidar com as solicitações de acesso de sujeitos dos dados, fornecendo respostas dentro do prazo estipulado. 

Veja se é realmente importante um processo para determinar se é necessária a Análise de Impacto de Privacidade. Outro ponto de extrema importância é a análise dos mecanismos para transferências externas de dados, se são compatíveis com a proteção interna. 

• Proteger os dados pessoais atendendo a medidas processuais e técnicas

A LGPD é clara e exige que as organizações implementem “medidas técnicas e organizacionais apropriadas” que garantam que os dados pessoais sejam processados apropriadamente. 

Para isso, você precisa de política de segurança da informação, uma política de privacidade, praticar controles técnicos básicos, como os especificados por estruturas estabelecidas, exemplo Cyber Essentials.

Além disso, use criptografia e/ou anonimização e/ou pseudonimização quando apropriado. Garanta que as políticas e procedimentos sejam implementados para detectar, reatar, investigar e responder a violação de dados pessoais.

• Comunicações

Neste ponto, a importância se dá porque a sua equipe precisa entender corretamente o que deve fazer e por quê. Todos os envolvidos no processamento de dados devem ser adequadamente capacitados e treinados para seguir processos e procedimentos definidos.

Quando você estiver implementando o projeto de conformidade, você estará diante de uma mudança de negócios. As comunicações internas eficazes com as partes interessadas e a equipe, são essenciais para a efetivação do projeto.

Por isso, os funcionários precisam entender a importância da proteção de dados e serem treinados para enquadrar-se nos princípios básicos da LGPD, e nos procedimentos que estão sendo implementados para garantir a conformidade. 

• Monitorar e auditar a conformidade

Quando tratamos do projeto de conformidade, estamos diante de uma dinâmica e multidisciplinaridade. Executar auditorias internas periódicas e atualizar seus processos de proteção de dados, incluindo a verificação de seus registros de atividades de processamento, é extremamente importante. 

Além disso, mecanismos de consentimentos, testes de controles de segurança de informação e a realização de análises de impacto na privacidade se mostram muito relevantes. 

Bem, para iniciar, acredito que estes pontos já sirvam de parâmetro para que você possa desenvolver o projeto de conformidade da LGPD. Obviamente que existem muitos outros pontos que devem ser abordados, cuidados e observados. Mas essas questões podem ser conversadas diretamente comigo, em uma análise mais profunda de seu caso.