Como manter a conformidade de sua organização com a Lei Geral de Proteção de Dados?

Post content  – Muitas empresas que já iniciaram ou concluíram algumas etapas dos seus projetos de adequação à LGPD, agora se perguntam: Como manter a conformidade?

Se você participou de algumas destas atividades iniciais como, por exemplo:

Mapeamento de processos e dados;

Análise de lacunas (gap analysis);

Projetos de remediação e ajustes.

Já deve ter percebido que a conformidade com a LGPD é algo que vai exigir uma atenção constante na operação do negócio.

A "finalização" da fase de inicial adequação apenas tira uma "fotografia" do estado da empresa (operações, controles e outros) naquele exato momento, e, para garantir que a organização mantenha (e melhore) suas práticas em relação à Privacidade e Proteção de Dados, somente será possível com o monitoramento frequente e com ações intencionais.

Assim, preparamos este artigo com algumas ações que julgamos primordiais para sua operação no dia a dia.

Criação de uma cultura de privacidade e proteção de dados através da colaboração entre as áreas

Algo fundamental, que é a base de toda e qualquer ação de privacidade, é que todo o time de sua empresa entenda o que é a Lei Geral de Proteção de Dados, a razão pela qual ela foi criada, os direitos de titulares e que possam ser questionadores constantes – tanto de processos internos quanto de potenciais riscos e vulnerabilidades.

A primeira linha de defesa em Privacidade e Proteção de Dados não é tecnológica. É humana. Desde credenciais comprometidas ao ransomware. Do phishing às más configurações de ambientes.

Então, o primeiro passo na manutenção da conformidade reside no treinamento constante. Incluindo a comunicação e conscientização das atualizações de políticas internas.

Com as capacitações geraremos o pensamento crítico para que toda a atualização de processos e sistemas internos tenha uma análise, um questionamento, sob a ótica de privacidade.

E claro, ter à disposição dos colaboradores, um canal aberto para reporte interno de problemas e preocupações, bem como a facilidade de se conectar com o DPO e/ou time de Privacidade.

Adotar ferramentas e softwares que permitam o monitoramento constante dos tratamentos de dados, considerando as especificidades da LGPD

Ter uma ferramenta que permita o reporte de novos tratamentos pelos respectivos donos de processos e a atualização de tratamentos existentes – embora não seja uma obrigação legal – ajudará sua organização a responder melhor às novas necessidades do mercado e de sua empresa.

Com ferramentas de mapeamento de processos e dados seu time de privacidade conseguirá reagir às demandas com mais rapidez, identificar oportunidades e riscos, e mitigá-los.

Com tais soluções e modelo de trabalho, seu time de privacidade compartilha a responsabilidade pela identificação das necessidades de revisões de tratamentos com os respectivos donos de processos, fomentando a colaboração interna entre as mais diferentes áreas. 

Veja também:

• • Transformação Digital, Startups, Inovação e LGPD
  • DPO Helper – A ferramenta para ajudar sua empresa com mapeamento de tratamentos, processos e sistemas.
  • Saiba mais sobre o ROPA e quando prepará-lo

Observar as decisões acerca da LGPD e adotar conceitos de melhoria contínua

Atividades de privacidade e proteção de dados também são processos elegíveis à melhoria constante! Podemos apontar, ao menos:

• • Revisões constantes das decisões sobre privacidade e proteção de dados, da ANPD e de tribunais. Cascatear os novos entendimentos e abordagens à organização;
  • Revisões frequentes das políticas de TI e de desenvolvimento de Software e Serviços, garantindo que as melhores práticas de mercado estejam sendo consideradas;
  • Avaliar e Implementar sistemas de segurança mais modernos disponíveis no mercado;
  • Avaliar e Implementar novas funcionalidades nos sistemas existentes, permitindo maior granularidade de escolha aos titulares;
  • Realizar a atualização de softwares e produtos conforme recomendações de fabricantes, aplicar patches, fixpacks, tratar CVEs e outros;
  • Desenvolver e revisar seu plano de continuidade de negócios e seu plano de resposta a incidentes. Estes ajudarão sua organização a ter uma resposta mais rápida, eficiente e "treinada" no caso de eventos que possam impactar sua operação;
  • E, claro, reavaliar os tratamentos com frequência, porque a cada novo conhecimento adquirido e lição aprendida, conseguimos melhorar nosso próprio entendimento do tema e tomar melhores decisões! 

Veja também: Líderes de Projeto e a LGPD. Por que preciso me capacitar?

Auditar processos continuamente e garantir que evidências sejam geradas

As documentações podem estar bem-feitas e a ferramenta de mapeamento refletir em 100% o ambiente da organização. Mas sem validar, observar e evidenciar não é possível garantir que os documentos reflitam a realidade.

Também, sem evidências, em caso de uma auditoria ou fiscalização, ficará mais difícil a comprovação da execução frente àquilo documentado.

Assim, são recomendadas auditorias frequentes – ao menos – àqueles tratamentos com

maior risco organizacional e o reforço constante à produção de evidências dos demais.

Neste cenário, obter uma ajuda externa pode ser interessante, uma vez que trará um ponto de vista adicional sobre o mesmo cenário.

Lembre-se que privacidade e proteção de dados não é custo. É investimento.

Contar com um DPO atuante

E não menos importante, contar com um DPO atuante e com autonomia, para liderar as atividades de Privacidade da organização, oferecendo suporte e direcionamento à todos os membros da organização.

Precisa de ajuda para se adequar à Lei Geral de Proteção de Dados?

Se você ainda não começou seu processo de adequação à LGPD, se busca um DPO externo (terceirizado) ou se precisa de um suporte à execução do seu DPO interno, entre em contato conosco

Possuímos planos extremamente flexíveis e customizáveis para atender as necessidades de empresas de quaisquer tamanhos.mConsulte nossas opções de DPO-as-a-Service, de treinamentos customizados e de Centro de Serviços Compartilhado para a LGPD.