Bom Dia LGPD

A maturidade da avaliação de maturidade e conformidade

Fernando Nery
Fernando Nery
Sócio da Módulo

#bomdialgpd


“Batidas na porta da frente
É o tempo"
Resposta ao Tempo, Aldir Blanc e Cristóvao Bastos



Com a evolução contínua e paralela da tecnologia, da regulamentação da proteção de dados e das ameaças, o Programa de Governança em Privacidade precisam ser atualizados constantemente. Esta afirmativa está alinhada com a LGPD que, em seu artigo 50, parágrafo 2, inciso I, alínea h, descreve que o Programa de Governança em Privacidade deve ser "... atualizado constantemente com base em informações obtidas a partir de monitoramento contínuo e avaliações periódicas".


Da mesma maneira, conforme o artigo 50, parágrafo 2, inciso I, alínea h, estes controles devem estar alinhados com a estrutura de controles da organização ("... esteja integrado a sua estrutura geral de governança e estabeleça e aplique mecanismos de supervisão internos e externos"). É importante manter este mesmo entendimento com áreas como gestão de riscos, controles internos, compliance e auditoria.


Diferente da avaliação de maturidade em TI ou segurança que é realizada a partir de frameworks de mercado (Cobit, Itil, ISO 27001, CIS CSC v8, NIST CSF 2.0, ...), a maturidade e conformidade deve ser atestada a partir de controles criados a partir do próprio texto da LGPD e das publicações da ANPD e outras autoridades.


Avaliar a maturidade e conformidade a partir de publicações como ISO 27701, CIS Privacy Guide, Mitre ou mesmo de documentos de autoridades estrangeiras, não dará a avaliação da LGPD mas de cada um destes documentos.

Nossa visão é que a lista de controles deve ser derivada de uma espinha dorsal criada a partir dos requisitos da LGPD, segue um exemplo (caso tenha sugestão, me procure):


  • (Art 01.. 02.. 05.. 06) Fundamentos. Definições e Princípios
  • (Art 03.. 04) Aplicação da Lei
  • (Art 07) Base Legal. Hipóteses de Tratamento
  • (Art 08) Consentimento
  • (Art 09. 17 .. 22. 51) Direito do Titular
  • (Art 10) Legítimo Interesse
  • (Art 11) Dados Sensíveis
  • (Art 12) Anonimização
  • (Art 13) Saúde Pública
  • (Art 14) Crianças e Adolescentes
  • (Art 15..16) Término do Tratamento. Eliminação. Temporalidade
  • (Art 20) Decisões Automatizadas
  • (Art 23 .. 32.. 62) Poder Público
  • (Art 24) Empresas Públicas e Soc de Economia Mista
  • (Art 33 .. 36. 61) Transferência Internacional
  • (Art 37) Registro de Operações (RoPA)
  • (Art 38) Relatório de Impacto (DPIA)
  • (Art 39) Agentes de Tratamento
  • (Art 40) Uso Compartilhado de Dados
  • (Art 41) Encarregado pelo Tratamento de Dados Pessoais (DPO)
  • (Art 42 .. 44.. 52 .. 54) Responsabilidade e Sanções
  • (Art 45) Relação de Consumo
  • (Art 46 .. 49) Segurança da Informação
  • (Art 46 § 2) Privacy by Design e Privacy by Default
  • (Art 48) Gestão de Incidentes e Monitoramento
  • (Art 49) Gestão do Inventário
  • (Art 50) Boas Práticas e Governança


A partir destes "assuntos", os controles devem ser desdobrados utilizando as publicações correlatas, por exemplo: os controles do assunto "(Art 10) Legítimo Interesse" devem levar em consideração o "Guia Orientativo sobre Legítimo Interesse" publicado pela ANPD, e, em organizações do setor financeiro, o assunto "(Art 08) Consentimento" deve utilizar como referência a regulamentação do Open Finance do Banco Central (são mais de 42 milhões de consentimentos).


Aqui na Módulo os 27 assuntos desdobram-se, conforme o contexto em aproximadamente 120 controles.

As equipes de conformidade devem programar avaliação anual de maturidade e conformidade. Resumindo, uma avaliação madura é formada por controles associados à LGPD e atualizada conforme as publicações mais recentes.


Boa semana,


Aquele abraço,


FNery


Prompt do DALL-E 3: "A sophisticated clipboard in a corporate style, holding a verification form being filled out with 'check' marks, showcasing elegance and professionalism."

Comentários
Cybersecurity e Boas PráticasLGPD e Publicações da ANPDContato