Bom Dia LGPD

Após a implementação: Governança

#bomdialgpd


Hoje faremos um encontro com os clientes e apresentarei o tema governança em privacidade que é o meu assunto favorito na LGPD, o segundo é legítimo interesse :) Após a palestra divulgo nos comentários o link da apresentação.


Após as organizações realizarem a implementação, o próximo passo deve ser o 'programa de governança em privacidade' conforme o Art 50 da LGPD. Vejo que muitas vezes há uma corrida para implementar recursos de software sem planejamento, mas executar sem planejar tem os seus riscos. Vi casos de investimento em plataforma de consentimento para depois descobrir que as operações com esta hipótese de tratamento já possuíam tratamento nativo; implementação de data discovery que foi impedida de ser executada pelas áreas de segurança, infraestrutura e pelo DBA devido ao risco inerente e impacto na performance, e portais de titulares que se transformaram em plataforma para fraudadores. Não acho que seja fácil, tudo isso faz parte do aprendizado e maturidade, mas é preciso planejar para investir tempo e dinheiro nos artefatos certos.


executar sem planejar tem os seus riscos


Considero que um programa de governança em privacidade deve ser implementado por meio de cinco pilares:


  • Um canal único (pelo menos preferencial) com o DPO para que as demandas não se percam e, a partir dele administrar as demandas dos titulares, as internas, dos agentes de tratamento, do judiciário e dos reguladores, além da gestão da documentação;
  • Um ambiente de planejamento, monitoramento e apoio à decisão para o encarregado (essencialmente governança é estratégia + monitoramento + decisão, sempre lembro quando fiz o curso de governança corporativa em 2000 no IBGC e o saudoso e inspirador professor João Bosco Lodi, autor do primeiro livro sobre governança corporativa em português repetia: 'Governança é focinho dentro e garras fora');
'Governança é focinho dentro e garras fora' Prof. João Bosco Lodi


  • Uma estrutura para desenho de contexto (referência ISO 31000) que é o primeiro passo para o privacy by design, o LIA, a gestão de incidentes, o relatório de impacto, a transferência internacional e a gestão de conhecimento;
  • A gestão do inventário, o alicerce da governança e
  • Um modelo de conformidade e prestação de contas.


Governança em privacidade (este é o termo escrito na lei) é um tema importante para o encarregado, ainda não existe um framework mas é um assunto que tem evoluído internacionalmente e possui um farto conjunto de publicações de apoio (IBGC, OCDE, ISOs, ...). Nosso 2o artigo 'Governança não é Gestão' traz mais alguns detalhes (link no primeiro comentário).


Bom fim de semana,


Obrigado,


Abraço,


FNery.


O outro artigo que falei ... https://www.linkedin.com/pulse/artigo-50-governan%C3%A7a-n%C3%A3o-%C3%A9-gest%C3%A3o-fernando-nery/


Pessoal, segue o material prometido. Bom fim de semana. Abraço, FNery https://www.linkedin.com/posts/fnery_governanca-em-privacidade-activity-6941022207259111424-eQN1?utm_source=linkedin_share&utm_medium=member_desktop_web

(Art 50) Boas Práticas e Governança
Comentários
Cybersecurity e Boas PráticasLGPD e Publicações da ANPDContato