#bomdialgpd

Aproveito esta primeira semana "cheia" do ano para comentar algumas atitudes importantes que podem ajudar na melhoria da conformidade com a LGPD. São frutos da observação da implementação da conformidade em diversas organizações de diferentes portes e segmentos.

Nos artigos levantarei uma questão e apontarei um "call to action". No futuro nossos concorrentes também vão falar sobre isso :).

Hoje vamos falar sobre a avaliação de conformidade. Se alguém lhe perguntar "como está a conformidade com a LGPD?", sua resposta é genérica do baseada em fatos?

Antes de evoluir, é importante definir quais os itens que devem ser verificados em uma avaliação de conformidade com a LGPD?

Mostrei aqui em alguns artigos a forma que fatiamos a LGPD e organizamos os assuntos e a partir daí, fazemos os relacionamentos com publicações da ANPD, publicações de outras autoridades reguladoras e boas práticas:

• (Art 01.. 02.. 05.. 06) Fundamentos. Definições e Princípios
• (Art 03.. 04) Aplicação da Lei
• (Art 06 III) Minimização
• (Art 07) Hipóteses Legais
• (Art 08) Consentimento
• (Art 09. 17 .. 22. 51) Direito do Titular
• (Art 10) Legítimo Interesse
• (Art 11) Dados Sensíveis
• (Art 12) Anonimização
• (Art 13) Saúde Pública
• (Art 14) Crianças e Adolescentes
• (Art 15..16) Término do Tratamento. Eliminação. Temporalidade
• (Art 20) Decisões Automatizadas e Inteligência Artificial
• (Art 23 .. 32.. 62) Poder Público
• (Art 24) Empresas Públicas e Soc de Economia Mista
• (Art 33 .. 36. 61) Transferência Internacional
• (Art 37 e 49) Registro de Operações (RoPA) e Inventário
• (Art 38) Relatório de Impacto (RIPD)
• (Art 39 e 40) Agentes de Tratamento
• (Art 41) Encarregado pelo Tratamento de Dados Pessoais (DPO)
• (Art 42 .. 44.. 52 .. 54) Responsabilidade e Sanções
• (Art 45) Relação de Consumo
• (Art 46 .. 49) Segurança da Informação
• (Art 46 § 2) Privacy by Design e Privacy by Default
• (Art 48) Gestão de Incidentes e Monitoramento
• (Art 50) Boas Práticas e Governança

Este ano unimos os artigos 37 e 49, e os 39 e 40. Adotamos esta lista como a espinha dorsal, checklist, indexador e organizador de todas as ações de conformidade com a LGPD. Como uma lei não é um framework, também estruturamos estes itens em um fluxo na forma de um processo.

Para avaliar, não dá para seguir na ordem que os assuntos aparecem na lei, por exemplo, o nosso primeiro controle é associado ao artigo 37, e existem itens para todos os assuntos.

Um ponto importante na avaliação é que ela seja realizada de maneira independente, de forma a aumentar a credibilidade do resultado. De qualquer maneira uma lista de itens de avaliação podem também ser uma maneira de se auto avaliar.

Call to Action

• Organize os controles em conformidade com a LGPD e as publicações da ANPD;
• Escolha se você mesmo avaliará o seu ambiente, ou contratará uma empresa que o faça de maneira independente;
• Existem diferentes maneiras de fazer a avaliação, como parâmetro, a nossa tem 64 itens;
• Planeje avaliações anuais, as constantes mudanças tecnológicas e publicações da ANPD alteram consideravelmente os itens a cada ano.

Importante

• Sugiro avaliar a conformidade e não a maturidade, como a LGPD é uma lei nova e em constante mudança, o importante é avaliar se está em conformidade (os itens para conformidade e maturidade são parecidos, mas o resultado de uma avaliação de maturidade podem confundir);
• No início avalie a existência dos controles, a partir do segundo ano, avalie a eficácia;
• Foque na LGPD, os frameworks (ISO 27701, NIS Privacy, CIS Privacy, GDPR, ...) são ótimos, mas se você deseja a conformidade com a LGPD, a referência deve ser a lei mesmo.

Temos tido boas experiências em avaliação de conformidade, podemos fazer uma apresentação sem custos para sua organização, me mande uma mensagem e nossa equipe organiza a agenda.

Ilustração gerada por IA. Prompt GPT4o. Favor desenhar uma imagem com pequenos bonecos com suas lupas, avaliando um ambiente de trabalho com fluxos nas paredes e livros.

Obrigado,

Aquele abraço,

FNery.