Bom Dia LGPD

Contexto é um grande aliado

#bomdialgpd


Há algo em comum entre os principais frameworks e boas práticas adotadas para a conformidade com a LGPD como ISO 9000, ISO 27001/2/5, ISO 27701, ISO 31000, ITIL, COBIT, COSO, CIS, NIST e outras: todas iniciam pela definição do escopo.


Uma lei não tem o compromisso de ser estruturada em um fluxo, ela é um conjunto de requisitos organizada por uma sintaxe em árvore não-hierárquica (Capítulos, Artigos, Parágrafos, Incisos, Itens, Alíneas) e com poucas orientações para sua implementação, o que ajuda a justificar a necessidade de adotar frameworks para a sua implementação.


A ISO 31000 adota um modelo internacionalmente consensuado, eficaz e maduro em seu processo de gestão de riscos que inicia com a definição do escopo, contexto e critério.





Os modelos de gestão de riscos estão presentes em qualquer iniciativa de governança, conformidade ou segurança. Adotar os modelos e nomenclaturas da ISO 31000 é uma boa maneira de facilitar as implementações dos requisitos da LGPD e criar uma linguagem comum.


Estudei o modelo 'não estruturado' da LGPD e da GDPR e identifiquei que é possível adotar principalmente o contexto na execução de algumas entregas. Na LGPD podemos chamar de contexto ao conjunto de elementos associados a uma operação de tratamento de dados, na simulação a seguir, a operação de tratamento de dados pessoais 'Triton' tem seu contexto formado por áreas, processos, sistemas, incidentes, documentos, terceiros, ativos de TI e outros elementos.




Na gestão da LGPD o contexto pode ser o ponto de partida de pelo menos para atividades como: Privacy by Design, LIA- Legitimate Interests Assessment, Gestão de Incidentes, Relatório de Impacto (RIPD, DPIA) e Transferência Internacional. A prática tem mostrado que em alguns caso o estabelecimento do contexto é mais da metade do trabalho de realização destas atividades.




Avalie isso: Com um bom modelo de definição de contexto você pode agilizar a realização de atividades essenciais para o atendimento às exigências da LGPD, o que viabiliza entregas realizadas com menos recursos, mais completas e com mais qualidade.


Obrigado,


Abraço,


FNery.

(Art 50) Boas Práticas e Governança
Comentários
Cybersecurity e Boas PráticasLGPD e Publicações da ANPDContato