Bom Dia LGPD

Do projeto ao processo demonstrável

#bomdialgpd


Boa parte das organizações estão no importante momento de transição do projeto de preparação e adequação à LGPD para o processo do programa de governança em privacidade (sugiro adotar este termo pois é o que está descrito no artigo 50).


Enquanto o projeto tem início, meio e fim, o processo é composto pela gestão, aprendizado e melhoria contínuas. A prática mostra que é bem importante concluir o projeto e iniciar o processo; o projeto não pode ser permanente, ele precisa ter um fim.


Na fase de projeto é identificado e avaliado o impacto da lei nos componentes da organização (áreas do organograma, processos de negócio, processos de tratamento de dados pessoais, sistemas, dados não estruturados, repositórios de papel e microfilme, contratos e terceiros) e são organizadas as políticas e os sistemas de apoio. A migração para a fase de processo coloca em produção aquilo que foi identificado e implantado no projeto, a partir daí as novas atividades passam a ser implementadas por meio do 'privacy by design'.


O desafio do momento é iniciar ou manter o processo de governança em privacidade que seja demonstrável ('Art 50 par 2 Inc II - demonstrar a efetividade de seu programa de governança em privacidade quando apropriado e, em especial, a pedido da autoridade nacional ou de outra entidade responsável por promover o cumprimento de boas práticas ou códigos de conduta, os quais, de forma independente, promovam o cumprimento desta Lei.').


Alguns requisitos ajudam a viabilizar a demonstração da efetividade do programa de governança em privacidade, por exemplo:


  • Monitorar as atualizações legais e regulatórias, demandas e ocorrências por meio de um canal único com o encarregado (DPO) que desdobrará em workflow (receber demandas e ocorrências por canais heterogêneos dificultam a gestão);
  • Desenhar processos para as atividades contínuas e que demandem fluxo (direito do titular, monitoramento, painéis do DPO, gestão do consentimento, monitoramento de demandas e ocorrências, gestão de incidentes, e outras);
  • Conquistar o apoio formal e informal de uma equipe multidisciplinar e de representantes das áreas;
  • Utilizar e atualizar o inventário levantado na fase de processo;
  • Manter a plataforma documental (políticas, cláusulas, ...) e garantir a sua efetividade;
  • Organizar templates para os 'mini projetos' (comunicação de incidentes; relatório de impacto; privacy by design; prestação de contas e outras).


Em artigos próximos vamos desenvolver alguns destes conceitos, você pode ver mais na live gravada Governança em Privacidade.


Obrigado,


Abraço,


FNery

(Art 50) Boas Práticas e Governança
Comentários
Cybersecurity e Boas PráticasLGPD e Publicações da ANPDContato