Tenho uma visão de haverá uma forte convergência, ou no mínimo haverá maior colaboração entre as iniciativas de controle e supervisão de uma organização, que são estruturadas em áreas como gestão de riscos, compliance, controles internos, governança, auditoria, jurídico, segurança cibernética, proteção de dados, segurança corporativa e outras.
O conceito de colaboração entre as iniciativas de controle começaram a ser divulgadas em 2002 pela OCEG "Open Compliance and Ethics Group" que criou o acrônimo GRC (Governance, Risk and Compliance), desde aquela época, ao mesmo tempo achava a ideia genial mas também notava que as áreas mantinham certa rivalidade interna e não eram muito simpáticas à colaboração. A OCEG tem um excelente conjunto de documentos e uma capacidade ímpar de criar infográficos como o exemplo a seguir.
Dentre os diversos relacionamentos entre áreas ou iniciativas de controle, a equipe de conformidade com a LGPD precisa se aproximar da continuidade do negócio.
A ANPD adota o modelo de segurança da informação da ISO 27001/2 chamado de CIDA (Confidencialidade, Integridade, Disponibilidade e Autenticidade). Em termos gerais, um vazamento de dados afeta a confidencialidade, uma fraude afeta a integridade, um ransomware a disponibilidade e uma roubo de identidade a autenticidade.
Um plano de continuidade de negócios é uma iniciativa para que a organização consiga voltar à normalidade e ter o mínimo de perdas quando acontece um sinistro. Este tema é relevante e cobrado de reguladores como o Banco Central, a CVM, Anbima e outras.
Qualquer sinistro que envolva dados pessoais está no alvo da conformidade com a LGPD, ao mesmo tempo podem ser alvo de um plano de continuidade do negócio, por isso é importante que a equipe de conformidade com a LGPD esteja atenta a estes casos.
Para implementar um plano de continuidade é necessário fazer uma análise de impacto no negócio (ou BIA - Business Impact Analysis), o que guardando as proporções, é semelhante a fazer o cálculo de operação de tratamento de alto risco para preparar o RIPD.
O dado pessoal pode ser vítima de uma série de ameaças como vazamentos, indisponibilidade, falta de infraestrutura, corrupção de dados, incêndios, desastres naturais e muitos outros. Nesta terça às 10h faremos uma live sobre "Mudanças Climáticas e Continuidade do Negócio", quando você poderá atualizar-se sobre o assunto, inscreva-se clicando na imagem a seguir e convide sua equipe. Até lá.
Obrigado,
Aquele abraço,
FNery.
