Bom Dia LGPD

LGPD: Gap Analysis ou Maturidade?

#bomdialgpd


“O que não é medido não é gerenciado”


A frase de Robert Kaplan e David Norton, os criadores do Balanced Scorecard, é citada com pequenas mudanças por gurus da administração como Peter Drucker, William Edwards Deming e muitos outros. Ela fortalece a necessidade de adotar parâmetros de medição como premissa para a gestão e governança.


Tenho recomendado que as organizações não façam gap analysis ou avaliação de maturidade antes do projeto de conformidade com a LGPD pois elas concluirão que 'ainda não começamos', é melhor colocar esta energia para realizar a implementação e depois criar um modelo de avaliação contínua dentro do processo de melhoria. Após implementar a LGPD uma boa prática é avaliar periodicamente o atendimento aos requisitos (que evoluirão com o tempo).


Em termos gerais há duas formas de se avaliar um conjunto de requisitos:


  • Gap Analysis - genericamente é a forma de avaliar um conjunto de requisitos e avaliar se eles estão implementados, parcialmente implementados, não implementados ou se não são aplicáveis e, caso não esteja implementado, quais as recomendações para viabilizar sua conformidade. É um modelo adotado por atividades de compliance e auditoria por exemplo;
  • Modelo de Maturidade - é uma variação do Gap Analysis utilizando uma escala de maturidade tipicamente com cinco níveis (1 a 5) os quais há uma avaliação para identificar a situação atual e a definição da maturidade alvo. Um erro comum é considerar que o objetivo é sempre chegar ao nível 5, por isso é essencial definir o alvo conforme a prioridade de cada requisito para o negócio.


Para a LGPD entendo que o melhor sega adotar um modelo de maturidade como instrumento de melhoria contínua. O Gap Analysis pode ser um bom início. Diversos frameworks internacionais adotam modelos de maturidade e no Brasil há ótimas iniciativas do TCU (Tribunal de Contas da União), da CGU (Corregedoria Nacional da União), com destaque para o 'Modelo de Maturidade em Ouvidoria Pública'.


O diagrama a seguir mostra um exemplo do CMMI Institute / ISACA para níveis de maturidade.





Implementar um modelo de maturidade para a LGPD em formato de melhoria contínua é uma oportunidade para aumentar a capacidade de gestão, de comunicação, de planejamento e de prestação de contas, assim como fortalecer os instrumentos para justificativa de investimentos e o alinhamento com o negócio.


O modelo de maturidade para a LGPD pode ser um importante componente do programa de governança em privacidade citados no artigo 50.


O assunto é amplo e o trataremos em artigos futuros.


Boa semana.


Obrigado,


Abraço,


FNery.


Comentários:


Bom dia, segue a gravação de nossa live mais recente sobre Avaliação de Maturidade em Cibersegurança e LGPD. https://www.youtube.com/watch?v=FaLp-uCQhuc

(Art 50) Boas Práticas e Governança
Comentários
Cybersecurity e Boas PráticasLGPD e Publicações da ANPDContato