Bom Dia LGPD

Modelo das Três Linhas do IIA e a LGPD

#bomdialgpd





(atualização após alerta, o IIA não trata mais 'três linhas de defesa', mas 'modelo das três linhas')


O artigo 50 da LGPD recomenda a implementação de um programa de governança de privacidade que deve conviver harmonicamente da estrutura de gestão de riscos, controle e governança das organizações. Áreas como gestão de riscos, controles internos e auditoria devem em algum momento incluir em suas rotinas a proteção de dados e a privacidade, e isso vai ajudar o encarregado (DPO).


Alinhar o encarregado (DPO) com o Modelo das Três Linhas do IIA ajuda na integração com o negócio.


O The IIA (Instituto dos Auditores Internos) publica o documento 'Modelo das Três Linhas' (link no primeiro comentário) que 'ajuda as organizações a identificar estruturas e processos que melhor auxiliam no atingimento dos objetivos e facilitam uma forte governança e gerenciamento de riscos’, esta publicação é adotada por diversas organizações e é organizado pelas linhas: as áreas fim (primeira), a estrutura de gestão de riscos e controles (segunda), e a auditoria interna (terceira).



Este modelo é adotado por um grande número de organizações no Brasil, em especial aquelas que têm estruturas de governança corporativa como empresa S/A, empresas estatais (fortalecidas pela Lei 13.303) e o Governo Federal (publicações do executivo, da CGU e do TCU destacam as três linhas diretamente). No caso da LGPD, entendo que o encarregado (DPO) deve se posicionar na segunda linha.


Para integrar a estrutura de controle, além das obrigações da LGPD, da regulamentação da ANPD e das melhores práticas, a proteção de dados e privacidade devem estar na matriz de riscos, nos itens de verificação de controles internos e nos pontos de auditoria. Estar alinhado às três linhas é uma boa prática, e uma maneira efetiva de fortalecer o seu programa de governança.


Para organizações que adotam o Modelo das Três Linhas do IIA, incluir o encarregado (DPO) é uma forma de alinhar a proteção de dados e a privacidade ao negócio.

Críticas, dicas e sugestões são sempre muito bem vindas.


No dia 12 participarei com o Dr Gilberto Martins e meu sócio Alberto Bastos da live 'Governança em Privacidade e o Escritório do DPO', fique à vontade para se inscrever e divulgar para sua equipe. Até lá.


Boa semana para todos.


Obrigado,


Abraço,


FNery


Comentários:


Publicação do modelo das três linhas do IIA Brasil: https://iiabrasil.org.br/korbilload/upl/editorHTML/uploadDireto/20200758glob-th-editorHTML-00000013-20082020141130.pdf

(Art 50) Boas Práticas e Governança
Comentários
Cybersecurity e Boas PráticasLGPD e Publicações da ANPDContato