Bom Dia LGPD

O inventário da LGPD

#bomdialgpd


A necessidade de implementar boas práticas organizacionais a nível global levou à expansão dos frameworks, normas e padrões, que são estruturas com consensos, bases de conhecimentos, fluxogramas, métricas, métodos e elementos, devidamente organizados, formalizados, compartilhados e melhorados continuamente. PMBOK, ISOs, NIST, Cobit, Melhores Práticas do IBGC e as 3 linhas de defesa do IIA são exemplos de frameworks organizacionais que têm sido utilizados por empresas, governos e agências reguladoras.


Saber qual o melhor framework não é importante pois dentro de cada área de conhecimento eles se equivalem. É importante escolher e adotar o framework mais adequado a cada organização.


uma lei não é um framework
e nem precisa sê-lo.


Para chegar à conformidade de uma lei em uma organização é recomendável um framework de apoio (o artigo 50 da LGPD fala em boas práticas).

Nas duas primeiras décadas deste século, os frameworks escalaram em maturidade a partir das exigências derivadas da lei Sarbanes-Oxley (aplicável às empresas com ações negociadas no mercado de capital dos EUA, incluindo dezenas de brasileiras), e da regulamentação internacional do BIS - Bank for International Settlements, o 'banco central dos bancos centrais', conhecida como Basiléia.


os frameworks começam por um inventário


Um ponto comum entre os frameworks é que eles começam por um inventário que define o contexto, a aplicabilidade e o escopo. Uma sugestão do inventário da LGPD pode ser organizado com as seguintes categorias:


  • Áreas ou departamentos - essencialmente as 'caixinhas' do organograma, incluindo subsidiárias, associadas, participadas, consórcios e outras estruturas que componham a organização;
  • Processos - o termo deve ser definido para garantir o entendimento comum: são processos de negócios? são formais ou informais? estão desenhados? são processos de tratamento de dados que anda serão identificados e desenhados?;
  • Sistemas - devem ser considerados do ponto de vista do tratamento de dados pessoais sob responsabilidade da organização, e isso inclui tanto os sistemas providos pela TI como os sistemas externos, inclusive whatsapp, ferramentas office, arquivos planos, redes sociais, sistemas do governo, sistemas de benefícios e outros. Aprendemos na governança de TI a administrar os recursos que são providos pela TI, mas na LGPD é necessário pular o balcão e ter a visão do tratamento de dados pessoais, tenha certeza que seu inventário de sistemas vai crescer...;
  • Suportes analógicos - é o nome chique para papel, microfilmes e suportes avulsos de dados que também precisam estar no inventário, e isso inclui armários, pastas, arquivos mortos e galpões de armazenamento de documentos;
  • Contratos - identifique os contratos que têm em seu escopo o tratamento de dados pessoais ou que deveriam ter e não o citam;
  • Terceiros - todos que realizam algum tratamento de dados pessoais que estão sob responsabilidade da organização, ou seja, agentes de tratamento de dados pessoais, devem estar inventariados.


É um trabalho complexo e de alto volume, além disso cada elemento está relacionados com outros, por exemplo, uma área está relacionada a processos, sistemas, documentos, contratos e agentes de tratamento, mas correlacionamento é assunto para um artigo futuro.


Obrigado,


Abraço,


FNery.

(Art 37) Registro de Operações (RoPA) (Art 49) Gestão do Inventário
Comentários
Cybersecurity e Boas PráticasLGPD e Publicações da ANPDContato