#bomdialgpd
Periodicamente realizamos em algumas organizações o trabalho de "avaliação de conformidade com a LGPD". Procuro sempre enfatizar que "não é auditoria", uma vez que esta é uma atividade feita pela auditoria interna ou externa baseada em premissas diferentes da gestão, e também que não é "avaliação de maturidade", uma vez que trata-se de adequar a organização a uma lei, e não a um framework de boas práticas.
Noto que a maior parte dos projetos de conformidade com a LGPD adota modelos de mais dois anos atras, porém neste meio tempo a ANPD publicou mais de vinte documentos que impactam na conformidade do controlador, sem contar com jurisprudências, resultados de fiscalizações e autuações, regulamentações de outros reguladores, avanços da tecnologia, mudanças nos objetivos de negócio e a invasão da inteligência artificial. Aproveito para atualizar a lista de publicações da ANPD:
A avaliação de conformidade com a LGPD procura avaliar se as exigências da LGPD e publicações dos reguladores estão implementados em uma organização e também avaliar se estão sendo realizadas ações desnecessárias que fazem a equipe perder energia (tempo, dinheiro, foco, ...). Ontem apresentei a matriz a seguir que ajuda avaliar o que é feito vs o que deveria ser feito:
Estar em conformidade com a LGPD é seguir o que a legislação e regulamentação determinam. Cada vez há menos espaço para argumentos como "a ferramenta faz assim...", "o consultor falou que é assim...", "no meu curso aprendi que é assim...", "nosso projeto não é de LGPD, mas de privacidade" (😱) e outros argumentos que afastam o foco da conformidade com as publicações.
O foco na LGPD não dispensam boas práticas (ISO, NIST, CIS, IAPP, ...), porém a espinha dorsal deve ser a LGPD. Outro dia escutei um consultor falar em uma palestra que "a certificação com a ISO 27701 garante a conformidade com a LGPD", mas não é isso. Aqui na Módulo somos certificados ISO 27701, o que ajuda muito na nossa conformidade, na disciplina de ser auditado anualmente (neste caso, sim é uma auditoria) e no alinhamento com a segurança da informação; porém mantém a certificação ISO 27701 tem interseção com o projeto de conformidade como um todo por questões de escopo, taxonomia, artefatos, fluxos e outros.
Caso sua equipe deseje trocar idéias sobre avaliação de conformidade e matriz de produtividade, a Módulo oferece um workshop gratuito, fechado para equipes de conformidade, que tem tido ótima avaliação. Mande uma mensagem para mim ou para quem você conhece na Módulo que nossa equipe marcará a agenda.
Ilustração gerada por IA. Prompt GPT4o. Favor desenhar uma mesa de reunião corporativa, em um moderno escritório, com uma executiva realizando uma explanação com um foco a iluminando e destacando seu trabalho.
Obrigado,
Aquele abraço,
FNery.
