Bom Dia LGPD

Temporada Rapidinhas sobre LGPD: Como avaliar a LGPD? Conformidade ou Maturidade?

Fernando Nery
Fernando Nery
Sócio da Módulo

Seja para a própria equipe conhecer a situação da LGPD, seja para prestar contas internamente ou externamente, é importante realizar avaliações periódicas de aderência.


Para esta avaliação é importante ter uma normativa interna que defina: 1. que contexto, escopo e critérios serão avaliados e 2. qual o método de avaliação: conformidade ou maturidade.


Amanhã falaremos sobre contexto, escopo e critérios.


No que se refere ao método/escala temos duas principais formas de avaliação por conformidade ou por maturidade:


  • Conformidadesão opções básicas (Conforme / Em conformidade / Nâo conforme / Não Aplicável);
  • Maturidadeé um modelo derivado do criado pelo Software Engineering Institute (SEI) da Universidade Carnegie Mellon, mais especificamente pelo Software Engineering Institute (SEI) conhecido como Capability Maturity Model (CMM), o CMM tem escalas como por exemplo inicial, repetível, definido, gerenciado e otimizado.

Entendo que há uma tendência para realizar uma avaliação de maturidade para obter uma nota sobre cada aspecto da LGPD. Modelos de maturidade são elegantes, mas na minha visão estamos tratando sobre uma lei, desta maneira há a necessidade de aplicar a conformidade.


Há bons argumentos: "- O Cobit usa modelo de maturidade; - Sim, e ele está correto, mas o Cobit é um framework e não uma lei, além disso o Cobit disponibiliza um modelo de maturidade em seu conteúdo"; "- Minha consultoria internacional recomenda avaliação de maturidade; - Mas ela está levando o assunto para a zona de conforto ou para a LGPD?".


Um alerta importante para qualquer projeto é que a maturidade de cada controle ou requisito avaliado não deve ser o máximo, 5 por exemplo, se sua organização atua no varejo, a maturidade no assunto relação de consumo deve ser a máxima possível, mas se sua organização é uma indústria intermediária, a maturidade alvo pode ser o suficiente para atender a lei.


Para concluir, para avaliar a aderência à LGPD entendo que a conformidade é o melhor caminho pois é mais simples e alinhado com o princípio binário da lei. A própria LGPD e as publicações da ANPD em suas publicações são binárias, por exemplo, na regra para a confecção do Relatório de Impacto (RIPD) só existe a classificação de alto risco ou "não alto risco", sem intermediários ou expansões.


Respeito opiniões em contrário e aceito debates civilizados.


Amanhã tem mais rapidinhas.


Boa semana,


Obrigado,


Aquele abraço,


FNery.

(Art 50) Boas Práticas e Governança
Comentários
Cybersecurity e Boas PráticasLGPD e Publicações da ANPDContato