Carregando...
Governança Digital LGPD Proteção de Dados Segurança da Informação

Proteção de Dados: o quão madura está sua operação?

A avaliação quanto à maturidade de empresas em matéria de proteção de dados pessoais é demanda cada vez mais recorrente. Após já terem passado por frentes de adequação, como a criação de políticas ou pelo mapeamento de alguns setores, organizações precisam entender qual seu nível efetivo de maturidade e o que precisam fazer para sofisticar (ou, muitas vezes, reconstruir!) sua governança. A adequação à LGPD não pode ser alcançada com um projeto pontual ou por meio de iniciativas isoladas. É preciso um trabalho contínuo e, por isso, ter parâmetros objetivos para tomar decisões quanto ao que é preciso fazer para melhorar é fundamental.
14.07.2022 por DCOM
Foto colaborador

Um novo cliente tem a expectativa de estar em conformidade com a Lei Geral de Proteção de Dados Pessoais (“LGPD”) de forma ágil. Para isso, ele solicita que seja elaborada uma Política de Privacidade ou, tecnicamente falando, um Aviso de Proteção de Dados. Em outras palavras, sem saber o que o documento significa, ele quer contar para o mundo sobre como cuida dos dados pessoais que trata, e acha que isso é suficiente para estar em conformidade com a legislação.

Outro novo cliente preencheu algumas planilhas para mapeamento de atividades de tratamento de dados (data mapping) no passado e entende estar perto de uma adequação total à lei. Ele quer apenas um treinamento geral para os colaboradores e ter cláusulas contratuais padrão.

O que eles têm em comum? Eles não imaginam que, na verdade, sem um trabalho prévio, o que buscam não parará de pé, e será uma ficção.

Esse é o típico caso de empresas que estão no início de sua jornada de proteção de dados e que precisam adquirir muitos conhecimentos, saber detalhes de sua operação, e, adaptando-se à realidade da proteção de dados, adotar procedimentos e políticas para que possa amadurecer com relação ao tema.

Como saber como está minha empresa?

Para lhe ajudar a compreender o quão madura é sua empresa em matéria de proteção de dados, vamos apresentar os principais aspectos a serem levados em consideração.

Vale notar que existem diferentes metodologias para uma avaliação de maturidade. A Secretaria de Governo Digital do Brasil, por exemplo, construiu formulário de “Diagnóstico e Índice de Maturidade de Privacidade para adequação à LGPD”[1], voltada para órgãos e entidades públicas. A Commission Nationale Informatique & Libertés (“CNIL”), autoridade de proteção de dados pessoais francesa, por sua vez, estruturou outra metodologia, com ferramenta de “Autoavaliação de Maturidade na Gestão da Proteção de Dados Pessoais”[2]. A LGPD também traz seus indicativos do que deve ser levado em consideração para que uma empresa possa se dizer em conformidade com a lei.

Diante de alguns gaps percebidos nas metodologias existentes, e considerando a necessidade de consolidar as melhores práticas do mercado, estruturamos uma metodologia própria. Partimos de benchmarking da Secretaria do Governo, da CNIL, da própria LGPD, e de frameworks da ISO (International Organization for Standardization) para ajudar empresas a entenderem melhor o estágio em que estão e avaliar onde querem chegar.

Sugerimos que a avaliação de maturidade observe seis níveis:

  • 0 – Inexistente
  • 0,1 a 1 – Inicial
  • 1,01 a 2 – Básico
  • 2,01 a 3 – Intermediário
  • 3,01 a 4 – Em aprimoramento
  • 4,01 a 5 – Aprimorado

O cálculo para a avaliação, por sua vez, parte de matriz matemática pela qual é atribuída uma nota para diferentes parâmetros e diferentes critérios avaliativos. Elegemos seis parâmetros de avaliação, cada qual com critérios específicos e avaliados individualmente. Para cada critério, auditamos se há, a seu respeito:

  • uma prática inexistente ou incompleta;
  • uma prática informal;
  • uma prática repetível e seguida;
  • um processo definido;
  • um processo controlado; ou
  • um processo contínuo e otimizado.

Ao final do cálculo, você terá tanto uma foto do estágio atual de sua empresa, quanto condições para saber o que fazer para aumentar o nível de maturidade.

E quais parâmetros recomendamos?

Mapeamento e Conhecimento de Fluxos

O primeiro parâmetro para avaliar a maturidade da empresa é entender se o primeiro dever de casa foi feito. É preciso começar de algum lugar.

Em matéria de proteção de dados, o começo é a realização do inventário de dados, fruto do mapeamento de todos os fluxos de dados na empresa, em meio eletrônico ou físico (o famoso “data mapping”, exigido nos art. 9º e 37, da lei). Ou seja, é preciso ter rastreabilidade dos dados e saber como eles chegam até a empresa, o que é feito com eles, por que são tratados, quem tem acesso a eles, com quem são compartilhados fora da empresa etc.

Por meio dele, é possível compreender quais são as atividades de tratamento e, então, avaliar até que ponto elas estão adequadas à legislação. É a partir daí que se traçam as medidas de adequação necessárias considerando a operação da empresa.

Vale lembrar que a LGPD exige que, para cada fluxo interno, é preciso que se tenha uma finalidade para o tratamento dos dados. Sem ela, não é possível que o tratamento sequer seja realizado. Uma vez estabelecida ou reconhecida a finalidade, será necessário verificar que dados são necessários para se alcançar a finalidade, tratando-se de forma adequada considerando as finalidades informadas ao titular e o contexto de tratamento.

É preciso, ainda, garantir transparência, com informações claras, precisas e facilmente acessíveis pelos titulares sobre o tratamento de seus dados pessoais. Isso é possível, por exemplo, por meio de um Aviso de Proteção de Dados com linguagem simples e acessível.

É exigido também que seja eleita uma base legal: ou seja, para cada atividade de tratamento, deve ser avaliado se há um fundamento jurídico que o autorize (dentre os quais encontramos o consentimento do titular, a existência de obrigações legais e o legítimo interesse da empresa, por exemplo[3]).

Diagnóstico e Implementação

O primeiro parâmetro, Mapeamento e Conhecimento de Fluxos, possui 4 critérios objetivos de avaliação e, para cada um deles, uma nota quanto ao nível de adequação é atribuída.

O segundo parâmetro, por sua vez, possui 3 critérios macro a serem avaliados, com o objetivo de entender se a empresa possui maturidade quanto à implementação de certas medidas, cuja necessidade é revelada a partir de um diagnóstico.

Aqui, os critérios de avaliação estão voltados para determinadas exigências da LGPD, como o Relatório de Impacto de Proteção de Dados Pessoais (“RIPD”) – cuja elaboração pode ser exigida em determinados casos –, a documentação autorizativa para uma transferência internacional de dados e procedimentos de descarte de dados pessoais.

Atendimento aos Direitos do Titular

O terceiro parâmetro permite compreender se a empresa garante que os titulares de dados tenham meios efetivos para exercer os direitos estabelecidos pela LGPD, como:

  • confirmação da existência do tratamento de dados;
  • acesso aos dados;
  • correção de dados incompletos, inexatos ou desatualizados;
  • anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto na LGPD;
  • portabilidade dos dados;
  • informação quanto às entidades públicas e privadas com as quais há compartilhamento de dados;
  • informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa;
  • revogação do consentimento, quando ele precisar ser coletado, e eliminação dos dados pessoais cuja coleta foi baseada no consentimento.

É essencial, para tanto, que os titulares tenham acesso facilitado ao contato do Encarregado de Proteção de Dados nomeado (o “DPO”) e, também, a informações sobre as formas de exercício de seus direitos. O parâmetro de atendimento aos direitos de titulares é esmiuçado em 15 critérios, cujo atendimento é fundamental para uma boa maturidade em proteção de dados pessoais.

Segurança da Informação

Proteção de dados anda de mãos dadas com segurança da informação. É de suma importância que se existam controles de segurança aptos a protegerem os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.

Aqui, temos 5 critérios valorativos, provenientes tanto da LGPD, quanto de orientações da ANPD.

Por exemplo, é preciso avaliar se foi implementado um sistema de controle de acesso aplicável a todos os usuários, com níveis de permissão na proporção da necessidade de trabalhar com o sistema e de acessar dados pessoais; se é aplicado o princípio do menor privilégio (need to know); e se a empresa proíbe o compartilhamento de contas ou de senhas entre funcionários.

Além disso, é importante que exista procedimento efetivo de comunicação com a ANPD e com titulares de dados, caso ocorram incidentes de segurança. Afinal, ainda que todos os cuidados sejam tomados, é possível que incidentes aconteçam e dados sejam violados. Para esses casos, mesmo antes de problemas se concretizarem, é preciso ter um processo de gestão de incidentes, um processo de comunicação e, até mesmo, um canal de denúncias estruturado.

Treinamento e Conscientização

Proteção de dados pessoais se baseia em um tripé, os 3 P’s: Processos, Produtos e Pessoas.

É preciso, pois, cuidar dos processos, dos fluxos dentro de casa, como orientam os parâmetros Mapeamento e Conhecimento de Fluxos, Diagnóstico e Implementação Atendimento aos Direitos do Titular.

É preciso, também, cuidar de produtos, do arcabouço tecnológico da empresa (sejam os produtos usados internamente, seja o produto oferecido aos titulares, no caso de empresas de software). É o que orienta o parâmetro Segurança da Informação.

Contudo, de nada adianta bons processos e bons produtos, se não houver uma cultura efetiva de proteção de dados na empresa. As pessoas precisam estar engajadas e não basta acontecer um workshop genérico sobre conceitos gerais da lei. Aqui, 4 critérios norteiam o parâmetro, de forma a avaliar se há treinamentos periódicosespecíficos e profundos.

Governança Digital

Se você respondeu que adota integralmente ou, ao menos, parcialmente, a maioria das práticas que apresentamos acima, é provável que isso se deva à existência de um Programa de Governança em Proteção de Dados.

Trata-se da principal boa prática estabelecida pela própria LGPD, que estabelece, em seu artigo 50, §2º, I, os parâmetros mínimos de um bom Programa.

Contudo, não basta mapear fluxos, implementar certas medidas e treinar as equipes em um projeto de adequação à LGPD. Proteção de dados deve se tornar um pilar cultural das organizações e, para uma maturidade efetiva no tema, o trabalho deve ser contínuo, com construção de uma governança efetiva. É por isso que falamos em Programa de Governança, e não em Projeto de Adequação

Nesse importante parâmetro de nossa metodologia, temos 11 critérios que direcionam a avaliação. E não adianta mostrar, apenas no papel, que algumas medidas foram endereçadas, mas demonstrar, na prática e por meio de uma robusta documentação, que o Programa é uma realidade.

O parâmetro de governança exige frentes cíclicas de atuação (afinal, empresas estão em constante mudança, seja de processos, de pessoas ou de produtos utilizados), com cuidado com todos os novos serviços e produtos, com novos fornecedores, novos funcionários etc.

É preciso respeito ao chamado privacy by design, para que todas as inovações da empresa passem por um crivo prévio, e que sejam conduzidas due diligence dos fornecedores para verificar seu nível de adequação e, se for o caso, evitar sua contratação. Em caso de contratação, os documentos que as formalizam devem refletir, de forma adequada, as obrigações com relação à proteção de dados.

Indicar um Encarregado pela Proteção de Dados (o “DPO”) com os recursos necessários para sua atuação, independência e, também, acesso à alta administração, é um aspecto essencial da governança. Junto com ele, vem a designação de líderes responsáveis por cada uma das frentes de atuação em matéria de proteção de dados, equipe que será responsável por colocar em prática as ações de adequação necessárias.

Também é um critério que demostra um nível avançado de maturidade o estabelecimento de indicadores para medir os resultados do Programa, tais como: número de requisições de titulares e tempo de atendimento, número de incidentes e tempo de reação, número de fluxos de dados analisados, número de processos pensados levando em consideração proteção de dados, número de treinamentos, número de auditorias realizadas etc. Todos esses são fatores importantes na metrificação do nível de maturidade de uma organização.

E aí?

A partir de todos os aspectos citados até aqui, e da análise dos seis parâmetros e de alguns de seus critérios, foi possível entender um pouco melhor o nível de maturidade da sua empresa? Em que pé você está? Conte para nós o resultado! Estamos à disposição para auxiliá-lo(a) a elevar a maturidade da sua organização!

[1] https://pesquisa.sisp.gov.br/index.php/798411?lang=pt-BR

[2] https://www.cnil.fr/sites/default/files/atoms/files/autoevaluation_de_maturite_en_gestion_de_la_protection_des_donnees.pdf

[3] Publicamos um texto sobre uma das bases legais da LGPD, o legítimo interesse! Quem quiser saber mais, basta acessar: https://www.linkedin.com/pulse/se-o-interesse-da-empresa-%C3%A9-leg%C3%ADtimo-dado-pode-ser-tratado-dcom-law/