Resultado de imagem para LGPD aplicado à Segurança da Informação

Em pouco menos de um ano a LGPD (Lei Geral de Proteção de Dados), lei brasileira que visa proteger os dados pessoais de seus cidadãos) entrará em vigor e, a exemplo de outras leis e regulações (principalmente a GDPR), isso requer um grande movimento por parte das organizações, que devem estar aptas à legislação sob penas que podem atingir até R$ 50.000.000,00 em multas.

Instituições que já estão em conformidade com o GDPR podem aproveitar muito do que foi implementado, fazendo um paralelo e complementando com as peculiaridades da lei brasileira.

Já as que não se aplicam à legislação européia e, consequentemente, não realizaram nenhum esforço para este fim ainda podem aproveitar recursos já existentes ao invés de implementar algo totalmente inédito utilizando (caso a corporação possua previamente, é claro), o SGSI (Sistema de Gestão de Segurança da Informação) ou ISMS (Information Security Management System).

Esta abordagem deve ser focada na gestão de ativos e riscos, onde o SGSI tem por premissa básica levantar e valorar tudo o que é crítico para a organização, onde o grupo responsável pela implementação da LGPD deve considerá-lo como base e definir a mancha de dados pessoais, definindo quais ativos possuem dados pessoais em qualquer grau ou caráter (controlador, processador e os controles próprios de Privacidade de Dados) e, assim, estabelecer o ciclo de vida destas informações.

Feito isso, deve-se seguir de forma estruturada e ainda buscando aproveitar os seguintes elementos já existentes e provenientes do SGSI:

  • Pessoal envolvido (os stakeholders);
  • Políticas, processos, fluxos e responsáveis por gestão, desenvolvimento e aprovação das etapas do projeto de implementação);
  • Escopo;
  • Custos (pessoas, tempo, esforço e recursos financeiros)

No caso de a organização ser submetida à GDPR, vale um passo adicional de benchmarking entre as duas legislações, tratando o remanescente da LGPD.

Caso contrário, as premissas da lei brasileira devem ser endereçadas uma a uma mediante a aprovação e endosso do departamento jurídico.

Comunicação, capacitação e prazo de adaptação são os próximos passos requeridos, uma vez que as pessoas serão impactadas e certamente terão suas rotinas alteradas (sempre levando em consideração o prazo – com limite controlado – de entrada em vigor da lei).

Por fim, o DPO (Data Privacy Officer) ou Encarregado deve ter sido nomeado segundo as qualificações necessárias e com respaldo da Alta Direção.

Portanto, para a implementação do LGPD, temos quatro possíveis cenários: Quem deve implementar desde o início, quem pode aproveitar o SGSI, quem pode aproveitar o GDPR e quem pode aproveitar ambos, reduzindo exponencialmente o custo e esforço.

Fonte: Blog do Rodrigo Magdalena