Parte integrante de Proposta comercial

FRAMEWORK DE SOLUÇÃO COMPLETA PARA ADEQUAÇÃO A "LGPD"

 

Considerações Iniciais

 

 

É importante compreender que a implementação dos processos de adequação da LGPD deve ser realizada com a participação da equipe de colaboradores da empresa, pois, estes terão de internalizar a cultura da privacidade e sua aplicação em todas as áreas da organização. Todas as mudanças nos processos operacionais, devem ser compreendidas e implementadas e absorvidas pela organização, que terá de manter suas operações adequadas a Lei em condição permanente, bem como, estar alerta para prováveis ajustes que a Autoridade Nacional de Proteção de Dados ANPD, venha a requerer – a adoção de um Framework de solução LGPD demanda que todas as mudanças operacionais exigidas, devam passar a fazer parte “permanente” dos processos e das rotinas operacionais da empresa.

 

O estabelecimento de um Framework Metodológico Operacional, como o nosso denominado  “PrivacidadeOK”  permite visualizar e compreender objetivamente o “passo-a-passo” necessário, para atender aos requerimentos da LGPD, ficando as particularidades 01% ajustáveis, conforme cada perfil, porte, ramo de atividade e particularidades operacionais das organizações. Também desenvolvemos um aditivo com "dois projetos adicionais" para atender empresas em fase emergencial, priorizando e antecipando, alguma atividades dos demais seis projetos abaixo indicados que correspondem a solução completa.  

 

A figura a seguir mostra uma visão do conjunto de soluções, composto por 06 (seis) projetos, que podem ser implementados individualmente, mas em conjunto e de forma integrada e sequencial iterdependente, representam a nossa proposta de solução completa, para que uma organização consiga estar adequada aos requerimentos da Lei nº 13.709:2018, denominada Lei Geral de Proteção de Dados "LGPD".

Figura meramente ilustrativa - para os clientes, os detalhes de especificação podem ser ajustados conforme perfil, porte  e ou necessidades de cada organização.

Detalhamento – Especificações  - Framework PrivacidadeOK – POK

 

O POK estabelece prover solução de atendimento aos requerimentos da Lei brasileira nº13.709:2018 e seus desdobramentos. Aplica-se a empresas cujas atividades, porte operacional e riscos, possam justificar seu enquadramento na LGPD e demandem a necessidade de tratamento para a proteção de dados pessoais. A LGPD por concepção foi baseada na Lei europeia 2016/679 (Regulamento Geral de Proteção de Dados) e busca seu alinhamento internacional.


Características de norteamento da solução POK

 

Premissas adotadas pela solução:

A Lei LGPD, bem como o regulamento europeu (RGPD/GDPR) são únicos para todo porte de negócio e ramo de atividade, promovidos por pessoas físicas e jurídicas de direito privado ou público - a Lei  LGPD é a mesma para todos, o POK é o mesmo para todos.

 

O POK prevê que, possuir e tratar dados pessoais é consequência natural de qualquer empreendimento empresarial, de negócio ou organização, portanto, não existe empresa que não disponha de dados pessoais, mas identifica-se que algumas possuem maior dependência de dados pessoais do que outras. Nesse caso os riscos das empresas com maior dependência de dados pessoal é maior e devem ser levados em consideração para que o tratamento possa garantir a sobrevivência da organização no futuro. O POK deve atender todas as características e porte das organizações, sendo facilitada a adequação ou não, conforme determinadas situações, que se apresentam a seguir: 

A complexidade de implementação em organizações não está relacionada diretamente ao volume de dados pessoais que esta possa possuir, mas em especial da sua maturidade organizacional e seus recursos tecnológicos disponíveis e empregados.

A solução POK deve ser vista como um programa composto por vários projetos que objetivam alcançar a cobertura de todos os requerimentos da nova Lei LGPD.  Cada projeto deverá ser gerenciado com base nas melhores práticas de gestão de projetos, fundamentada no PMBOK 6ª Ed./PMI, e realizada por um PMP (profissional certificado em Gestão de Projetos) .

 

Para o POK é determinante, que o alto escalão (diretores) da organização, seja conscientizado e capacitado em compreender as bases de sustentação dos princípios da "Privacidade Pessoal e da Proteção de dados", que se alinham aos regulamentos e Leis internacionais, em especial ao exigido na Lei nacional LGPD. Eles devem compreender os "riscos" e o que deve ser feito para mitigá-los (reduzi-los), promover  internamente ações de atendimento a Privacidade e Proteção de Dados Pessoais, integrando-as à cultura e práticas empresariais. 

 

Como meta chave, a solução POK estabelece que a arquitetura de gestão deverá ser "top down" - (de cima para baixo) onde a premissa “Tone at the top” determina que alta direção deverá dar o exemplo e todo apoio para que as equipes (externas e Internas) possam executar todas as suas tarefas de adquação no prazo e qualidade requeridos, e se for necessário, contar com apoios adicionais.  O programa de adequação LGPD sempre será da empresa, nunca departamental, pois é multidisciplinar e estratégico, devendo ser conhecido e  praticado por todos os colaboradores da empresa / organização.

 

A solução POK  direcionará a organização, através das áreas envolvidas, na realização de um consistente e minucioso “Inventário de Dados pessoais”, ou “Data Mapping” – que possa se apoiar em “Data Discovery” (pesquisa e qualificação de dados) se necessário, com as devidas classificações (assessement), observando o fluxo operacional sistêmico de uso dos dados pessoais no seu ciclo de vida  (Coleta - Retenção - Tratamento - Distribuição - Eliminação). Todas as 10 bases legais devem ser compreendidas e exercitadas para fundamentação, pelos colaboradores da organização cliente.

 

Da mesma forma, a solução POK orientará a equipe de sustentação da empresa, em analisar o uso de dados pessoais, através  de uma criteriosa avaliação do fluxo e tratamento de dados nos processos de negócio, executado nas áreas chaves da organização cliente, como RH, MKT, Comercial, TIC, SI, etc. considerando a inclusão de cláusulas nos “Contratos” existentes, sobre as parcerias, os terceiros, etc, identificando os ajustes necessários, sempre através da "análise dos riscos" da dependência estratégica de dados pessoais para a organização.

 

A oferta de solução POK  atenderá a LGPD em seus regramentos sobre as 10 bases Legais para uso de dados pessoais, orientando a equipe do cliente na elaboração de um relatório denominado LIA (Legitimate Interests Assessment), se essa base legal for aplicada, bem como, orientará a equipe implementadora em considerar os 10 princípios para se tratar os dados legalmente aceitos, com base na metodologia PIA (Privacy Impact Assessment). Estas duas metodologias LIA/PIA, requerem gerar documentos (relatórios), que são determinantes para que qualquer organização, porte e ramo de negócio, possa comprovar o alinhamento legal as regras da LGPD.

 

O framework POK orientará a equipe de sustentação do cliente em promover a “Análise de Impacto” nas questões de Privacidade e da Proteção de dados pessoais exigidas, com base no  “Privacy Impact Assessments (PIAs) & Data Protection Impact Assessments (DPIAs)”  relatórios exigido pela GDPR europeia e inclusive pela LGPD, onde no Brasil é definido como RIPD (Relatório de Impacto da Proteção de Dados), de forma que essas práticas sejam contínuas e evolutivas, integradas aos Princípios, Critérios e Controles da metodologia “Privacy & Security By Design”, para alcançar o “Privacy by Evidence” outro padrão requerido, assim como o “Privacy by Assurance” que dará sustentação, e finalmente permitirá a organização alcançar o “Trust-by-default”, essencial em benefício da sociedade. Todas essas metodologias e padrões internacionais, terão suas práticas transmitidas a equipe de sustentação do cliente, durante a implementação dos projetos POK.  Importante indicar que na europa esses padrões são regulados e denominados "TOMs" (Technical and Organisational Measures). 

 

A solução POK exigi que todos compreendam os diretos dos “Titulares” de Dados Pessoais e permitam, disponibilizar meios práticos para garantir esses direitos, bem como divulgá-los, considerando que isso é dever de todos os “agentes” de tratamento de dados (Controlador/Operador). A Transparência a Publicitação e os meios de Exercer os direitos dos Titulares, são fundamentais e deverão ser apoiados pela equipe de sustentação do cliente, com intervenção em diversos meios, inclusive no website (sitio na internet).

 

Na prática a solução POK estabelece que durante a implementação do programa de adequação, o “Encarregado ou DPO” deverá ser designado e buscar capacitação alinhada as práticas que a equipe de sustentação estará adotando. Quando concluído o trabalho, a empresa cliente poderá contratar um terceirizado ou já ter investido na capacitação dirigida de um colaborador.

 

A solução POK orientará a equipe de sustentação do cliente em estabelecer um programa de conscientização “contínua/cíclica” de todos os colaboradores (inclusive para a alta direção), parceiros e fornecedores (aberta até para clientes) da organização, sobre as questões de Privacidade e Responsabilidades individuais, inclusive fundamentadas no "Código de Conduta Ética" e operacionalizados através de meios de comunicação e mídias interativas, sempre documentadas com termos de aquiescia (concordância) e cônscio (concordância em assumir os conhecimentos sobre o tema), e com evidências documentadas de realização e alcance dos objetivos de conscientização e capacitação evolutiva.

 

A proposta de solução POK  prevê que todas as operações com dados pessoais, consideradas “Tratamento de Dados”, realizadas pelos "Agentes de Tratamento" Controlador / Operadores, conforme a LGPD, necessitam possuir pré-estabelecidos, um conjunto de procedimentos operacionais (Administrativos / Técnicos / Jurídicos – fundamentados por práticas de "Privacy & Security By Design" – (Privacidade e Segurança desde a concepção) que garantam a minimização do uso de dados, a aplicação de algoritmos de pseudonimização, a anonimização, tokenização*, a criptografia forte e leve Pós-Quântica* (FIPS/homomórfica/ECC*), o armazenamento seguro em multi-nuvens* (SASE*), o registro de operações (RoPA*) incluindo as correlações e logs de sistemas, o armazenamento protegido* e o descarte seguro* de dados pessoais, entre outros, conforme o perfil da organização – Devidamente documentados.

 

*(vide Glossário de Termos no final da página)                             

 

A  solução POK estabelece orientar a equipe de sustentação do cliente em cumprir todos os formalismos regulatórios, especificando e mantendo o registro de evidências e usos práticos, de; um padrão de “Governança da Privacidade” na organização (onde todos são responsáveis), a adoção de uma Política viva de “Prevenção e Segurança” ampla, no ambiente físico, computacional e cibernético; disposição de diversos instrumentos declaratórios de adesão aos preceitos da responsabilidade individual sobre a privacidade de dados; regramentos internos sobre áreas de Recursos Humanos, Comercial, Comunicação, Marketing e outras mais afetas ao uso de dados pessoais; regramentos internos sobre cláusulas contratuais e revisões periódicas de atendimento; assim como, diversos outros documentos necessários ao atendimento da Lei LGPD.

 

Considerado como essencial, a  solução POK  orientará a equipe de sustentação do cliente na adoção de práticas de SI (Segurança da Informação) na aplicação na empresa, do padrão internacional para Segurança em Redes e na Internet (fundamentado no Cyber Defesa “SCF” / e no estado da arte “TeleTrusT”), que objetiva ser simples, prático e eficiente, minimizando os riscos de ataques pela Internet, que promovam o furto de dados em sistemas computacionais. O padrão de segurança deverá ser evolutivo, fundamentado na gestão de segurança SI, considerando as normas ABNT NBR ISO/IEC 27701(PIMS), ISO/IEC 27000, 27001, 27002, 27005, ISO/IEC 29100:2011, 29134:2017, 29151:2017, ABNT NBR ISO/IEC 27018:2019,  ISO/IEC 31000 e 38500, entre outras normas e padrões.

 

A solução POK orientará a equipe de sustentação do cliente em  compreender os mecanismos de identificação e registros de violação de segurança sobre dados pessoais, especificando providências, canais de comunicação com Titulares e ANPD, produção/ajustes imediatos do (DPIA/RPID) e também, medidas para possíveis redução dos impactos ao Titulares com ativação de contingências e ou planos de continuidade operacional existentes.

 

Da mesma forma a solução POK orientará a equipe de sustentação do cliente em  definir um conjunto de processos de ajustes através de indicadores de gestão e segurança (KPIs) que permitam o acompanhamento da performance no atendimento a LGPD, e as possíveis mudanças de regras, que venham a ser estabelecidas pela ANPD (Autoridade Nacional de Proteção de Dados) constituindo um ciclo virtuoso PDCA (plan, do, check and act).

 

Concluindo

 

O POK considera orientar a equipe de sustentação do cliente, na busca de compreender o alcance da solução PrivacidadeOK, na "Proteção de Dados do Negócio" (segurança da Informação), que abarca os dados pessoais. Portanto, proteger dados pessoais por requerimento da LGPD, indiretamente, implica em proteger os dados da organização. – O POK busca alcançar essa meta concreta.

 

 

“AS PROPOSTAS DE SOLUÇÃO SÃO INDISASSOCIAVEIS PARA QUE SE ALCANCE UM RESULTADO CONCRETO.”

                                                  privacidadeok@uberconsult.com.br

Para maiores informações por gentileza solicite o agendamento de uma apresentação através de “Immersive Telepresence” .