A norma NBR 27701 é aplicável a todos os tipos e tamanhos de organizações, sejam estas públicas ou privadas, com ou sem fins lucrativos. Com o fim da vacatio legis da Lei Geral de Proteção de Dados (LGPD), Lei nº 13.709/2018, em setembro deste ano, as organizações passaram a ter obrigações que deverão ser cumpridas a fim de estarem em compliance com a LGPD.
Mas, e aí? Por onde começar?
Muitas são as publicações que indicam ações a serem tomadas em caráter de urgência ou até mesmo como solução completa para que uma organização esteja adequada à LGPD, como por exemplo Política de Privacidade, plug-in para gerenciamento de cookies, e até mesmo basear o seu modelo de negócio exclusivamente no consentimento. Mas, você já parou para pensar qual é a base dessas indicações? É algum texto da lei ou de alguma norma? Ou são simplesmente indicações empíricas, sem fundamento técnico? Há algo que todos deveriam concordar, que é a multidisciplinaridade exigida para lidar com o tema. Contudo, ainda existem profissionais que continuam oferecendo soluções incompletas para as organizações, e seguem fechando negócios.
Cabe aqui subdividir as soluções disponíveis no mercado:
- Soluções incompletas:
- Apenas solução jurídica com base no texto da lei;
- Apenas solução de TI com base no texto da lei;
- Solução jurídica e de TI com base no texto da lei; e
- Solução multidisciplinar com base no texto da lei.
- Solução completa:
- Solução multidisciplinar com base no texto da lei e em normas técnicas que estão fundamentadas nas melhores práticas internacionais, sejam elas técnicas, adminstrativas, jurídicas ou tecnológicas.
Um excelente exemplo que podemos citar é com relação ao Superior Tribunal de Justiça (STJ). É indiscutível a sua excelência jurídica e a competência de seus colaboradores de TI, contudo este mês enfrentou um verdadeiro pesadelo com a criptografia de seus dados, após a instalação de um ransomware. Seguramente, houve falha em processo. Geralmente, a capacitação contínua de colaboradores resolve. Desconsiderar as normas técnicas não. Convém que as organizações tenham elas “embaixo do braço” para que seus dias sejam mais seguros com relação à privacidade e proteção de dados.
A minha organização não tem orçamento previsto para adotar uma norma com a NBR 27701. O que minha organização pode fazer?
O desafio de estar em conformidade com uma norma como a NBR 27701 pode ser dividido em 4 etapas, bem definidas. Lembrando que convém que todas elas sejam fundamentadas nesta mesma norma, a saber:
- Capacitação dos seus colaboradores e partes interessadas, como por exemplo, terceirizados, com curso de interpretação da NBR 27701 e demais normas diretamente relacionadas;
- Mapeamento de riscos;
- Adequação multidisciplinar;
- Auditoria de conformidade.
As quatro etapas demandam um imenso esforço e utilização de significativos recursos humanos, tecnológicos e financeiros. Contudo, a capacitação não! É um baixo investimento com um excelente retorno. Estas etapas não precisam ser percorridas todas de uma vez. É melhor uma adequação bem feita e sólida, do que uma adequação em terreno arenoso.
Sendo assim, com base na norma, um dos primeiros passos é entender o contexto da organização. Desta forma, a organização deve:
- determinar o seu papel como um controlador de dados pessoais (DP), incluindo a condição de controlador conjunto de DP e/ou como um operador de DP;
- deve determinar os fatores externos e internos que são pertinentes para o seu contexto e que afetam a sua capacidade de alcançar os resultados pretendidos do seu sistema de gestão da privacidade da informação (SGPI).
Por exemplo, isto pode incluir:
- legislação de privacidade e proteção de dados;
- decisões judiciais aplicáveis;
- contexto organizacional, governança, políticas e procedimentos aplicáveis;
- decisões administrativas aplicáveis; e
- requisitos contratuais aplicáveis.
Onde a organização atua em ambos os papéis (como controlador de DP e como operador de DP), papéis separados devem ser determinados, cada qual estando sujeito a um conjunto separado de controles.
Caberá à organização determinar as questões internas e externas que são relevantes para o seu propósito e que afetam sua capacidade para alcançar os resultados pretendidos do seu sistema de gestão da privacidade da informação. Indicamos aqui, a consulta à norma NBR 31000:2018 para melhor auxiliar este processo.
Às vezes, por mais sedutor que possa parecer o fato de uma organização fechar com a empresa que apresentou o orçamento com o preço mais baixo, ou minimizar os investimentos na privacidade e proteção de dados, o dano pode ser muito maior, seja ele na imagem da sua organização ou exclusivamente financeiro. Cabe aqui destacar a Cyrela e a SERASA Experian.
Começou a pensar na sua capacitação, ou na próxima capacitação da sua equipe? A hora é agora porque a ACPD Week já começou! Aproveite a promoção de Black Friday da ACPD Brasil! Estamos oferecendo 60% de desconto nos nossos cursos. Para pagamento através da plataforma do Hotmart, este valor poderá ser parcelado em até 12 vezes, sem juros.
Compre agora o nosso curso da norma ABNT 27701, em detalhes para a LGPD, e aproveite a nossa campanha da Blackfriday! 🙂 Até o próximo domingo (29), você tem a oportunidade de dar um upgrade na sua carreira por um preço imperdível. São cursos com 60% de desconto!
Com a ACPD Brasil, sua Best Week pode ser mais especial!
2 Responses
[…] mesmo que não tenha como estar plenamente em conformidade com uma norma, como por exemplo, a ABNT NBR ISO/IEC 27701:2019, todo o esforço que sua organização realizar para estar em conformidade com o maior número de […]
[…] vs NBR 27701. Ao contrário do que muitos imaginam, a norma NBR 27001 não é concorrente da norma NBR 27701. Pelo contrário, trata-se de normas complementares. E, neste artigo vamos falar um pouco mais […]