+55 (21) 2505-9393
+55 (21) 99731-6528
contato@acpdbrasil.com

Erros que talvez a sua organização esteja cometendo com relação à LGPD

Conformidade, Proteção e Privacidade de Dados

NBR 27701:2019

A norma NBR 27701 é aplicável a todos os tipos e tamanhos de organizações, sejam estas públicas ou privadas, com ou sem fins lucrativos. Com o fim da vacatio legis da Lei Geral de Proteção de Dados (LGPD), Lei nº 13.709/2018, em setembro deste ano, as organizações passaram a ter obrigações que deverão ser cumpridas a fim de estarem em compliance com a LGPD.

Mas, e aí? Por onde começar?

Muitas são as publicações que indicam ações a serem tomadas em caráter de urgência ou até mesmo como solução completa para que uma organização esteja adequada à LGPD, como por exemplo Política de Privacidade, plug-in para gerenciamento de cookies, e até mesmo basear o seu modelo de negócio exclusivamente no consentimento. Mas, você já parou para pensar qual é a base dessas indicações? É algum texto da lei ou de alguma norma? Ou são simplesmente indicações empíricas, sem fundamento técnico? Há algo que todos deveriam concordar, que é a multidisciplinaridade exigida para lidar com o tema. Contudo, ainda existem profissionais que continuam oferecendo soluções incompletas para as organizações, e seguem fechando negócios.

Cabe aqui subdividir as soluções disponíveis no mercado:

  • Soluções incompletas:
    • Apenas solução jurídica com base no texto da lei;
    • Apenas solução de TI com base no texto da lei;
    • Solução jurídica e de TI com base no texto da lei; e
    • Solução multidisciplinar com base no texto da lei.
  • Solução completa:
    • Solução multidisciplinar com base no texto da lei e em normas técnicas que estão fundamentadas nas melhores práticas internacionais, sejam elas técnicas, adminstrativas, jurídicas ou tecnológicas.

Um excelente exemplo que podemos citar é com relação ao Superior Tribunal de Justiça (STJ). É indiscutível a sua excelência jurídica e a competência de seus colaboradores de TI, contudo este mês enfrentou um verdadeiro pesadelo com a criptografia de seus dados, após a instalação de um ransomware. Seguramente, houve falha em processo. Geralmente, a capacitação contínua de colaboradores resolve. Desconsiderar as normas técnicas não. Convém que as organizações tenham elas “embaixo do braço” para que seus dias sejam mais seguros com relação à privacidade e proteção de dados.

A minha organização não tem orçamento previsto para adotar uma norma com a NBR 27701. O que minha organização pode fazer?

O desafio de estar em conformidade com uma norma como a NBR 27701 pode ser dividido em 4 etapas, bem definidas. Lembrando que convém que todas elas sejam fundamentadas nesta mesma norma, a saber:

  1. Capacitação dos seus colaboradores e partes interessadas, como por exemplo, terceirizados, com curso de interpretação da NBR 27701 e demais normas diretamente relacionadas;
  2. Mapeamento de riscos;
  3. Adequação multidisciplinar;
  4. Auditoria de conformidade.

As quatro etapas demandam um imenso esforço e utilização de significativos recursos humanos, tecnológicos e financeiros. Contudo, a capacitação não! É um baixo investimento com um excelente retorno. Estas etapas não precisam ser percorridas todas de uma vez. É melhor uma adequação bem feita e sólida, do que uma adequação em terreno arenoso.

Sendo assim, com base na norma, um dos primeiros passos é entender o contexto da organização. Desta forma, a organização deve:

  • determinar o seu papel como um controlador de dados pessoais (DP), incluindo a condição de controlador conjunto de DP e/ou como um operador de DP;
  • deve determinar os fatores externos e internos que são pertinentes para o seu contexto e que afetam a sua capacidade de alcançar os resultados pretendidos do seu sistema de gestão da privacidade da informação (SGPI).

Por exemplo, isto pode incluir:

  • legislação de privacidade e proteção de dados;
  • decisões judiciais aplicáveis;
  • contexto organizacional, governança, políticas e procedimentos aplicáveis;
  • decisões administrativas aplicáveis; e
  • requisitos contratuais aplicáveis.

Onde a organização atua em ambos os papéis (como controlador de DP e como operador de DP), papéis separados devem ser determinados, cada qual estando sujeito a um conjunto separado de controles.

Caberá à organização determinar as questões internas e externas que são relevantes para o seu propósito e que afetam sua capacidade para alcançar os resultados pretendidos do seu sistema de gestão da privacidade da informação. Indicamos aqui, a consulta à norma NBR 31000:2018 para melhor auxiliar este processo.

Às vezes, por mais sedutor que possa parecer o fato de uma organização fechar com a empresa que apresentou o orçamento com o preço mais baixo, ou minimizar os investimentos na privacidade e proteção de dados, o dano pode ser muito maior, seja ele na imagem da sua organização ou exclusivamente financeiro. Cabe aqui destacar a Cyrela e a SERASA Experian.

Começou a pensar na sua capacitação, ou na próxima capacitação da sua equipe? A hora é agora porque a ACPD Week já começou! Aproveite a promoção de Black Friday da ACPD Brasil! Estamos oferecendo 60% de desconto nos nossos cursos. Para pagamento através da plataforma do Hotmart, este valor poderá ser parcelado em até 12 vezes, sem juros.

Compre agora o nosso curso da norma ABNT 27701, em detalhes para a LGPD, e aproveite a nossa campanha da Blackfriday! 🙂 Até o próximo domingo (29), você tem a oportunidade de dar um upgrade na sua carreira por um preço imperdível. São cursos com 60% de desconto!

Com a ACPD Brasil, sua Best Week pode ser mais especial!

Blackfriday ACPD

 

2 Responses

  1. […] mesmo que não tenha como estar plenamente em conformidade com uma norma, como por exemplo, a ABNT NBR ISO/IEC 27701:2019, todo o esforço que sua organização realizar para estar em conformidade com o maior número de […]

  2. […] vs NBR 27701. Ao contrário do que muitos imaginam, a norma NBR 27001 não é concorrente da norma NBR 27701. Pelo contrário, trata-se de normas complementares. E, neste artigo vamos falar um pouco mais […]

Deixe um comentário

O seu endereço de e-mail não será publicado.