• (16) 3602-8513
  • [email protected]
  • Av. Pres. Vargas, 2121, Sala 2302 - Ribeirão Preto/SP
Pesquisar
Close this search box.
PDCA TI - Consultoria e Treinamento logo 3

Principais erros na estruturação dos controles da LGPD

Principais erros na estruturação da LGPD
Planejamento de TIC e SI

Os 5 principais erros na estruturação da LGPD

A seguir, os cinco principais erros que possam comprometer um projeto de adequação dos controles exigidos pela LGPD

  1. Nomear uma única pessoa para ser o DPO, traduzido como Encarregado no Brasil.
    • Quanto menor o nível hierárquico deste funcionário, menor será a sua autonomia e quanto maior o seu nível dentro da organização, menos tempo terá para ser o DPO.
    • Sugestão: Estruturar um Comitê de Proteção e Privacidade de Dados com uma equipe multidisciplinar para entendimento da LGPD, suas exigências e definição de um plano de ação. Recomendável apoio de terceiros/consultorias especializadas para melhor direcionamento e assertividade das ações.
  2. Falta de comprometimento e conscientização
    • Algumas empresas terão que mudar seus processos internos, sua forma de coletar e processar informações, entre outros; portanto, é crucial que os gestores conheçam a lei, apoiem nas mudanças necessárias e destinem recursos/esforços para realizar as conformidades necessárias.
    • Sugestão: Desenvolver workshops com informações relevantes para abordar os três níveis organizacionais (estratégico, tático e o operacional) da empresa.
      1. Manter um canal aberto para dúvidas e divulgar de forma periódica as ações realizadas, mudanças, etc.
      2. Os gestores das áreas devem participar e apoiar efetivamente as ações de conformidade dentro de sua área.
  3. Ausência de mapeamento de dados pessoais (Data Mapping)
    • Estruturar as políticas de privacidade e proteção de dados sem antes conhecer quais informações pessoais/sensíveis a empresa possui, de que forma é coletada, quais tratamentos são realizados, de que forma, quem são os operadores, etc. é um erro grave que as empresas podem cometer.
    • O mapeamento é fundamental e é a base para o início do projeto, porém, também é recomendável realizar o Relatório de Impacto à Proteção de Dados Pessoais (RPID) ou Data Protection Impact Assessment (DPIA) como é conhecido na #GDPR. Este relatório é necessário para conhecer os principais riscos envolvidos e mapear os gaps atuais, permitindo assim, criar um plano de ação para adequação.
      1. É recomendável desenvolver o RPID para os principais processos de negócio que tratam dados pessoais.
      2. Observação: Mesmo não sendo uma exigência da LGPD para realizar o RPID, consta que a Autoridade Nacional de Proteção de Dados (#ANPD) poderá solicitar este relatório. Desta forma, a proatividade da empresa em já ter desenvolvido, demonstra o nível de maturidade e atenção ao tema.
  4. Ausência de critérios/controles de Segurança da Informação
    • No Art. 6º consta uma definição para o tema segurança da informação: “VII – segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão”.
    • Para que as empresas estejam em conformidade com a LGPD, obrigatoriamente terão que estruturar seus processos de segurança da informação, afinal não é possível ter privacidade dos dados sem ter controles para garantir a proteção destes dados.
    • No artigo https://www.pdcati.com.br/antes-da-lgpd-os-controles-basicos-de-tic/, contem mais informações sobre o tema.
  5. Utilizar base legal sem consistência
    • Vide exemplo: A empresa utiliza a única base legal de: Art. 7º {I – mediante o fornecimento de consentimento pelo titular} para realizar os seus tratamentos de dados pessoais.
      1. Pergunta: O que irá acontecer com a empresa se o titular dos dados solicitar no dia/semana/mês seguinte a revogação, com base no Art. 8º “§ 5º O consentimento pode ser revogado a qualquer momento mediante manifestação expressa do titular, por procedimento gratuito e facilitado …”?
    • O recomendado é que a empresa esteja amparada pelo setor jurídico de qual base legal é a mais aderente para aquele processo.

Para finalizar, o objetivo deste artigo foi apresentar de forma inicial e simplificada uma visão dos principais tópicos que possam gerar algum contratempo para as empresas que estão se adequando à  #LGPD.

Outros artigos podem ser lidos e comentados em: https://www.pdcati.com.br/blog

Conheça os serviços de LGPD ofertados pela PDCA TI, neste link

Fonte de consulta da LGPD: http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm#art65..

Photo by Helloquence on Unsplash

Facebook
Twitter
LinkedIn
Pinterest
WhatsApp

© 2020 TODOS DIREITOS RESERVADOS - PDCA TI - CONSULTORIA E TREINAMENTOS

crédito das imagens do site: unsplash.com/ E pixabay.com/