Menu
Mais do que uma questão tecnológica ou de cibersegurança apenas, o sucesso da jornada de transformação rumo ao compliance à LGPD significa mudar drasticamente a forma como a organização lida com os seus ativos de Dados (na coleta, utilização, acessos, transmissão, processamento e armazenamento). O planejamento a e criação de um plano de ação consistente, requer o envolvimento de um grupo multidisciplinar (negócios, tecnologia, jurídico, governança corporativa, governança de dados, RH), com o patrocínio da alta direção da empresa.
As ações necessárias compreendem projetos técnicos, estabelecimento de políticas internas, processos internos/externos, aspectos culturais, entre outros. Dada a complexidade de um programa de transformação como este e da oportunidade de neste processo aproveitar as vantagens do uso estratégico dos ativos de dados para gerar valor para organização, se faz necessário uma avaliação profunda do cenário atual do cliente, para então chegar a uma visão precisa das ações necessárias e os recursos que deverão ser empregados para alcançar o objetivo do Compliance à LGPD.
“I – aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;
II – receber comunicações da autoridade nacional e adotar providências;
III – orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e
IV – executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares”.
Para a realização do serviço, a equipe especializada da Athena Security fará uma imersão junto ao cliente para conhecer os e entender junto aos profissionais da organização, os processos de negócio, engajamento da empresa para com a LGPD entre outras ações que nos auxiliarão na execução deste contrato.
O objetivo fim é a prestação do serviço de consultoria contínua e total apoio necessário para manter os processos da organização aderentes a Lei Geral de Proteção de Dados (LGPD), onde inclusive, podemos assumir o cargo e responsabilidade de Data Protection Officer (DPO). Para isso, o projeto se estrutura em 10 etapas, são elas:
As reuniões individuais têm como objetivo o DPO acompanhar, em conjunto com todos os gestores, o andamento da organização perante as novas adequações à Lei Geral de Proteção de Dados. A frequência das reuniões serão trimestrais com cada departamento, para acompanhar a evolução e implementação das melhorias contínuas de cada área.
O relatório de impacto é um dos documentos mais importantes perante a ANPD. Pois, é através desse documento que a empresa evidencia a maturidade da organização em relação a segurança da informação, privacidade de dados e nível de risco. Nesse sentido, o DPO vai colaborar na orientação da criação e atualização constante deste documento de acordo com a operação da corporação.
A Lei Geral de Proteção de Dados apesar de estar sendo bastante discutida, trouxe diversas mudanças corporativas na qual leva um tempo para que sejam absorvidas e utilizadas internamente, dessa forma, o DPO tem um papel importante em criar um Comitê de Privacidade de Dados para revisar os processos relacionados à segurança e privacidade de dados, propor melhorias, auditar terceiros, supervisionar e orientar todos os departamentos e verificarem se todos estão em compliance.
A Política de Privacidade é a base da governança dos dados pessoais, desta forma, esse documento precisa ter um acompanhamento próximo do DPO para estimular que todos os processos operacionais sigam sempre as diretrizes internas estipuladas pelos gestores de cada área. A gestão da Política de Privacidade é o melhor meio estratégico de manter a organização mais segura e caso seja necessário alterar qualquer processo operacional, a Política de Privacidade deve ser atualizada devidamente.
Um incidente de segurança com dados pessoais é qualquer evento adverso, confirmado ou sob suspeita, relacionado à violação na segurança de dados pessoais, tais como acesso não autorizado, acidental ou ilícito que resulte na destruição, perda, alteração, vazamento ou ainda, qualquer forma de tratamento de dados inadequada ou ilícita, os quais possam ocasionar risco para os direitos e liberdades do titular dos dados pessoais. Decorrente disso, o DPO tem um papel importante em representar a organização perante toda a gestão destes incidentes e atuar de forma estratégica para reduzir ao máximo qualquer impacto, seja ele operacional, financeiro ou social através de orientações jurídicas e um plano de ação.
O artigo 18 da LGPD diz que “O titular dos dados pessoais tem direito a obter do controlador, em relação aos dados do titular por ele tratados, a qualquer momento e mediante requisição”. O DSAR (Data Subject Access Request) ou Requisição de acesso aos dados pessoais é um direito que todo Titular do Dado Pessoal pode exercer caso queira saber quais dados a empresa coletou sobre o mesmo, qual é a finalidade do armazenamento e/ou manipulação, corrigir dados incompletos ou desatualizados, realizar portabilidade, conceder ou revogar o consentimento, saber quais empresas os dados foram compartilhados e solicitar a eliminação. Outrossim, o DPO tem o papel de acompanhar e orientar de forma estratégica todas as respostas ao Titular do Dado Pessoal.
O artigo 18 da LGPD diz que “O titular dos dados pessoais tem direito a obter do controlador, em relação aos dados do titular por ele tratados, a qualquer momento e mediante requisição”. O DSAR (Data Subject Access Request) ou Requisição de acesso aos dados pessoais é um direito que todo Titular do Dado Pessoal pode exercer caso queira saber quais dados a empresa coletou sobre o mesmo, qual é a finalidade do armazenamento e/ou manipulação, corrigir dados incompletos ou desatualizados, realizar portabilidade, conceder ou revogar o consentimento, saber quais empresas os dados foram compartilhados e solicitar a eliminação. Outrossim, o DPO tem o papel de acompanhar e orientar de forma estratégica todas as respostas ao Titular do Dado Pessoal.
Todo e qualquer processo administrativo e/ou notificação extrajudicial recebida deve ser acompanhado de perto pelo DPO para que sejam tomadas as melhores decisões de forma estratégica e reduzir ao máximo qualquer impacto, seja ele operacional, financeiro ou social.
Custos salariais e de encargos trabalhistas
Não há como internalizar a função de DPO sem refletir em gastos com certificações, capacitações e treinamento de colaboradores. Por ser uma função que exige um conhecimento altamente especializado é inevitável para as organizações arcar com esses custos.
Conflitos de interesse porventura existentes dentro da organização
É claro que o simples fato de se ter um DPO não afasta, por si só, possíveis conflitos de competência entre o contratante-controlador e o contrato. A nomeação de um DPO as a service, contudo, auxilia e muito a evitar essa situação, em especial, porque não envolve, diretamente, nenhuma parte interessada.
Flexibilidade em prestação de serviços
Dentre as vantagens de contratar um DPO as a service, a principal é a flexibilidade da prestação de serviços, pois este serviço pode ser personalizado conforme a necessidade de cada organização, sendo financeiramente mais vantajoso para os contratantes.
Imparcialidade em tomada de decisões
Além de trazer mais confiabilidade, a contratação de um DPO as a service demonstra maior imparcialidade e segurança nas tomadas de decisão envolvendo os titulares de dados pessoais e a ANPD. Além disso, é uma oportunidade de as empresas que ainda não iniciaram seu programa de governança em privacidade ter um profissional experiente e apoiado por uma equipe de especialistas.
Somos uma equipe de profissionais especializados em segurança da informação, monitoramento e infraestrutura. Estamos prontos para atendê-lo!
A Athena Security é uma empresa de consultoria especializada em segurança da informação, onde apoiamos nossos clientes na gestão de infraestrutura e segurança dos dados para segurança de dados.