Há várias possibilidades de configuração de projetos de adequação à LGPD. O que não muda é que, em cada um deles, algumas etapas e entregáveis básicos são obrigatoriamente comuns. Apresentamos abaixo um modelo de projeto de adequação à LGPD em cinco etapas, com aspectos gerais e estruturantes. Ele pode ser utilizado pelas cooperativas que ainda não se adequaram ou que estão em fase de execução das adequações necessárias.
As cooperativas poderão desenvolver seus projetos, dividindo as ações em 5 (cinco) fases, conforme demonstra a imagem abaixo:
etapas do projeto
Clique nos círculos para navegar por cada etapa
Primeira etapa – Planejamento
O primeiro passo é montar um comitê de adequação à LGPD com profissionais especializados, tanto nos aspectos jurídicos, quanto nos de tecnologia e segurança da informação. É indispensável, ainda, que a cooperativa avalie se possui profissionais com a expertise necessária para condução do projeto de adequação ou se, eventualmente, precisará contratar consultoria especializada.
Para as cooperativas que optarem pela contratação de consultorias, durante a etapa de escolha, recomenda-se que optem por fornecedores que tratem o projeto de adequação à LGPD de modo integral, entregando soluções de tecnologia da informação (infraestrutura), segurança da informação (melhores práticas) e temas jurídicos. Também é recomendável que a contratação esteja baseada em entregáveis e não em avaliações ou planos de ação subjetivos.
Ao montar comitê, avalie a nomeação do encarregado pelo tratamento de dados pessoais, que será a pessoa responsável para atuar como canal de comunicação entre a cooperativa e as pessoas de quem os dados pessoais são utilizados e, ainda, com a Autoridade Nacional de Proteção de Dados (ANPD). O encarregado também é o principal responsável pela manutenção do Programa de Conformidade em proteção de dados pessoais e, portanto, é interessante que seja nomeado e atribuído para tal função desde o início da adequação.
Após estruturar o comitê, planeje o projeto de acordo com a estrutura e as complexidades da cooperativa, estabelecendo as medidas prioritárias (como, por exemplo, a disponibilização de um canal para atendimento dos direitos alcançados pela LGPD) e o cronograma para realização de cada uma delas. Para conseguir cumprir o cronograma, é interessante realizar uma avaliação macro de aderência à Lei, para que possam saber o quão próximas ou distantes estão de um patamar aceitável de conformidade.
É recomendado, também, que realizem ações de conscientização e preparação para todos os colaboradores e áreas envolvidas nas medidas de adequação.
O que se espera da etapa da adequação?
- Nomeação de comitê responsável pela LGPD na cooperativa;
- Nomeação de encarregado pelo tratamento de dados pessoais;
- Identificação da necessidade de contratar consultorias especializadas e, em caso positivo, contratação da consultoria;
- Planejamento dos entregáveis do projeto de adequação alocados em cada uma das fases;
- Realização de ações de conscientização sobre o tema com os colaboradores da cooperativa que participarão do projeto de adequação;
- Identificação de leis ou regulamentos setoriais sobre o tema que se apliquem aos negócios realizados pela cooperativa (exemplo: resoluções da ANS sobre tópicos relacionados à segurança da informação ou compartilhamento de dados pessoais entre serviços de saúde, para cooperativas que operam na saúde suplementar ou, ainda, resoluções do BACEN sobre métodos seguros de armazenamento de dados em serviços de Cloud, para cooperativas de crédito).
Segunda etapa - Mapeamento
O segundo passo do projeto é mapear detalhadamente todos os processos da cooperativa que envolvem o tratamento/utilização de dados pessoais.
O mapeamento dos processos deve indicar, no mínimo:
a) Em qual o processo os dados pessoais são utilizados;
b) O fluxo do tratamento de dados pessoais no processo, abrangendo todo o ciclo de vida desses dados;
c) Qual a finalidade de utilização dos dados pessoais no processo;
d) Quais são os dados pessoais ou dados pessoais sensíveis utilizados;
e) Qual a categoria de titulares de dados pessoais que têm os dados pessoais tratados no processo (colaboradores, candidatos a vagas, associados, prestadores de serviço pessoa física, representantes de cooperativas, visitantes, entre outros);
f) Qual a fonte dos dados pessoais (ou seja, de onde foram coletados);
g) Qual o volume aproximado de dados pessoais tratados ou de pessoas que têm seus dados pessoais tratados no processo;
h) Se o processo ocorre em meio físico ou virtual, indicando, neste último caso, os sistemas utilizados;
i) Se terceiros, na condição de operadores ou controladores conjuntos, participam do processo, com suas respectivas identificações;
j) Quais os direitos elegíveis para os titulares de dados pessoais, especificamente no processo;
k) O local de armazenamento dos dados pessoais;
l) O período de retenção/armazenamento dos dados pessoais, se definido;
m) A existência de eventual transferência internacional de dados pessoais;
n) Os documentos relacionados ao processo, tais como declarações, contratos, termos, memorandos, acordo, atas, editais, dentre outros.
Além do mapeamento dos processos, é indispensável a realização de mapeamento dos sistemas e bancos de dados utilizados pela cooperativa, assim como dos controles de segurança da informação implementados no seu ambiente físico e digital.
Recomenda-se que o mapeamento dos controles de segurança da informação existentes e inexistentes seja realizado de acordo com as Normas ISO/IEC 27001 (Sistema de Gestão da Segurança da Informação) e ISO/IEC 27701 (Sistema de Gestão da Privacidade da Informação).
Esta etapa deve ser conduzida com excelência, sempre priorizando a qualidade em detrimento da velocidade. Lembre-se: o que não é mapeado, não será avaliado e, posteriormente, corrigido.
Caso os mapeamentos sejam realizados por consultoria especializada, as cooperativas devem validá-los antes de passar para a etapa seguinte.
O que se espera da etapa de mapeamento?
- Que sejam conhecidos e mapeados todos os processos realizados pela cooperativa envolvendo dados de pessoas físicas, seus respectivos fluxos e documentos;
- Que sejam conhecidos e mapeados os sistemas e bancos de dados utilizados pela cooperativa;
- Que sejam conhecidos os controles de segurança da informação que a cooperativa não adota.
Terceira etapa – avaliação
A terceira etapa do projeto de adequação consiste em avaliar todos os processos mapeados, identificando as necessidades de ajustes jurídicos, organizacionais e de segurança da informação. Ou seja, os processos precisam ser avaliados para identificação de gaps de natureza jurídica, organizacional ou de segurança da informação.
É neste momento que a cooperativa, com seus recursos próprios ou com ajuda de consultoria especializada, precisa “pegar uma lupa” e cuidadosamente identificar os riscos que estão presentes nas atividades que realiza para, posteriormente, tratá-los.
Os riscos podem ser jurídicos (como a ausência de justificativas legais para realização das atividades com dados pessoais ou a ausência da formalização de obrigações em contratos), organizacionais (falta de padronização de atividades relacionados com dados pessoais, dificultando a governança) e de segurança da informação (ausência de boas práticas de segurança nos processos, tais como controles de acesso, backups, segmentação de redes, registros de logs e muitas outras).
Nesta etapa de avaliação serão conhecidas todas as medidas necessárias para adequação da cooperativa, que vão embasar o plano de ação a ser executado na etapa seguinte.
O que se espera da etapa de avaliação?
- que sejam avaliados todos os processos, identificando gaps jurídicos, organizacionais e de segurança da informação;
- que sejam avaliadas as medidas estruturantes para o programa de proteção de dados pessoais e para o programa de segurança da informação;
- que sejam avaliados os documentos relacionados aos processos;
- com base nos gaps identificados, que seja disponibilizado plano de ação para implementação de ações corretivas e ações estruturantes para a conformidade com a LGPD (tais como, políticas, normas, procedimentos e documentos obrigatórios – confira nosso conteúdo sobre documentos essenciais para conformidade com a LGPD aqui)
Quarta etapa – correção
A quarta etapa consiste na implementação das medidas necessárias para correção dos gaps identificados na fase anterior e, consequentemente, para o tratamento dos riscos. Devem ser implementadas tanto medidas estruturais (como a Política Interna de Privacidade e Proteção de Dados Pessoais, que cria um programa de conformidade estabelecendo diretrizes, papéis e responsabilidades), como medidas específicas para correção de gaps identificados nos processos (limitação de compartilhamento de dados pessoais com um fornecedor que participa de determinado processo ou formalização de um contrato, por exemplo).
São exemplos das medidas estruturantes que devem ser implementadas:
a) Política Interna de Privacidade e Proteção de Dados Pessoais;
b) Política externa de Privacidade e Proteção de Dados Pessoais e avisos de privacidade;
c) Norma de retenção e descarte de dados pessoais, estabelecendo tabela da temporalidade;
d) Procedimento para atendimento de direitos dos titulares;
e) Procedimento de gestão de terceiros;
f) Procedimento de elaboração de relatórios de impacto à proteção de dados pessoais;
g) Procedimento de elaboração de avaliações de legítimo interesse;
h) Registro das operações de tratamento de dados pessoais;
i) Política de Segurança da Informação e normas específicas para gestão e prevenção de incidentes, controle de acesso, backups, senhas, e-mails, rede, dentre outros;
j) implementação de rotinas de conscientização e treinamento sobre proteção de dados pessoais e segurança da informação, desde a integração de colaboradores até o momento em que são desligados;
k) avaliação da necessidade de contratação de seguro para riscos cibernéticos.
São exemplos de medidas corretivas para gaps de processos que devem ser implementadas:
a) limitação de compartilhamento de dados pessoais com fornecedores;
b) formalização de contratos com fornecedores e parceiros de negócio com quem são compartilhados dados pessoais, a fim de que tais fornecedores e parceiros de negócio se obriguem ao cumprimento da LGPD e a adoção de determinadas medidas;
c) definição da temporalidade de retenção dos dados pessoais em cada um dos processos e dos métodos de eliminação utilizados após atingidos os prazos;
d) formalização e registro dos consentimentos (livres, específicos e informados) para os processos cuja a base legal for o consentimento;
e) limitação da coleta de dados pessoais desnecessários para alcançar a finalidade/objetivo dos processos;
f) formalização de termos de adesão, com avisos de privacidade, para benefícios optativos alcançados para colaboradores e dependentes e, também, quando aplicável, para associados;
g) elaboração de relatórios de impacto á proteção de dados pessoais nos processos em que for identificada a necessidade;
h) elaboração de avaliações de legítimo interesse nos processos cuja a base legal for o legítimo interesse;
i) implementação de ajustes específicos em sistemas e sites;
j) descontinuação de processos sem base legal legítima;
k) regularização de transferências internacionais, se houver;
l) informações explícitas aos titulares sobre o tratamento de dados pessoais incorporadas aos processos – por meio de documentos, avisos de privacidade, informativos e outros;
m) realização de treinamentos e conscientizações sobre novas políticas, normas e procedimentos.
Vale lembrar que em projetos de adequação conduzidos com qualidade, são centenas as ações identificadas para correção de gaps de processos. Pense o seguinte: se na sua cooperativa forem realizados 100 processos de negócio com dados de pessoas físicas e 3 gaps forem identificados em cada um deles, em média, serão 300 ações corretivas para realizar.
Acima exemplificamos medidas estruturantes para os programas de conformidade, que criam diretrizes jurídicas, organizacionais e de segurança da informação e também medidas especificas para correção de gaps identificados em processos. No entanto, cada cooperativa tem suas peculiaridades diante do contexto dos negócios que desenvolve, da complexidade da sua estrutura operacional e de sistemas da informação, de eventuais regulamentações específicas que incidam sobre sua atividade, além de outras individualidades. Com isso, os projetos de adequação à LGPD devem ser realizados de forma customizada: soluções de gaveta não levam a um nível satisfatório de conformidade. Não deixe de ler nosso material sobre erros comuns no projeto de adequação, clicando aqui.
O que se espera da etapa de correção?
- Implementação de ações corretivas para todos os gaps jurídicos, organizacionais e de segurança da informação identificados nos processos que se utilizam de dados pessoais e na estrutura que oferece suporte para tais processos;
- Implementação de medidas estruturantes do programa de governança, tais como políticas, normas e procedimentos. Sugerimos que você leia nossos conteúdos sobre documentos que evidenciam a conformidade clicando aqui.
Sugerimos que você leia nosso conteúdos sobre documentos que evidenciam a conformidade, clicando aqui.
Quinta etapa – mitigação e manutenção
O quinto e último passo é a consolidação das correções realizadas, das políticas, normas e procedimentos estabelecidos. Nesta etapa, as cooperativas devem incorporar todas as diretrizes de políticas, normas e procedimentos nas novas atividades que passarem a realizar (considerando que, naquelas já mapeadas e corrigidas, tais diretrizes já estarão contempladas). Ainda, devem implementar procedimentos de auditoria contínua para os controles de governança estabelecidos para manutenção da conformidade (ex.: auditoria de terceiros, de cumprimento de prazos de retenção, de incorporação de cláusulas contratuais, de atualização dos documentos e etc.).
É recomendável que as reuniões do comitê de LGPD da cooperativa sejam realizadas com frequência, no mínimo, mensal. As políticas, normas e procedimentos talvez necessitem de atualização na medida em que os processos da cooperativa com dados pessoais sofram algum tipo de alteração ou na medida em que passem a ser realizados novos processos – o negócio, como você sabe, é dinâmico, novas atividades serão realizadas após a conclusão do mapeamento. É essencial, portanto, que as áreas e seus respectivos gestores informem ao encarregado pelo tratamento de dados pessoais sempre que as atividades já mapeadas sofrerem alteração de fluxo ou de outras características, assim como informem sobre novas atividades que passarem a ser realizadas.
Nesta fase, a cooperativa poderá realizar ações de educação, conscientização e comunicação, evidenciando as principais medidas implementadas e transformando o trabalho realizado em valor para o negócio.
O tema LGPD não se esgota, já que vários procedimentos precisam ser mantidos e atualizados para a cooperativa estar em conformidade. Com o passar do tempo, o programa de conformidade em proteção de dados pessoais irá ganhar corpo e maturidade. Até lá, não há outra alternativa: é preciso colocar as mãos na massa e envolver colaboradores, prestadores de serviço e parceiros de negócio nas medidas de adequação e manutenção da conformidade.
Continue Navegando
