LGDP … Processos, Governança e Tecnologia
LGPD não é sobre tecnologia é focado nas pessoas
A LGPD é sobre a proteção de dados pessoais de indivíduos, onde a tecnologia irá nos auxiliar nesta jornada. Com a principal necessidade de uma visão holística de todos os dados que possui e manuseia.
Em primeiro lugar, para fazer isto necessitamos de políticas e governança nos processos, sistemas e tecnologias que necessitam estar alinhadas com a LGPD.
“Entenda sua necessidade de controle de dados pessoais em todos os níveis de sua empresa.”
Entendendo os dados e os tornando visíveis
As empresas precisam ser responsáveis pela proteção da privacidade dos dados de seus clientes desenhando processos de negócio em conformidade com a LGPD, baseado em tecnologias apropriadas para coletar e processar dados pessoais.
“Dados são o core de qualquer negócio”
Efetivamente a governança e o gerenciamento de dados devem ser considerados em toda a corporação e não ser tratados em silos.
Desta forma, poderá atender de forma efetiva o rastreamento de dados pessoais, mapeamento e gerenciamento dos dados, automatizar e gerenciar as solicitações de titulares dos dados, gerenciar consentimento, auditar a violação dos dados, comportamentos fora do padrão de forma unificada e com escalabilidade.
A importância dos dados
Segundo o relatório Insights-Driven Businesses Set The Pace For Global Growth, publicado em 2018 pela Forrester, as empresas data-driven crescem mais de 30% anualmente e devem faturar mais de US$ 1,8 trilhões até 2021.
“‘Varejistas’ o uso de dados do consumidor é muito diferente do que outras indústrias podem fazer” – NRF President and CEO Matthew Shay
“Os varejistas usam os dados para atender melhor seus clientes e melhorar a experiência de compra, não para monetizar os dados em si.” – NRF President and CEO Matthew Shay
Um giro pela LGPD
Vamos começar …
Fase 1: Inventário e Descoberta de dados
Fase 2: Análise de gaps
Fase 3: Priorização e planejamento
Fase 4: Implementação
Fase 5: Serviços e Melhoria Continua
Fase 1: Inventário e Descoberta de dados
O inventário de dados constrói a base para todo o esforço de conformidade. Os varejistas devem vasculhar todos os seus sistemas e processos existentes nos negócios para identificar os tipos de informação que atualmente coletam, armazenam e processam.
Este inventário deve identificar claramente todos os locais onde a empresa armazena informações pessoais, bem como os controles de segurança existentes em torno desses dados.
Na conclusão deste processo, o oficial de proteção de dados (DPO) deve ter um forte entendimento dos dados do varejista e do ecossistemas de dados.
Embora o armazenamento e o processamento ainda não sejam compatíveis com os requisitos da LGPD, esta é a primeira etapa importante para alcançar esse objetivo.
Fase 2: Análise de gaps
Com o inventário de dados em mãos, o DPO pode agora realizar uma avaliação de gaps para LGPD. Isso inclui a análise os processos de negócios da organização para verificar se todas as informações são coletadas para fins comerciais legítimos e que está cumprindo a transparência e requisitos de consentimento do LGPD. A avaliação de gaps também deve verificar se o departamento de segurança fornece recursos para gerenciar as informações confidenciais.
O produto final da análise de gaps deve ser uma lista de todas as deficiências de controle na organização que pode exigir remediação. Isso pode incluir uma lista de elementos de dados que não são necessários para uma finalidade, em conformidade ou legítima deve ser excluída, gap no processo de consentimento exigindo que a empresa entre em contato com os clientes, e crie políticas e revisões necessárias para atender aos regulamentos do LGPD e deficiências de controle técnico.
Fase 3: Priorização e planejamento
A avaliação de gaps representa a base para um plano de projeto desenhado para mover a empresa para uma posição totalmente conforme. O time deve desenvolver um plano de projeto e priorizar os esforços com base no custo e dificuldade de cada iniciativa, equilibrada contra o grau de redução de risco.
O gerente de projeto pode então usar esta lista priorizada de esforços para desenvolver um plano detalhado que inclui uma lista das principais entregas e datas-alvo de marcos.
A velocidade de remediação vai depender da prioridade dada à conformidade pela organização e os recursos financeiros e humanos disponíveis para o esforço.
Fase 4: Implementação
Após concluir a fase de priorização e planejamento, a empresa muda para o modo de implementação. Este esforço irá provavelmente incluir uma grande variedade de projetos concebidos para revisar processos de negócios e implementação de novas tecnologias.
Muitos dos projetos em um esforço de remediação serão únicos para alcançar as iniciativas destinadas a conformidade inicial.
Por exemplo, a empresa pode precisar alcançar todos os clientes existentes para notificá-los sobre práticas de privacidade e obter permissão explícita de consentimento para que o processamento de dados continue. Da mesma forma, a empresa pode realizar uma busca nas estações de trabalho dos funcionários para identificar quaisquer informações de identificação pessoal que são armazenadas localmente e transferir esses dados para um local aprovado e seguro.
Outros projetos construirão os sistemas e processos necessários para manter a conformidade de longo prazo com as obrigações da LGPD.
Por exemplo, um projeto pode desenvolver o processo que recebe e cumpre pedidos do cliente para exportação ou eliminação de dados. Da mesma forma, um projeto pode criar um processo contínuo de monitoramento da empresa com objetivo de auditoria, controle e prevenção de perda de dados.
Fase 5: Serviços e Melhoria Contínua
Auditoria LGPD
A auditoria desempenha um papel fundamental para ajudar sua equipe a entender as práticas internas de armazenamento e gerenciamento de dados da empresa, processos de negócios e TI, e avaliar onde a empresa está no caminho para a conformidade com a LGPD.
Regras, contratos, declarações
Na verificação de documentos, o nosso time verifica se as políticas, contratos, declarações, formulários, etc. cumprem os requisitos legais e, se necessário, apresenta propostas de alteração ou preparação de documentos em falta.
Monitoramento da Conformidade LGPD
- Conscientizar a empresa sobre a proteção de dados e as responsabilidades do titular do registro e das pessoas envolvidas no processamento de dados pessoais;
- Prestar assessoria relacionada com a implementação de medidas técnicas e organizacionais;
- Orientar a empresa na realização de avaliações de impacto de proteção de dados;
- Monitorar a implementação e aplicação da política de dados da empresa, incluindo a divisão de responsabilidades, treinamento de pessoal envolvido no processamento de dados e inspeções relativas à proteção de dados;
- Realizar o cumprimento e a aplicação da legislação em cooperação com os advogados da organização;
- Implementar e aplicar os requisitos relativos à proteção de dados desde o projeto, bem como a segurança da informação em cooperação com os advogados e o DPO da empresa;
- Apoiar nas requisições de autoridades de supervisão em questões relativas ao processamento de dados pessoais (com base na necessidade do cliente).
Como posso saber mais?
[email protected] ou ligue 11 5105-7080
Se preferir deixe seus dados no formulário Entre em Contato, que retornaremos em breve.