Certificação LGPD para empresas: Ela existe?

Adequação à LGPD começa nos processos

Antes de pensar em ferramentas, técnicas, ou qualquer outra atividade para adequar sua empresa, nada é mais importante do que identificar os processos, sistemas e dados sendo tratados por esta. Neste ponto, cada projeto de adequação é único porque não há empresas 100% similares, com processos similares, justificativas similares, procedimentos, politicas, cultura e ferramentas similares.

Cada empresa possui seu processo de aquisição dos dados e da gestão de seu ciclo de vida.

Cada empresa trata dados com os mais distintos fornecedores.

Cada empresa terá seu pacote tecnológico e ferramentas de cybersecurity.

Cada empresa opta, dentro dos seus processos / procedimentos / padrões de TI, a seguir frameworks de segurança da informação (ex. ISO, NIST, etc).

Cada empresa terá seus LIAs, PIAs, contratos e documentações acessórias realizadas nas mais diferentes formas e formatos, com diferentes interpretações, baseados em sua própria cultura, disponibilidade técnico-financeira e apetite ao risco.

Cada empresa, então, irá priorizar e optar pelas mais diferentes formas de tratar cada risco priorizado.

Sendo assim, muito provável que não exista uma única entidade certificadora reconhecida, disposta a emitir selos de “conformidade”.

O que pode (e deve) existir, no final das contas, é um relatório de maturidade. Este relatório indica quão bem a empresa performa nos temas de privacidade e proteção de dados, bem como as iniciativas necessárias para melhorar suas posturas. Pode vir acompanhado de um plano de gestão de riscos com as ações específicas de mitigação necessárias e suas datas de conclusão pretendidas. Este relatório, sendo emitido continuamente demonstrará o compromisso da organização no cumprimento das leis e regulamentações vigentes em privacidade. Na Macher Tecnologia, geramos um relatório ao final da fase de discovery e outros ao longo da execução, justamente para medir o quanto uma determinada organização evoluiu no tema no passar das etapas de projeto.

Desenvolvendo programas de privacidade e proteção de dados para a LGPD

O que é sempre oportuno relembrar, é que o investimento em um programa de adequação à LGPD e às demais normas referentes à segurança da informação, além de proteger os processos internos e minimizar riscos de sanções, aumenta o “valor” de negócios e a confiança dos consumidores / empresas parceiras.

Programas de privacidade auxiliam na conscientização constante dos colaboradores sobre a importância de termos tratamentos seguros, conformes e centrados nas pessoas. Transformam o mindset de que os dados “são da empresa” para um pensamento de que “somos fiéis depositários” do dado pessoal. Por consequência, permitem que cada análise torne-se mais rica e detalhada, aumentando – cada vez mais – a “conformidade” com a LGPD.

Igualmente importante mencionar que qualquer mapeamento, análises ou auditorias, apenas tiram uma “fotografia” daquele momento. E adequação à LGPD ou a implementação de ações voltadas à segurança da informação é uma ação constante e ininterrupta.

Assim, processos e sistemas deixam de ser estáticos e se transformam em “organismos vivos”, sendo reavaliados de tempos em tempos para implementar melhorias, novas boas práticas, novas ferramentas, novos entendimentos.

DPO-as-a-Service: Como uma consultoria pode ajudar sua empresa?

Seja no modelo de DPO-as-a-Service ou na Operação Assistida, uma consultoria como a nossa pode:

• • Auxiliar sua empresa na criação de conhecimento organizacional sobre Privacidade e Proteção de Dados;
  • Auxiliar na identificação das melhores práticas de mercado e suportar a aplicação (total ou parcial) das mesmas, dentro do contexto empresarial;
  • Auxiliar na produção e revisão de documentações (contratos, políticas, procedimentos, assessments, etc);
  • Fazer o push das áreas relevantes para a implementação de ações voltadas à conformidade e dar consultoria interna às mais diversas áreas e verticais;
  • Dar visibilidade à LGPD, à Privacidade e Proteção de Dados de forma geral;
  • Auxiliar a mapear, mensurar e gerenciar os riscos identificados;
  • Sugerir e gerenciar as ações corretivas;
  • Participar dos processos de auditoria interna;
  • Entre outros.

DPO e ISO: Certificação profissional e empresarial

Agora, certamente, certificações profissionais existem! Como por exemplo as da EXIN (PDPE, PDPF, DPO), ou aquelas voltadas pontualmente para a segurança da informação (CISSP, CompTia, CISM, etc), estas sim são extremamente relevantes. Assim como as demais certificações empresariais – como as da família ISO 27000, qualidade (e similares) – existem e podem ser avaliadas dentro do contexto da adequação.

De toda forma o importante mesmo é ter o comprometimento constante em garantir que os dados pessoais sejam usados dentro do contexto informado (e permitido), pelo tempo necessário, com a quantidade de informações minimamente necessárias e com a segurança necessária que você gostaria que o SEU dado fosse tratado por uma empresa terceira.

Sempre lembrando que: Prevenir é melhor (e mais econômico) do que remediar.

Obrigado pela leitura!

Adequação à LGPD para setores específicos: Nosso Blog

Veja mais assuntos interessantes em nosso blog:

1. LGPD para a Saúde – Hospitais, Laboratórios, Clínicas e Médicos
2. LGPD para o setor de Educação