Certificação LGPD para empresas: Ela existe?
Será que há algum órgão ou entidade, capaz de certificar empresas em seus processos para a conformidade à Lei Geral de Proteção de Dados? A resposta é não. Leia mais neste artigo.Certificação LGPD: Porque ela não é uma realidade?
A LGPD é uma lei muito interessante. Assim como sua “irmã” europeia (GDPR), ela é baseada em princípios básicos que têm como objetivo salvaguardar a privacidade de pessoas. Ela é taxativa quando determina as bases legais, critérios e situações pelas quais empresas podem processar dados pessoais, mas ela não define:
- Quais são as melhores práticas para implementação;
- Tecnologias e ferramentas a serem consideradas;
- Investimento necessário;
- Nem mensura apetite de risco, ou adoção faseada de melhorias em processos e sistemas.
Adequação à LGPD começa nos processos
Antes de pensar em ferramentas, técnicas, ou qualquer outra atividade para adequar sua empresa, nada é mais importante do que identificar os processos, sistemas e dados sendo tratados por esta. Neste ponto, cada projeto de adequação é único porque não há empresas 100% similares, com processos similares, justificativas similares, procedimentos, politicas, cultura e ferramentas similares.
Cada empresa possui seu processo de aquisição dos dados e da gestão de seu ciclo de vida.
Cada empresa trata dados com os mais distintos fornecedores.
Cada empresa opta, dentro dos seus processos / procedimentos / padrões de TI, a seguir frameworks de segurança da informação (ex. ISO, NIST, etc).
Cada empresa terá seus LIAs, PIAs, contratos e documentações acessórias realizadas nas mais diferentes formas e formatos, com diferentes interpretações, baseados em sua própria cultura, disponibilidade técnico-financeira e apetite ao risco.
Cada empresa, então, irá priorizar e optar pelas mais diferentes formas de tratar cada risco priorizado.
Sendo assim, muito provável que não exista uma única entidade certificadora reconhecida, disposta a emitir selos de “conformidade”.
Desenvolvendo programas de privacidade e proteção de dados para a LGPD
O que é sempre oportuno relembrar, é que o investimento em um programa de adequação à LGPD e às demais normas referentes à segurança da informação, além de proteger os processos internos e minimizar riscos de sanções, aumenta o “valor” de negócios e a confiança dos consumidores / empresas parceiras.
Programas de privacidade auxiliam na conscientização constante dos colaboradores sobre a importância de termos tratamentos seguros, conformes e centrados nas pessoas. Transformam o mindset de que os dados “são da empresa” para um pensamento de que “somos fiéis depositários” do dado pessoal. Por consequência, permitem que cada análise torne-se mais rica e detalhada, aumentando – cada vez mais – a “conformidade” com a LGPD.
Igualmente importante mencionar que qualquer mapeamento, análises ou auditorias, apenas tiram uma “fotografia” daquele momento. E adequação à LGPD ou a implementação de ações voltadas à segurança da informação é uma ação constante e ininterrupta.
Assim, processos e sistemas deixam de ser estáticos e se transformam em “organismos vivos”, sendo reavaliados de tempos em tempos para implementar melhorias, novas boas práticas, novas ferramentas, novos entendimentos.
DPO-as-a-Service: Como uma consultoria pode ajudar sua empresa?
Seja no modelo de DPO-as-a-Service ou na Operação Assistida, uma consultoria como a nossa pode:
-
- Auxiliar sua empresa na criação de conhecimento organizacional sobre Privacidade e Proteção de Dados;
- Auxiliar na identificação das melhores práticas de mercado e suportar a aplicação (total ou parcial) das mesmas, dentro do contexto empresarial;
- Auxiliar na produção e revisão de documentações (contratos, políticas, procedimentos, assessments, etc);
- Fazer o push das áreas relevantes para a implementação de ações voltadas à conformidade e dar consultoria interna às mais diversas áreas e verticais;
- Dar visibilidade à LGPD, à Privacidade e Proteção de Dados de forma geral;
- Auxiliar a mapear, mensurar e gerenciar os riscos identificados;
- Sugerir e gerenciar as ações corretivas;
- Participar dos processos de auditoria interna;
- Entre outros.
Certificação profissional e empresarial
Agora, certamente, certificações profissionais existem! Como por exemplo as da EXIN (PDPE, PDPF, DPO), ou aquelas voltadas pontualmente para a segurança da informação (CISSP, CompTia, CISM, etc), estas sim são extremamente relevantes. Assim como as demais certificações empresariais – como as da família ISO 27000, qualidade (e similares) – existem e podem ser avaliadas dentro do contexto da adequação.
De toda forma o importante mesmo é ter o comprometimento constante em garantir que os dados pessoais sejam usados dentro do contexto informado (e permitido), pelo tempo necessário, com a quantidade de informações minimamente necessárias e com a segurança necessária que você gostaria que o SEU dado fosse tratado por uma empresa terceira.
Sempre lembrando que: Prevenir é melhor (e mais econômico) do que remediar.
Obrigado pela leitura!
Suportamos sua empresa na jornada de conformidade!
Conheça toda nossa linha de atuação consultiva na Lei Geral de Proteção de Dados.
CONSULTORIA, TREINAMENTOS E PROJETOS DE ADEQUAÇÃO PARA A LGPD
- Consultoria e projetos de adequação
- Treinamentos e cursos
- Adequação de sistemas (sites, aplicações, mobile apps, etc)
- Gestão de Projetos / PMO
- DPO HELPER: Ferramenta online para mapeamento de processos, tratamentos, sistemas e dados
- Ferramenta online para avaliação de conhecimento organizacional sobre a LGPD
- Revisão ou auditoria pontual em projetos / processos