Atuar de acordo com a Lei Geral de Proteção de Dados Pessoais (LGPD) é um dos grandes desafios de diversas empresas atualmente. Entre esses desafios, podem ser citados, por exemplo, a complexidade das medidas, o volume de trabalho, a necessidade de conhecimento sobre a LGPD, a necessidade da metodologia adequada e o desconhecimento dos impactos.
Fases de maturidade da LGPD
Superar tais desafios impacta, diretamente, o entendimento das Fases de Maturidade da LGPD. Segundo a STWBrasil, empresa que atua há mais de 20 anos na entrega de soluções tecnológicas, há cinco estágios de maturidade, separados em três fases. No primeiro estágio (não aplicável), há pouca ou nenhuma adequação. Em uma fase informal, há processos e procedimentos não documentados, além da ausência de controles de segurança. O segundo estágio (iniciado) é o momento de realização da adequação interna. Inserido na fase parcial, os processos e procedimentos são parcialmente documentados; e há alguns controles de segurança.
Ainda de acordo com a empresa, na sequência, durante o estágio três (adequado), ocorre um programa de adequação de governança de LGPD. Aqui, inicia-se a fase formal, com processos e procedimentos documentados, controles de segurança, controles técnicos de governança e segurança da informação e controles jurídicos LGPD (políticas de privacidade/cookies/governança de dados). Na sequência, no estágio quatro (gerenciado), há o acompanhamento e desempenho do âmbito da LGPD (interno/assessoria); e no estágio cinco (otimizado), e último, a análise de vulnerabilidades, avaliação de desenvolvimento do programa/aperfeiçoamento contínuo e auditoria.
A STWBrasil aponta que, além de compreender as fases de maturidade da LGPD, é importante que as empresas estejam conscientes da sua situação atual e que, investindo em um projeto de qualidade por meio de especialistas no assunto, é possível ser direcionado, diretamente, para o terceiro estágio. Além disso, projetos desse tipo têm o grande desafio de manter um programa de manutenção de governança de dados, o qual envolve acompanhamento contínuo a partir de um programa de treinamento e entregas técnicas que checam possíveis vulnerabilidades.
Framework de implantação
A STWBrasil, ainda nesse sentido, apresenta um framework de implantação apresentando as fases de atuação em conjunto, uma visão dos entregáveis e do tempo de projeto. Segundo a empresa, a primeira fase (levantamento) ocorre em um mês de projeto. Nela, estão dispostas as seguintes atividades: criação de membros do comitê, nomeação do DPO, criação dos canais de comunicação, agendamentos das reuniões, relatório de maturidade, plano de projeto, declaração de aplicabilidade e relatório de análise (inicial).
Na sequência, fase dois (implementação), entre 2 e 6 meses de projeto, há análises jurídicas, validação dos controles, DPIA, envio de documentações: política de segurança da informação, segurança em recursos humanos, gestão de ativos, controle de acesso, segurança nas comunicações, continuidade de segurança da informação e controles específicos da LGPD. Por fim, na terceira fase (avaliação), ocorre o relatório de evidências e o relatório de executivo. A STWBrasil atenta-se para a importância de buscar a implementação do Anexo A da ISO 27001.
A STWBrasil, para ilustrar o processo, ainda discorre sobre as fases reais de implementação do projeto da empresa, para serem entendidos mais detalhes sobre o assunto e o funcionamento interno da organização junto a outras empresas parceiras. Segundo a STWBrasil, são seguidos cerca de 100 controles das normas da ISO e que regem a LGPD.
Na primeira fase, a empresa compreende a necessidade das organizações. Aqui, ela ressalta a importância de um alinhamento entre as áreas jurídicas, Tecnologia da Informação (TI) e lideranças para alinhamento com a nova legislação e mudanças que influenciam a rotina de trabalho.
Durante a preparação, é realizado um assessment (AS-IS) – diagnóstico em que são levantadas as informações sobre a empresa (maturidade, coleta e tratamento do fluxo de informações, políticas e processos). Também é buscado um entendimento de como a organização funciona, gerando um relatório de maturidade para que a outra etapa possa ser iniciada. Ainda nessa fase, por volta de 25 dias, são dadas as atividades de criação do comitê do projeto, definição dos canais de comunicação e planos.
Já na fase dois, a STWBrasil indica como sendo o momento de implantação, ou seja, colocar em prática o planejamento de adequação como um todo, a realização de um mapeamento de dados, a sugestão de alteração dos documentos contratuais, políticas de segurança, contratos e outros ajustes necessários. Além disso, também há a participação do setor de tecnologia para que sejam investigadas as condições de segurança da empresa. Todo esse processo dura de 4 a 5 meses.
E, por fim, na terceira fase, após a implementação do plano de ação, acontece uma nova análise de todos os documentos e políticas adaptadas, a validação dos processos, políticas e ambientes técnicos da empresa. Além disso, também é gerado um relatório de evidência para avaliar a conformidade com a lei. Ao fim, é entregue uma documentação de adequação do projeto de LGPD. Toda essa fase pode ocorrer em 20 dias.
A STWBrasil ainda destaca a necessidade de contar com empresas que possuem um programa completo, com entregas técnicas e jurídicas, para começar de forma rápida a montagem do plano de projeto.
Website: https://www.stwbrasil.com/