A DM11 é a parceira da MORE Sec / Picture na implementação de projetos de LGPD – A DM11 tem vasta experiência nacional e internacional na avaliação e implementação de controles e na interpretação de requisitos legais e regulatórios, elementos-chave para projetos de preparação de conformidade com a LGPD/GDPR.

ABORDAGEM:

Ouvir: conhecemos a visão da postura atual de segurança e privacidade de dados, bem como as expectativas futuras de sua empresa e o grau de tolerância a riscos que irão definir os critérios de gestão necessários. Identificamos seus objetivos de negócio. Percebemos suas preocupações específicas e registramos suas expectativas.

Entender: levantamos informações, identificamos seus ativos sensíveis e críticos, mapeamos seus dados em detalhe, diagnosticamos lacunas e riscos, formulamos recomendações de melhores práticas, planejamos e avaliamos soluções modernas para atingir os objetivos traçados. Avaliamos em conjunto onde as mudanças necessárias serão mais fáceis de serem absorvidas.

Melhorar: acompanhamos a implementação do que foi planejado, visualizamos a evolução da postura de proteção da privacidade e dos dados, avaliamos as soluções e apontamos as melhorias cabíveis. Atualizamos os indicadores e o roadmap. Planejamos a evolução da maturidade em novos ciclos ou por meio de serviços complementares.

Etapas para a adequação de sua empresa à LGPD / GDPR

1) Diagnóstico: identificação das áreas, linhas de negócio, clientes e outras entidades relacionadas e avaliação das práticas de governança e gestão:

Avaliação de gaps de segurança da informação, compreendendo políticas, procedimentos e tecnologias em vigor.
Avaliação de riscos nos ativos, compreendendo falhas de segurança em pessoas, processos e tecnologias e análise de registros de impactos de vazamentos de dados.
Avaliação de maturidade na gestão da privacidade, compreendendo os procedimentos de controle específicos exigidos pela LGPD / GDPR.

2) Mapeamento dos dados pessoais: iniciando com uma conscientização nos temas de segurança e privacidade,será feito um levantamento minucioso do impacto da privacidade de dados pessoais.

O mapeamento leva em conta as hipóteses que a lei contempla para dados pessoais, identificando os processos, tecnologias, pessoas envolvidas no ciclo de vida desses dados, compreendendo:

Coleta de dados pessoais (inclusive IoT e dispositivos móveis),
Processamento (inclusive com regras de big data e inteligência artificial),
Compartilhamento e transferências dos dados na cadeia de valor (internas, entre empresas, inclusive em nuvem e em diferentes países).
Esse trabalho resulta num inventário de dados pessoais, classificando-os quanto a sua sensibilidade, e permitindo a governança desses dados, contemplando os responsáveis, usuários e terceiros envolvidos, inclusive classificando os operadores (terceiros) desses dados.

A metodologia utilizada para avaliar o impacto considera a capacidade da empresa em gerenciar o acesso e compartilhamento desses dados, a capacidade de controle pelas equipes de usuários que manuseiam tais dados dentro dos propósitos legítimos, dentre outros pontos relevantes.

O resultado de todo esse levantamento é submetido a uma avaliação jurídica, consolidando o relatório de impacto da privacidade de dados pessoais.

3) Proteção e conformidade: iniciando com uma definição dos direitos do titular dos dados, são criados documentos de alto nível, como a Política de Proteção de Dados Pessoais e a Política de Retenção de Dados.

São ainda criados ou atualizados os documentos obrigatórios ou recomendados para permitir que a empresa implemente controles administrativos, técnicos ou de proteção legal, e que assegurem o cumprimento da legislação, a saber:

Procedimento de solicitação de acesso aos dados.
Formulários de consentimento relativo aos dados pessoais.
Guia de atendimento às solicitações.
Revisão de contratos com operadores de dados pessoais (internos e terceiros nacionais e internacionais).
Recomendação de controles que permitam gerenciar os ciclos de vida dos dados pessoais, assegurando sua confidencialidade, integridade, disponibilidade e privacidade, nos diversos contextos organizacionais e do negócio.
Plano de resposta a incidentes de privacidade.

IMPORTANTE

A implantação de proteção de dados e da privacidade é concluída nesta etapa. Todos os esforços anteriores visam à estruturação da empresa para atender as exigências da LGPD / GDPR.

No entanto, todas as iniciativas somente serão bem-sucedidas se houver um Programa que assegure a eficácia e a atualização dos controles aplicados. Este é o objetivo da etapa a seguir.

4) Gerenciamento e operação: essa etapa contempla os desafios de manter continuamente a conformidade com a LGPD / GDPR e, simultaneamente, aumentar o nível de maturidade organizacional no que se refere à segurança e à privacidade de dados pessoais.

Nesse sentido, é sugerido um Programa de Gestão de Riscos e da Privacidade que contemple atividades relevantes para definição, operação e melhoria contínua da estrutura implantada, tais como:

Definição

Constituição do DPO e um comitê de privacidade e proteção dos dados.

Operação

Gestão de vulnerabilidades
Análise de desvios e incidentes
Teste de eficácia dos controles
Monitoração e resposta a incidentes de privacidade
Avaliação dos impactos de proteção aos dados

Melhoria

Avaliação Geral da Conformidade e Maturidade da LGDP
Revisão das Normativas
Revisão de Controles de Segurança e Privacidade
Revisão da Continuidade de Negócios
Revisão dos Controles Jurídicos
Revisão da metodologia de avaliação de impacto de proteção de dados pessoais
Ciclos de treinamento e conscientização

Produtos finais

  • Relatório de Avaliação da Maturidade de Segurança.
  • Relatório de Conformidade com a LGPD / GDPR.
  • Kick-off show para conscientização em SI e Privacidade.
  • Inventário de Dados Pessoais.
  • Relatório de Impacto de Proteção de Dados Pessoais (DPIA).
  • Procedimentos administrativos, técnicos e de proteção legal.
  • Plano de resposta a incidentes de privacidade.
  • Plano de ação para adequação e implementação de controles, recomendações e instrumentos necessários.
  • Programa de Gestão de Riscos e da Privacidade.

SERVIÇOS RELACIONADOS

Para apoiar todas as etapas apresentadas visando a proteção de dados e da privacidade, em conformidade com a LGPD / GDPR, é oferecido os seguintes serviços relacionados:

Conscientização de Colaboradores
Privacidade e Proteção de Dados (educação)
Classificação da Informação
Gestão de Vulnerabilidades
DPO as a Service