Como a S2 Consultoria se Adaptou à Lei Geral de Proteção de Dados? Confira

21 de janeiro de 2021

A Lei Geral de Proteção de Dados, de número 13.709/2018, conhecida como LGPD, vigora no Brasil desde 15 de agosto de 2020, exigindo adequação de empresas de todos os portes para o cumprimento das novas regras.

Muitos negócios, porém, já começaram a se preparar bem antes da aplicação da lei, investindo em cibersegurança e implementando sistemas de compliance efetivos para prevenir, detectar e remediar violações de dados pessoais.

É esse o nosso caso aqui na S2 Consultoria, em que os trabalho de preparação e adequação começaram ainda em 2019, virando tema de Trabalho de Conclusão de Mestrado na Escola Superior de Negócios Atlântico, de Portugal. Quer saber como fizemos? 

Para ajudar quem está começando a implementar um processo de adequação à LGPD, separamos alguns dos principais pontos da

nossa experiência com base no trabalho de Eduardo Almeida dos Santos e Solange da Cruz Almeida dos Santos, com a supervisão do Dr. João Paulo Peixoto. Confira a seguir!

Por que se adequar à LGPD?

A Lei Geral de Proteção de Dados é um conjunto de normas que regulamentam como os dados pessoais dos indivíduos devem ser tratados, armazenados e transferidos pelas empresas.

O objetivo é garantir mais transparência e segurança no uso e na proteção das informações pessoais por parte dos negócios. 

Portanto, os responsáveis pela captação e armazenamento dos dados digitais devem adotar medidas e, assim, evitar punições rigorosas como estabelece o artigo 52 da Lei, tais como:

  • Multa de até 2% do faturamento, podendo chegar a até R$ 50 milhões por infração;
  • Obrigação de divulgação em caso de infração;
  • Bloqueio dos dados pessoais a que se refere a infração.

Além do risco de punição, tomar medidas para cumprir as regras da nova lei também é importante para melhorar o relacionamento com clientes, garantindo mais transparência e segurança nas operações da empresa.

Como foi a adaptação da S2 Consultoria para cumprir a LGPD

Por meio de práticas de gestão de projetos baseados no “PMBoK Standards”, o processo de implementação das adequações à LGPD na S2 contou com a adoção de um programa de segurança da informação e pode ser dividido em 3 etapas:

  1. Revisão dos controles e processos existentes;
  2. Mapeamento das fragilidades e níveis de riscos em relação a proteção dos dados em poder da Empresa;
  3. Definição das medidas de implementação;

Vamos detalhar um pouco melhor de cada etapa a seguir.

Guia PMBoK

Como já citado acima, para a adequada aplicação do plano de ação nos apoiamos no conjunto de práticas de gestão de projetos organizado pelo Instituto PMI, o “PMBoK Standards”.

Em sua 5ª edição, o guia PMBoK reconhece 47 processos, divididos em 10 áreas de conhecimento em 5 grupos, sendo:

  • Iniciação
  • Planejamento
  • Execução
  • Monitoramento e Controle
  • Encerramento

Veja na imagem abaixo como foi feita a organização para revisão dos controles e processos:

Mapeamento das fragilidades e riscos

Para investigar quais dados privativos estão em posse da S2, bem como nossas políticas e procedimentos internos, elaboramos alguns questionamentos com base na referida Lei.

O resumo das fragilidades e riscos encontrados, podem ser visualizados na tabela a seguir:

Com o levantamento acima, identificamos risco alto no uso de dados pessoais, além de possibilidades de melhorias nas políticas internas. Com isso, elaboramos um plano de ação, que explicaremos a seguir. 

Plano de ação para adaptação à LGPD:

Baseado nas fragilidades e riscos mapeados, definimos um plano de ação para mitigar o alto risco corrente, seguindo 30 medidas, que resumimos aqui em:

  1. Discussão da LGPD para esclarecer todos os requerimentos;
  2. Indicação de um Encarregado da Proteção de Dados (EPD) que será responsável internamente;
  3. Mapeamento da operação e análises dos fluxos dos processos;
  4. Aprovação do Termo de Abertura do Projeto;
  5. Mapeamento dos dados de terceiros em poder da Empresa;
  6. Identificação de GAPs com base no banco de dados e templates utilizados;
  7. Definição de cronogramas, orçamentos e ferramentas necessárias para planejar e atender ao prazo da implementação;
  8. Aprovação do Relatório de Identificação de GAPs;
  9. Aprimoramento do banco de dados de terceiros em poder da Empresa;
  10.  Elaboração de política geral de proteção de dados detalhando medidas e controles;
  11.  Criação de texto sobre proteção de dados para ser divulgado no website da Empresa;
  12.  Elaboração de cláusula adicional para o contrato padrão de prestação de serviços para adequação aos padrões de proteção de dados;
  13.  Criação de comunicado para envio aos titulares dos dados;
  14.  Ajuste/redação de termo de autorização de utilização de dados;
  15.  Ajuste/redação de política de segurança da informação;
  16.  Ajuste/redação de política de gestão de acesso e sistemas;
  17.  Verificação da adequacidade das políticas e controles dos prestadores de serviços em relação ao termo de confidencialidade;
  18.  Aquisição de uma fragmentadora de papel para auxiliar no momento da necessidade do descarte da informação de forma segura;
  19.  Criação de um canal de comunicação para reportar incidentes e violações;
  20.  Elaboração de uma apresentação para conscientização interna;
  21.  Criação de consciência dentro da Empresa a respeito dos novos processos, políticas, documentos e contratos;
  22.  Aprovação de todos os novos procedimentos desenvolvidos;
  23.  Introdução de materiais de treinamento e treino aos operadores;
  24.  Atualização dos fluxos com base nas implementações efetuadas ou novos negócios/atividades;
  25.  Aprovação do Relatório Final de Implementação do Plano de Ação;
  26.  Monitoramento de que todos os templates desenvolvidos têm sido utilizados, assinados e arquivados;
  27.  Revisão independente e periódica a respeito da efetividade dos controles internos e externos;
  28.  Realização de treinamentos internos periódicos com funcionários internos e terceiros;
  29.  Obtenção de confirmação anual formal de todos os funcionários;
  30.  Aprovação do Relatório de Revisão dos Controles e Termo de Encerramento do Projeto.

Com a aplicação e manutenção dessas 30 medidas, acreditamos que a S2 garante a adequação completa das exigências da Lei e a consequente mitigação dos riscos de sanções administrativas por descumprimento daquela.

O trabalho é constante e deve ser acompanhando de melhorias contínuas, mas o processo de adaptação já trouxe vantagens como a geração de conhecimento e valor a todos os envolvidos, nos auxiliando ainda a estruturar os controles internos de forma mais robusta.

E aí, já começou a implementar as adaptações para a LGPD na sua empresa? Esperamos ter contribuído para os seus trabalhos. Deixe suas dúvidas nos comentários que teremos prazer em respondê-las!