Notícias

LGPD - Por onde devo começar?

 

Visitando as empresas para falar de LGPD, Lei Geral de Proteção de Dados, percebemos que as organizações estão confusas com tantas opiniões conflitantes e algumas vezes desenhando um cenário demasiadamente trágico e com riscos exagerados. Outras não entendendo a importância da nova lei e praticamente a ignorando.

Não há um consenso no mercado de qual é a melhor maneira de se adequar a LGPD e mitigar os riscos inerentes aos negócios. Desta forma resolvemos escrever este artigo com a visão de quem já foi CIO e sabe os desafios que esta função impõe.

Um correto gerenciamento de risco nos orienta que devemos avaliar a probabilidade e o impacto desta ocorrência versus o custo em combatê-la, portanto não basta apenas uma análise jurídica ou avaliar novas ferramentas de TI, mas devemos buscar uma análise global com todas as áreas que controlam ou operam as informações necessárias para o negócio.

Como experiência, recomendamos que faça a seguinte pergunta:

COMO GARANTIR A PROTEÇÃO E A INTEGRIDADE DOS DADOS DA MINHA EMPRESA HOJE?

Sugerimos que, inicialmente, preocupe-se apenas em entrevistar as áreas que controlam e operam as informações tais como: Alta gestão (estratégia de negócio), RH, Jurídico, Marketing, Gerencias de negócios, produtos e serviços, Governança e demais áreas que controlam ou operam as informações de clientes, entendendo quais são os dados necessários, como eles entram na organização, como são armazenadas, validade, compartilhamento, retenção entre outros atributos.

Este levantamento tem como objetivo classificar a informação e entender o ciclo de vida dos dados na sua empresa.

Depois verifique os processos e suas integrações da área de TI/SI, que são responsáveis pela guarda e processamento das informações, como a área de TI/SI interage através de processos com as demais áreas da empresa e os controles existentes para garantir a confidencialidade, integridade e disponibilidade dos dados.

Além disso faça uma análise técnica na área de TI verificando as ferramentas implantadas, como estão configuradas, mantidas e faça uma análise de possíveis vulnerabilidades.

Agora você terá condições de montar um relatório de recomendações para alta direção baseado no levantamento das ameaças que o permita mapear os riscos existentes e determinar um equilíbrio entre os impactos de um incidente versus os custos das ações para evitá-los.

Encerrando-se a fase I que irá fornecer o ciclo de vida dos dados de sua empresa, a classificação das informações, a identificação das ameaças, o mapeamento e gerenciamento dos riscos ao negócio você poderá montar um Roadmap de ações a serem implementadas após aprovação do Board.

A SGV Advogados, fundada há 21 anos, conta hoje com uma equipe que atua há 36 anos na área de TI, sendo 20 anos em gestão e 8 anos em Consultoria Empresarial, com experiências como CIO, Head de e-commerce e em serviços gerenciados de TI e especializado em gerenciamento de ambientes de missão crítica. Assim, passamos a membro do Comitê de Segurança da ANPPD.ORG - Associação Nacional dos Profissionais em Proteção de Dados Pessoais, representantes do IPRODAPE, Instituto de Proteção de Dados Pessoais na Região Metropolitana de Campinas e São Paulo e também associado ABNT, especialmente com experiência em implementação das principais normas internacionais como: ITIL, SOx, ISO 9000, ISO 27001 e especializado em adequação a LGPD, ISO 27701 e GDPR com certificação internacional de DPO pela EXIN desenvolvendo a metodologia de adequação em negócios e processos. 

 

Dúvidas entre em contato - SGV ADvogados 19 39362487

 

 

Top