Projeto de conformidade LGPD em 5

passos
 Published on March 21, 2020

Carlos Machado
Co-Founder & DPO Consultant | A7Consult
4 articles Follow

Em artigos anteriores falamos sobre o Sistema de Proteção de Dados e Privacidade (Sistema

DP&P) ou Data Protection and Privacy Management System (DP&P System), que é um
modelo de governança, integrado e indicado nas principais literaturas sobre o tema em
questão, para obter e dar continuidade na conformidade com leis de privacidade de dados
para as organizações. Esse modelo de governança inclui uma metodologia, estratégia e
indicação de um conjunto de políticas, procedimentos e várias técnicas consideradas
essenciais para obter a conformidade.

Nesse artigo iremos falar sobre as 5 etapas para um implementação do Sistema de Proteção
de Dados e Privacidade, que são elas: Proteção de dados e preparação da privacidade,
Organização de proteção e privacidade de dados, Proteção e desenvolvimento de dados e
privacidade e implementação, Proteção de Dados e Governança da Privacidade e Proteção e
Avaliação de Dados e Melhoria.

Cabe fazermos novamente a observação que esse modelo de implementação deve ser
utilizado como uma trilha (utilizado de forma flexível, aberta a mudanças, adaptável a
realidade de cada organização) e não como um trilho (pré-definido, sem agregar o valor
devido, seguindo a risca todos os detalhes e tornando o projeto inviável).

O objetivo geral do Sistema DP&P para as organizações é projetar, desenvolver e

implementar seu próprio Sistema Integrado de Proteção de Dados e Gerenciamento de
Privacidade para gerenciar melhor seus dados e mitigar os riscos e essas são as fases do
sistema:

Fase 1:  Proteção de dados e preparação da privacidade

Objetivo: Assim como em qualquer projeto, o planejamento é essencial para o sucesso e é

nessa fase que a organização dedica grande parte dos esforços para realizar uma análise de
GAP, identificando as necessidades e o requisitos de proteção de dados e privacidade que
precisa ajustar e elaborar um plano ação assertivo para conduzir as demais etapas.

Atividades:

  Definição do comitê de privacidade e DPO

 Coleta de leis que geram impacto para o negócio
 Mapa de Dados
 Análise de Impacto
 Análise de Risco de TI (Cale uma observação para execução de um
Pentest ou pelo menos uma análise de vulnerabilidade em uma
melhor análise de risco)
 Estabelecer programa de proteção de dados (estratégia,
comunicação, treinamento)
 Plano de ação para implementação

Saídas:

 Mapa de Dados
 Análise de Impacto sobre Proteção de Dados (AIPD)
 Política de Privacidade e Proteção de Dados
 Plano de treinamento (técnico e operacional)
 Plano de ação e orçamento

Fase 2: Organização de proteção e privacidade de dados

Objetivo: Uma vez que a organização identificou os GAPs e requisitos para adequação,
nessa fase será planejado o "como" será feito a conformidade, através da definição de
políticas, procedimentos e criação/alterações de contratos. Através dessa etapa a organização
terá maturidade para definir requisitos de tecnologia, processos e parceiros.

Atividades:

  Definir funções e responsabilidades para a equipe (DPO, Comitê de

privacidade, Equipe de Segurança da Informação)
 Obter o envolvimento da alta direção no projeto (Comunicados e
principalmente garantindo recursos como mão de obra e recurso
financeiro)
 Definir treinamentos (Formação em privacidade de dados para o
comitê, plano de resposta a incidentes, conscientização em
segurança da informação e privacidade, etc)
 Definição e atualização de políticas (Política de Segurança da
Informação e suas sub políticas como backup, controle de acessos,
gestão de atualizações, gestão de riscos, gestão de resposta a
incidentes, Política para solicitações, reclamações e retificação de
dados, etc)

Saídas:

 Definição dos papéis e responsabilidades

 Programação de capacitação
 Criação/atualização de políticas
 Criação/atualização de procedimentos
 Criação/atualização de contratos

Fase 3: Proteção e desenvolvimento de dados e privacidade e

implementação

Objetivo: Nessa fase a organização começa a ter as práticas de conformidade (medidas e

controles para proteção de dados pessoais), implantando as políticas, procedimentos,
tecnologia e treinamentos.

A essa altura a organização já conhece seus gaps, planejou, definiu as estratégias e agora
passa a implementar medidas para ter a visibilidade do que acontece com os dados pessoais
(Quem, o quê, onde, como, quando e por quê), garantir que os princípios são seguidos, o
tratamento de dados pessoais seguem bases legais que justificam e que há o respeito dos
direitos dos titulares, além de medidas para eliminar ou minimizar riscos e as contra medidas
para casos de violação de dados pessoais.
Atividades:

 Execução de treinamentos técnicos e organizacional para

privacidade de dados e mudança de procedimentos (Pode ser
necessário treinamentos para mudar uma rotina na organização para
minimizar risco, treinamentos de conscientização sobre privacidade
de dados, treinamentos para capacitar a equipe técnica a usar
ferramentas de tecnologia, etc)
 Implementação de ferramentas técnicas para o controle na proteção
de dados pessoais
 Efetivação de contratos com operadores ajustando responsabilidades
na salva guarda de informações e com colaboradores, estabelecendo
as responsabilidades para cada papel na organização.

Saídas:

 Evidências de controles de segurança de dados (Contratos, políticas,

logs, etc)
 Processos de negócio e técnicos implementados ou ajustados para
garantir a conformidade 

Fase 4: Proteção de Dados e Governança da Privacidade e Proteção

Objetivo: Após a fase de implantação, a organização deve avaliar o projeto executado,

validando se as evidências de conformidade são possíveis, ajustar aquilo que for encontrado
de não conformidade, se os riscos foram minimizados, eliminados ou aceitos e se o plano de
resposta a incidentes está estabelecido.

Atividades:

 Auditorias de avaliação do projeto

 Atualização de políticas e procedimentos

Saídas:

  Relatório de auditoria e conformidade (Gaps analisados na fase 1

foram superados, riscos foram eliminados ou minimizados e a
organização já consegue responder a incidentes de violação de
dados, além de estar capacitada para dar as respostas necessárias à
ANPD em casos de reclamações ou investigação).

Fase 5: Avaliação de Dados e Privacidade e Melhoria

Objetivo: Nessa última fase a organização passa a ter o desafio de manter a estrutura de
governança, atualizando sua tecnologia, reciclando e capacitando profissionais,
acompanhando relatórios e realizando auditorias e avaliações de riscos.

Além disso, para cada nova tecnologia, processo ou negócio da organização, já deve ser
criado pensando em privacidade, analisando riscos, verificando se novas medidas de proteção
serão necessárias, se os princípios estabelecidos na lei estão sendo seguidos e se
procedimentos terão que ser ajustados. Tudo isso é o que a legislação chama com o termo
de Privacy by design.

Atividades:

 Auditorias (internas e externas)

 Avaliações de Impactos sobre Proteção de Dados
 Monitoramento de leis e regulamentos

Saídas:

 Relatório de auditoria
 Relatório de avaliação de impacto
 Relatório de monitoramento de leis
O tempo médio de implantação dessas fases, pela experiência que obtivemos no mercado, é
de 6 a 8 meses, considerando bastante o fôlego da organização na participação ativa no
projeto.