fbpx

Adequação e Auditoria à LGPD

Adequação, Auditoria e Certificação de Conformidade com à Lei Geral de Proteção de Dados

Sobre as Leis 13.709/18 e 13.853/19 - Lei Geral de Proteção de Dados − “LGPD”

Após a sanção presidencial, em agosto de 2018, as organizações impactadas por esta legislação precisarão se adequarem às novas regras que foi inserida em um contexto de adequação progressiva do Brasil às melhores práticas globais.

A quem se aplica

  • Pessoa jurídica privada ou publica estabelecida em território nacional que realize tratamento de dados de pessoa física;
  • Organizações com sede no exterior que ofereçam serviços ou tenham operações em território nacional envolvendo tratamento de dados.

Quais serão as sanções?

  • Multa simples de até 2% do faturamento, limitada a R$ 50 milhões de reais por infração;
  • Multa diária;
  • Publicitação da infração;
  • Bloqueio ou eliminação de dados pessoais;
  • Advertências.

Quais as etapas da adequação?

Jornada de Descoberta de Dados

Análise de Risco

Revisão Legal

Relatórios de Análise de Impacto

Quais os passos da adequação à Lei Geral de Proteção de Dados − “LGPD”?

ETAPA 1 - Descoberta dos dados coletados (Mapping + Discovery)

A realização da descoberta dos dados de titulares em todos os processos da empresa é fator para o sucesso do projeto de adequação à LGPD. Com estas informações é que serão realizados: o enquadramento às bases legais para cada tipo de tratamento; identificação dos dados sensíveis; análise de segurança das informações pertinente a dados de pessoas; repositórios de guarda e de controle – seja digital ou físico; identificação de quem coleta, porque coleta, de que forma coleta, se há compartilhamento interno ou externo dos dados, etc…

Qual o resultado esperado nesta fase?

  • Reunião de planejamento dos trabalhos;
  • Identificação das áreas envolvidas e mais expostas;
  • Inventário de dados (descoberta de coleta e tratamento de dados de titulares) – Data Mapping e Data Discovery;
  • Levantamento de fluxo e ciclo de vida dos dados.

Quais as principais atividades nesta fase?

  • Identificar dados pessoais não estruturados em pastas de arquivos, formulários e controles paralelos;
  • Registro formalizado das atividades de tratamento de dados pessoais;
  • Entender a finalidade e necessidade do tratamento de dados pessoais;
  • Identificar o tipo de dados pessoais objeto de tratamento (dados pessoais, dados sensíveis, dados anonimizados e dados pseudonimizados);
  • Identificar no Mapping o ciclo de vida dos dados de titulares;
  • Verificar se há uso compartilhado de dados com outros órgãos do poder público, entes privados ou empresas internacionais;
  • Mapear os dados que devem ser tornados públicos, para cumprimento de obrigação legal.

Quais aspectos relacionados à Segurança da Informação e Privacidade de Dados são verificados?

Existência de Políticas de Segurança da Informação

Procedimentos de guarda e recuperação da informação

Segregação de função e perfis de acesso as informações

Controles que diminuam os riscos de evasão e/ou perda de dados

Acessos aos Servidores e Bancos de Dados

Sistemas e softwares implementados para inibir acessos não autorizados de pessoas

Análise dos testes de phishing e de resiliência a invasões

Uso de certificados de segurança SSL e Criptografia

Administração de banco de dados

Acessos externos à informações

Coleta e gestão de cookies em sites e APPs

Conteúdo protegido!