Adequação e Auditoria à LGPD
Adequação, Auditoria e Certificação de Conformidade com à Lei Geral de Proteção de Dados
Sobre as Leis 13.709/18 e 13.853/19 - Lei Geral de Proteção de Dados − “LGPD”
Após a sanção presidencial, em agosto de 2018, as organizações impactadas por esta legislação precisarão se adequarem às novas regras que foi inserida em um contexto de adequação progressiva do Brasil às melhores práticas globais.
A quem se aplica
- Pessoa jurídica privada ou publica estabelecida em território nacional que realize tratamento de dados de pessoa física;
- Organizações com sede no exterior que ofereçam serviços ou tenham operações em território nacional envolvendo tratamento de dados.
Quais serão as sanções?
- Multa simples de até 2% do faturamento, limitada a R$ 50 milhões de reais por infração;
- Multa diária;
- Publicitação da infração;
- Bloqueio ou eliminação de dados pessoais;
- Advertências.
Quais as etapas da adequação?
Jornada de Descoberta de Dados
Análise de Risco
Revisão Legal
Relatórios de Análise de Impacto
Quais os passos da adequação à Lei Geral de Proteção de Dados − “LGPD”?
ETAPA 1 - Descoberta dos dados coletados (Mapping + Discovery)
A realização da descoberta dos dados de titulares em todos os processos da empresa é fator para o sucesso do projeto de adequação à LGPD. Com estas informações é que serão realizados: o enquadramento às bases legais para cada tipo de tratamento; identificação dos dados sensíveis; análise de segurança das informações pertinente a dados de pessoas; repositórios de guarda e de controle – seja digital ou físico; identificação de quem coleta, porque coleta, de que forma coleta, se há compartilhamento interno ou externo dos dados, etc…
Qual o resultado esperado nesta fase?
- Reunião de planejamento dos trabalhos;
- Identificação das áreas envolvidas e mais expostas;
- Inventário de dados (descoberta de coleta e tratamento de dados de titulares) – Data Mapping e Data Discovery;
- Levantamento de fluxo e ciclo de vida dos dados.
Quais as principais atividades nesta fase?
- Identificar dados pessoais não estruturados em pastas de arquivos, formulários e controles paralelos;
- Registro formalizado das atividades de tratamento de dados pessoais;
- Entender a finalidade e necessidade do tratamento de dados pessoais;
- Identificar o tipo de dados pessoais objeto de tratamento (dados pessoais, dados sensíveis, dados anonimizados e dados pseudonimizados);
- Identificar no Mapping o ciclo de vida dos dados de titulares;
- Verificar se há uso compartilhado de dados com outros órgãos do poder público, entes privados ou empresas internacionais;
- Mapear os dados que devem ser tornados públicos, para cumprimento de obrigação legal.
