28 passos para a implementação da LGPD

Faça o download do guia abaixo. 

 


 

  1. Crie um comitê da LGPD, para a implementação da LGPD na organização. Delegue responsabilidades para pessoas “chave” que possam repassar o conhecimento e informar sobre o projeto para as demais áreas da empresa. Recomenda-se que pelo menos uma pessoa de cada área faça parte do grupo.
  2. Nomeie um encarregado de proteção de dados DPO, de preferência alguém com conhecimento em Segurança da Informação e a LGPD, conhecer a ISO27001 fará uma grande diferença.
  3. Procure seguir alguma norma, a ISO27001 será de grande ajuda, podemos perceber sua importância na certificação para DPO (Data Protection Officer) da Exin.
  4. Mapeie os dados, ou seja, estabeleça os dados que sua empresa coleta, onde coleta, como e onde armazena.
  5. Não obtenha dados que não são relevantes para a sua finalidade, não guarde dados que você não precisa, guarde os dados relevantes somente pelo tempo determinado e possibilite sua fácil atualização e exclusão.
  6. Separe os dados em categorias, se a sua empresa desenvolve sistemas, também será necessário avaliar a conformidade do seu produto.
  7. Identifique a base legal para processar cada categoria de dados. É importante lembrar que a LGPD não irá se sobrepor a outras regras, sendo assim, é importante entender bem a sua regra de negócios e implementar a LGPD de acordo com CDC, CPC, Marco Civil da Internet, Lei Carolina Dieckmann, etc…
  8. Verifique os sistemas de terceiros, tenha conhecimento de como processadores e controladores de dados estão agindo perante os dados de seus clientes, como por exemplo, Zoho, Intercom, Mailchimp, sistemas de Gestão de RH, Gestão de Saúde, etc … Este cuidado é necessário pois você poderá estar violando a lei indiretamente.
  9. Implementar uma política para identificar e manipular quaisquer solicitações de acesso de assunto de dados.
  10. Implemente uma política para identificar e manipular qualquer solicitação de correção ou eliminação de dados.
  11.  Crie um documento de problemas de não conformidade para mostrar a conscientização sobre omissões de conformidade e para planejar a conformidade total ou, pelo menos, a mitigação de riscos completa.
  12.  Crie uma política de Segurança da Informação, pois “sem segurança não há privacidade”.
  13.  Entre em contato com seu banco de dados inteiro, você irá precisar adequar seu armazenamento de dados de modo que fique fluído. Neste momento será necessário pensar também em como fazer a transferência dos dados, pois há a necessidade de garantir a portabilidade.
  14.  Mantenha um registro dos consentimentos para aqueles que já optaram por participar e aqueles que ainda estão optando por fazê-lo.
  15.  Crie uma agenda de retenção para dados. Quando os dados chegaram ao final do seu período de retenção, destrua-os de acordo com uma política de destruição de dados (minimize os dados que você guarda).
  16.  Treine sua equipe para que TODOS entendam o que constitui dados pessoais, de início explique e exemplifique os papeis do controlador, processador, DPO, também é de extrema importância ficar claro o que significa cada um dos 10 princípios da LGPD.
  17.  Treine sua equipe para identificar violação de dados e mantenha um registro dos eventos.
  18.  Implemente uma política de Resposta à Incidentes, neste momento pode aproveitar para alinhar com seu Relatório de Impacto à Proteção de Dados RIPD.
  19.  Opte por Segurança por Design, ou seja, desde sua concepção, quando possível.
  20.  Faça o devido inventário de seus equipamentos, verifique se os computadores estão criptografados, crie regras bem definidas para o transporte dos equipamentos para fora da empresa, também crie regras para BYOD. Manter sempre um registro de ativos atualizado.
  21.  Revise e documente a segurança física dos dados (discos USB, sistemas de arquivamento de papel atrás de trava e chave, etc.)
  22.  Bloqueie com segurança todos os dados pessoais
  23.  Considere quais indivíduos devem ter acesso aos dados em cada dispositivo
  24.  Atualize a política de privacidade do seu site (para incluir a identidade do responsável pelo processamento e a base legal, o interesse legítimo, qualquer destinatário ou categorias de destinatários dos dados pessoais, o direito de retirar o consentimento a qualquer momento e o período de retenção de dados). Verifique o uso de cookies do seu website.
  25.  Realize auditorias internas para verificar a conformidade com a LGPD e também quanto a norma de segurança adotada (pode ser a ISO27001).
  26.  Realize periodicamente testes de intrusão (Pentest ou Penetration Tests), tenha em seus contatos o nome de um Hacker Ético (ou Pentester).
  27.  Use os relatórios de Pentest a seu favor, tanto para identificar as vulnerabilidades e potenciais invasões afim de corrigir e aumentar a segurança da sua organização, quanto para passar ao seu cliente como forma e confiança, demonstrando que a sua empresa tem preocupação com a segurança e privacidade dos dados.
  28.  Contate um Perito em Computação Forense que tenha conhecimento sobre a LGPD para lhe ajudar a produzir provas quando necessário.