O que o CEO precisa saber para sua organização estar em Conformidade com a LGPD?
Muitos CEOs e demais componentes do Corpo Diretivo da Organização não sabem exatamente que controles a organização deve cumprir para a LGPD.
Edison Fontes, CISM, CISA, CRISC, Ms.
A Lei Geral de Proteção de Dados Pessoais tem sido muito comentada,
avaliada pesquisada, porém muitos CEOs e demais componentes do Corpo
Diretivo da Organização não sabem exatamente que controles a organização
deve cumprir para estar em conformidade. Quando eles vão conversar com
profissionais envolvidos no projeto, escutam tanto sobre consentimento,
administração de dados, governança de dados, programa de privacidade e
uma série de outros assuntos, mas que não traduzem os controles que na
prática um CEO saberá se a organização que comanda está ou não em
conformidade com a LGPD. Evidentemente você leitor poderá identificar outros
controles. Mas cuidado para não cair no erro de incluir um monte de teoria que
só vai confundir.
Desta maneira entendemos que a organização deve:
1. Ter implantado um efetivo Programa Organizacional de Segurança da
Informação (Arts. 46, 47, 48, 49, 50)
2. Ter o controle proteção de dados pessoais como um direcionador
corporativo. (Art. 50)
3. Entender os conceitos e termos utilizados na legislação. (Art. 5)
4. Ter identificado os tipos de dados pessoais, os dados pessoais sensíveis, os
tipos de titulares e os tipos de tratamento dos dados pessoais sob
responsabilidade da organização. (Arts. 7, 8, 9, 10, 11)
5. Ter identificado os Operadores, suas responsabilidades e formalizado em
contrato. (Arts. 37,38,39,40)
6.Garantir que trata os dados pessoais conforme os Princípios definidos na lei.
(Art.6)
7. Ter definido a Base Legal para cada tipo de tratamento de dados pessoais.
(Arts 7, 8, 9, 10)
8. Tratar os dados pessoais de crianças e adolescentes com a rigidez exigida
pela lei. (Art. 14)
9. Ter controle sobre o término de tratamento do dado pessoal (vida útil).(Arts.
15, 16)
10. Ter condições de atender aos Direitos do Titular. (Art. 17, 18, 19, 20, 21,22)
11. Dar conhecimento ao Corpo Diretivo do Relatório de Impacto à Proteção de
Dados Pessoais. (Art. 38)
12. Guardar evidencias das operações de tratamento de dados pessoais. (Art.
37).
13. Seguir os controles definidos na lei para a transferência internacional de
dados pessoais (Art. 33)
14. Ter formalizado o Encarregado pelo tratamento de dados pessoais. (Art.
41)
15. Estar ciente das multas em função de infrações cometidas às normas da
lei. (Art.52).
16. Estar ciente que pode sofrer ações de indenizações pelos Titulares. (Todos
os Artigos.).
Recomendo que o CEO pergunte estes controles ao profissional que está
liderando o Projeto de Conformidade com a LGPD.
Edison Fontes é Consultor, Gestor e Professor de Segurança da Informação, Proteção de
Dados Pessoais, Continuidade de Negócio, Risco Operacional e Combate à Fraude de
Informação. Trabalhou como Security Officer em banco e empresa de alta disponibilidade de
informação. Certificado Internacional CISA, CISM, CISA, e Mestre em Tecnologia.
