O processo de implementação de um Sistema de Proteção de dados e privacidade
O processo de implementação normalmente inicia-se com o estabelecimento de uma estrutura, um framework, que estará de acordo com a estratégia que a organização encontrará em comunicar e obter suporte para o programa de privacidade.
De maneira geral essas estruturas buscam atender os seguintes pontos:
· Definição e identificação da estratégia de privacidade corporativa e dos riscos de privacidade;
· Designação de responsabilidades e prestação de contas;
· Identificação de possíveis falhas no processo de gerenciamento da privacidade;
· Monitoria da conformidade e efetividade do programa de privacidade;
· Treinamento e conscientização dos funcionários;
· Procedimentos e processos adequados para Inventário de dados, avaliações de risco e avaliações de impacto de privacidade;
· Gestão do plano de resposta a incidentes;
· Comunicações relacionadas à privacidade e atualização periódica;
· Gerenciamento e direcionamento dos riscos de cibersegurança baseados nas necessidades corporativas
Ao se adotar tais programas de privacidade muitas empresas veem-se absorvidas por muitos documentos e planilhas utilizados para compor os mecanismos operacionais para guiar, controlar e monitorar a gestão da privacidade no dia a dia corporativo.
Contudo, planilhas e questionários são demorados e redundantes, ficam rapidamente desatualizados, são difíceis de serem compartilhados de maneira segura e eficiente e demandam esforços consideráveis dos profissionais que fornecem as informações e daqueles que as coletam, correlacionam e analisam.
Como ferramentas podem ajudar
As ferramentas de Governança Risco e Conformidade (GRC) fornecem coordenação e padronização de políticas e controles. Ajudam a automatizar iniciativas de GRC que são, em grande parte, manuais ou estão além dos recursos da maioria das empresas. Eles permitem que a organização:
· Crie e distribua políticas e controles e os mapeie de acordo com os regulamentos e requisitos de conformidade internos.
· Avalie se os controles estão realmente implantados e funcionando e corrija-os se não estiverem.
· Facilite a avaliação e mitigação de riscos.
O quadro abaixo fornece mais detalhes do relacionamento de alguma das facilidades esperadas das ferramentas de GRC com ações que são necessárias para a implementação e manutenção de um programa de privacidade.
Observa-se, portanto, que ferramentas e tecnologias, quando bem implementadas, são um excelente indutor para implementação de uma governança e uma cultura de prevenção a riscos”[i]
Aspectos a serem considerados na seleção da ferramenta.
A privacidade, e por extensão um programa abrangente de governança, risco e conformidade, deve estar alinhada ao negócio e para tal deve ser elaborada de maneira estratégica viabilizando transformá-la em uma vantagem competitiva de negócio.
Antes de se iniciar em procura de soluções tecnológicas o primeiro passo que deve ser tomado é a identificação da estrutura, ou framework, pela qual a organização irá organizar os requisitos de privacidade então definir-se a estratégia da privacidade.
Após definida esta estrutura deve-se então criar um caso de negócio, ou business case. Isto porque a ferramenta escolhida deve estar alinhada ao contexto organizacional, responder a problemas ou propiciar o aproveitamento de oportunidades que tenham valor para o negócio.
Abaixo formulam-se pontos que podem ser considerados na elaboração de um business case para a implementação de uma ferramenta GRC.
· Definir a situação: problemas atuais e futuros e oportunidades que podem ser viabilizadas.
· Analisar a situação: determinar as causas raízes ou os mecanismos que serão chave para que as oportunidades sejam aproveitadas.
· Propor a recomendação: a recomendação deve ter por base a situação analisada, os problemas e oportunidades críticos do negócio e de que maneira a utilização de uma ferramenta contribuirá ou não com a melhoria de tal cenário.
· Planejar a implementação: tenha ao mínimo uma ideia do que será necessário para colocar em prática as recomendações.
· Avaliar a solução: deve-se examinar e compreender cuidadosamente os resultados recomendados e sua implementação.
Tendo avaliado os recursos atualmente disponíveis na empresa (para gerenciamento de políticas, investigações, auditoria, conformidade e risco) e determinado quais dessas são de maior prioridade, deve-se então compará-las com os recursos de cada ferramenta.
Como mostrado na figura acima, para comparar as ferramentas além do custo alguns aspectos podem ser levantados:
· Robustez e adaptabilidade: o sistema deve ser robusto e escalável para atender requisitos atuais e futuros;
· Disponibilidade de modelos: os modelos/conteúdo oferecidos pelas ferramentas estão de acordo com o que a empresa busca/procura;
· Experiência do usuário: a interface deve ser clara, concisa e permitir que aos usuários realizarem as tarefas facilmente.
· Dificuldade técnica para implementação: deve ser considerado o esforço e gasto adicional que tal atividade demandará.
· Automação de processos críticos: os recursos de automação devem possibilitar a automatização de processos que agreguem valor em áreas prioritárias.
· Integrações com sistemas: a ferramenta possibilitará a integração com sistemas existentes, feeds de atualização de ameaças e conformidade podem ser vinculados para manter a avaliação de risco e a conformidade atualizadas.
· Pesquisa e relatórios relevantes: os recursos de pesquisa e os relatórios disponíveis devem ser avançados o suficiente para atender às suas necessidades de gerenciamento, operações e auditoria.
Na busca pelas ferramentas disponíveis pode ser utilizada resultado de buscadores como o Google[ii],revistas online especializadas como a CIO[iii],listas fornecidas por associações com conhecida reputação como a IAPP[iv] ou de avaliações feitas por consultorias internacionais independentes como a Gartner ou a Forrester[v].
Contudo, vale ressaltar que “mesmo soluções que aparecem no topo de estudos de mercado não sobrevivem a uma má implementação. Grande parte da responsabilidade de implementação depende de sua empresa”[vi].
Conclusão
A ferramenta escolhida deve ter como foco o oferecimento de valor para o negócio, no preenchimento de eventuais brechas de conformidade, superação de eventuais dificuldades e desafios tanto no início da implementação quanto em sua manutenção.
Independentemente da ferramenta que for escolhida, tal escolha requer uma avaliação sistemática e parametrizada para que os benefícios esperados sejam alocados naqueles processos ou sistemas que tenham o potencial de oferecer o maior impacto positivo e assim maximizar o retorno do investimento.
Dentre muitos benefícios, as soluções tecnológicas quando bem escolhidas possibilitam eficiência nos processos, rastreabilidade, controle e economia de recursos.
Porém as ferramentas não substituem integralmente a necessidade de se ter profissionais bem capacitados. Tais profissionais deverão criar políticas e procedimentos que possam suportar e dar efetividade ao programa de privacidade.
As soluções de GRC podem ser entendidas, portanto, como veículos que buscarão entregar os resultados esperados, em velocidade e facilidade distintos, mas que sempre estarão condicionadas a uma participação ativa, responsável e transparentes dos profissionais envolvidos e em especial da alta administração.
NOTA DO AUTOR: esse texto decorre de pesquisas e de referências acadêmicas e não representa a visão de nenhuma empresa. Ademais, o texto tem finalidade unicamente informativa e não possui nenhum propósito comercial.
Referências
IAPP. Privacy program management. Tools for managing privacy within your organization. Second edition. Apple books. Portsmouth, 2019.
Maldonado, V. LGPD Lei Geral de Proteção de Dados pessoais [livro eletrônico] : manual de implementação / Viviane Nóbrega Maldonado coordenação. São Paulo: Thomson Reuters Brasil, 2019.
NIST. NIST PRIVACY FRAMEWORK: A TOOL FOR IMPROVINGPRIVACY THROUGH ENTERPRISE RISK MANAGEMENT, VERSION 1.0. Janeiro, 2020.Disponível em https://doi.org/10.6028/NIST.CSWP.01162020.
Roister, Neil. IT GRC tools: Control your environment.CSO. Disponível em <https://www.csoonline.com/article/2127514/it-grc-tools--control-your-environment.html>. Acesso em 14 Ago 2021 15:23.
[i] Maldonado, 2019, p. RB-2.52
[ii] BuscaGoogle Ferramentas GRC. Disponível em https://www.google.com/search?q=ferramentas+GRC&oq=ferramentas+GRC&aqs=chrome..69i57.4735j0j7&sourceid=chrome&ie=UTF-8
[iii] CIO.Tendências. 14 principais ferramentas para saber se você cumpre os requisitos do GDPR. Disponível em https://cio.com.br/tendencias/14-principais-ferramentas-para-saber-se-voce-cumpre-os-requisitos-do-gdpr/
[iv] IAPP. IAPP Privacy Tech Vendor Report. Disponível em https://iapp.org/resources/article/privacy-tech-vendor-report/
[v] Forrester. The Forrester Wave™:Data Governance Solutions, Q3 2021. Disponível em: https://reprints2.forrester.com/#/assets/2/1529/RES161533/report
[vi] Maldonado, 2019, p. RB-2.52
_______________________________________________________________________________________________________________________________________________
QUER APRENDER OS PROCESSOS DE IMPLEMENTAÇÃO DA LGPD E APLICAR NA SUA EMPRESA OU AO SEUS CLIENTE? INSCREVA-SE AQUI: AGORA MESMO:
IMPLEMENTAÇÃO DA LGPD: ROADMAP PARA O COMPLIANCE
