A LGPD (Lei Geral de Proteção de Dados - Lei nº 13.709/2018) é a legislação brasileira que regula a atividade sobre o tratamento de dados pessoais, de pessoas naturais, por todos os tipos de organizações que operam em território brasileiro, trazendo sanções severas aos que não estiverem cumprindo suas determinações.

O principal objetivo da lei é de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural, isto é, garantir que os cidadãos tenham controle de como seus dados pessoais e sensíveis estão sendo utilizados pelas organizações em geral.

Os requerimentos apresentados na lei, exigem que essas organizações façam adequações para efetuar o tratamento das informações pessoais de seus clientes e empregados, pessoas físicas. É importante salientar que essas determinações se estendem, inclusive, aos dados coletados antes da sanção da lei.

A ALTI possui uma metodologia onde avaliamos os seguintes domínios de conhecimento:

Sobre esses domínios podemos avaliar o impacto da Lei em sua organização.

Abaixo o roteiro que executamos em sua organização.

Assessment (Avaliação)
Realização de um Assessment da organização com a visão de controles, processos, ferramentas e arquitetura de dados, necessárias para que a organização possa estar em conformidade com a Lei Geral de Processamento de Dados.

Esta fase torna-se necessária e importante, pois iremos avaliar quais riscos a organização está sujeita pela atual forma de tratamento de dados pessoais. Serão avaliados os sistemas tecnológicos, a governança de TI e Segurança da Informação. Entrevistas, serão feitas com os gestores e colaboradores para entender os processos internos, a fim, de conhecer melhor o ambiente da organização, para isso teremos o envolvimento de todas as áreas da organização. Exemplo:

• Jurídico;
• Tecnologia da Informação;
• Segurança da Informação;
• Recursos Humanos;
• Financeiro;
• Vendas/Comercial;
• Entre outros.

Mapeamento de Dados Pessoais
Realizar o Mapeamento de Dados Pessoais, identificando e validando o fluxo das informações entre controladores, operadores, titulares, sistemas e pessoas.

Nesta fase será possível fazer toda identificação dos responsáveis internos pelos dados pessoais, quais processos ele está envolvido, a categorização do tipo de dado pessoal, finalidade do tratamento, ações do tratamento, a forma e meio que esse dado pessoal é tratado, além de especificar as necessidades das ações, se são ou não adequadas a lei. Ao final do mapeamento será possível efetuar o enquadramento jurídico.

Recomendações e Plano de Ação (ROADMAP)
Nossa metodologia provê um plano diretor, onde apresentará de forma clara e objetiva as ações de curto, médio e longo prazo que a organização precisa executar. O detalhamento desse plano, apresenta as iniciativas mandatórias para eliminar deficiências e garantir plena aderência às normas de proteção de dados, como também oportunidades de melhoria para ampliação da maturidade dos processos da organização.

Estamos preparados para atender sua empresa indiferente do ramo de atuação e tamanho. Temos especialistas preparados para criar um Plano de Privacidade e Proteção de Dados Pessoais. Conforme descrito na lei utilizamos as melhores práticas de mercado para nos auxiliar na condução do projeto. Atualmente utilizamos:

• ISO/IEC 27001:2013 - Norma orienta na criação de um sistema de gestão da segurança da informação
• ISO/IEC 27701:2019 - Norma orienta na criação de um sistema de gestão de privacidade da informação
• ISO/IEC 27005:2019 - Norma fornece diretrizes e técnicas para gerenciar riscos de segurança da informação
• ISO/IEC 29100:2020 - Norma fornece diretrizes e técnicas para gerenciar riscos de privacidade e proteção de dados pessoais
• COBIT 5 - Conjunto de boas práticas de governança e gerenciamento de TI
• ITIL 4 - Conjunto de boas práticas de gerenciamento de serviços de TI
• GDPR - General Data Protection Regulation – Lei de proteção de dados da Europa
• NIST - National Institute of Standards and Technology – Instituto de tecnologia fornece muitos documentos técnicos sobre padrões de segurança e tecnologia
• CIS – Center Internet Security - Instituto que fornece melhores práticas de defesa cibernética
• DAMA International - Associação que fornece conceitos e práticas para o recurso de gerenciamento de dados e a informação das organizações