Não sei se você já observou na LGPD, existe determinados artigos sobre como a proteção de dados deve ser registrada e documentada, por exemplo o artigo 37 e 38.
Agora a TI precisa escrever de forma detalhada como faz a proteção dos dados.

Mas como criar um relatório de impacto à proteção de dados, por onde começar?

Existe um documento chamado DPIA (Data Protection Impact Assessment) que é utilizado pelas empresas na União europeia para atender a GDPR.
Um DPIA é uma maneira de analisar sistematicamente e de forma abrangente o seu processamento e ajudá-lo a identificar e minimizar os riscos de proteção de dados.
Para avaliar o nível de risco, um DPIA deve considerar tanto a probabilidade quanto a gravidade de qualquer impacto nos indivíduos.

Um DPIA não precisa indicar que todos os riscos foram erradicados. Mas deve ajudá-lo a documentar e avaliar se os riscos remanescentes são justificados ou não.

Quando devo começar a criar um DPIA?

Você deve fazer um DPIA antes de iniciar qualquer tipo de processamento que “possa resultar em um alto risco”.

Isso significa que, embora você ainda não tenha avaliado o nível real de risco, é necessário rastrear os fatores que apontam para o potencial de um impacto amplo ou sério sobre os indivíduos.

Uma Avaliação de Impacto de Proteção de Dados (DPIA) é um processo para ajudá-lo a identificar e minimizar os riscos de proteção de dados de um projeto.

Seu DPIA deve:

  • descrever a natureza, o escopo, o contexto e os propósitos do processamento;
  • avaliar as medidas de necessidade, proporcionalidade e cumprimento;
  • identificar e avaliar riscos para os indivíduos; e
  • identificar quaisquer medidas adicionais para mitigar esses riscos.

Como vou documentar ou descrever processos de tratamentos de dados?

Você deve documentar todo o ciclo de vida das informações armazenadas pela empresa…
Desde a coleta, seja pelo site, cookies, aplicações online, até a elimitação deses dados se eles forem elimninados…
Vamos para um exemplo prático…
O site da empresa tem lá um formulário de contato…
Um possivel cliente entra em contato enviando um email  então ele preenche o formulário com dados pessoais…
Geralmente são dados do tipo:
  • Nome;
  • Sobrenome;
  • Endereço;
  • Empresa;
  • Telefone;
  • Assunto;
  • Mensagem;
 Esses dados não representam grande risco  ao usuário, mas já serve para o setor comercial fazer prospecção concorda?
Vamos imaginar que os dados foram salvos no banco, MYSQL…
Estão criptografados?
Deveriam…. a LGPD exige criptografia dos dados…
Para ser mais exato sobre o que a lei diz, os dados devem ser initiligíveis para pessoas não autorizadas.
O setor de TI faz backup regular dos dados sensiveis?
O backup fica no mesmo servidor do site?
Existe monitoramento de acessos e portas desse servidor?
O servidor tem antivirus intalado? Está atualizado?
Quantas pessoas tem acesso a esse servidor? Acesso root?
É permitido acesso remoto ao servidor?
São perguntas desse tipo que podem dar uma direção e uma noção de como documentar o processo de tratamento dos dados…

O que quer dizer “medidas salvaguardas e mecanismos de mitigação de risco?

 
 
Medidas salvaguarda são ações, procedimentos que visam proteger algo…
Se pegarmos um carro como exemplo, a pessoa entra no carro para dirigir…
ela poderia verificar se o carro tem freio, se as portas estão fechadas, se o sinto de segurança está prendendo e firme, etc…
Para o TI dentro da empresa poderia ser:
As portas do firewall estão devidamente fechadas?
O script de backup está funcionando e fazendo backup dos arquivos corretamente?
Isso está relacionado também com a mitigação de riscos…
 
Em outras palavras “amenizar os riscos” de vazamento de dados por exemplo.
O ministerio publico pode perguntar, ” que ações foram feitas para amenizar o vazamentos dados, envie um relatório para nós”…
Depois de ler este post, você sabe o caminho das pedras para fazer a proteção dos dados e apresentar algum relatório de impacto a proteção dos dados…
Em outros post você pode encontrar matérias complementares sobre o assunto.
 
Bom trabalho.

Nota: esse post é uma interpretação livre dos artigos da LGPD. Não deve ser tomada como uma consulta legal e/ou recomendação legal e/ou consultoria jurídica. Sempre consulte a área jurídica da sua empresa, advogado ou consultor jurídico para adequar a LPDG à sua empresa.


PS: Se você é Gerente de TI ou analista e está envolvido com Cyber Segurança na sua empresa, temos uma lista exclusiva com Boas Práticas e Procedimentos que NÃO publicamos no blog. Se quiser receber esse material exclusivo por favor deixe seu email abaixo: