Maturidade do Programa de Privacidade: por que essa avaliação é importante?

As empresas que iniciaram seu processo de adequação possuem um diferencial competitivo. No entanto, tão importante quanto implantar um Programa de Privacidade é que ele seja efetivo e, para isso, realizar uma avaliação da maturidade se torna imprescindível.

A avaliação da maturidade do Programa de Privacidade possibilita à empresa conhecer de forma objetiva e evidenciada em qual fase o processo de adequação à LGPD se encontra e quais são os processos críticos em relação ao nível de adequação, o que permite à companhia uma visão detalhada de onde será necessário empenhar mais esforços ou atenção, para alcançar o nível de maturidade ideal e de acordo com a legislação.

Avaliando se o programa implementado alcançou o nível de maturidade desejado

A construção de um Programa de Privacidade efetivo é um processo longo, minucioso e faseado, que deve ter por base um plano de ação estruturado, um cronograma e atividades que envolvam pessoas, processos e tecnologia, de forma a garantir que todos os processos que tratam dados pessoais sejam alcançados.

Através do procedimento de avaliação da maturidade do Programa de Privacidade é possível mensurar qual nível de adequação à LGPD a empresa alcançou. Na prática, após realizar o entendimento do projeto de adequação, através de metodologia própria, são realizados testes de efetividade e solicitadas evidências documentais e operacionais, tendo como base os principais pilares do programa.

Principais aspectos avaliados

Através destes procedimentos, será possível avaliar a maturidade do programa acerca de tópicos como:

• Governança: aderência da companhia aos aspectos regulatórios relacionados à governança, bem como o apoio e comprometimento da liderança na promoção e disseminação de uma cultura de privacidade e proteção de dados;
  
  
• Cultura Organizacional: disseminação de cultura institucional de proteção de dados com base em comunicações e treinamentos que conscientizem e engajem o comprometimento dos colaboradores com o tema;
  
  
• Direitos dos titulares: aderência aos requisitos relacionados à coleta e gestão do consentimento, além da existência e efetividade do fluxo e canal para atendimento aos direitos dos titulares;
  
  
• Gestão do ciclo de vida do dado: a aderência aos princípios da necessidade, anonimização e minimização, bem como os mecanismos de segurança direcionados às atividades de tratamento de dados pessoais e dados pessoais sensíveis;
  
  
• Gestão de terceiros: a aderência das medidas adotadas pela companhia para delimitar os papéis e responsabilidades atribuídos aos agentes de tratamento (controlador e operador);
  
  
• Medidas de segurança e respostas à incidentes: a aderência das medidas de segurança da informação, atinentes aos dados físicos e eletrônicos, inclusive na condução de transferências internacionais de dados, além da adoção de medidas de identificação, tratamento, mitigação de riscos, reporte e restauração de dados e ambientes, em caso de incidentes de privacidade.

Para uma avaliação efetiva, de forma a entender os processos e controles de privacidade de proteção de dados da empresa, bem como verificar os documentos existentes, é importante que a avaliação seja realizada com uma visão independente, passando pelas seguintes etapas:

• Entendimento do projeto de adequação;
• Avaliação de documentos e processos;
• Teste de efetividade de procedimentos;
• Emissão de relatório de avaliação do Programa de Privacidade.

A Grant Thornton Brasil, através de metodologia própria e equipe com especialidades diversificadas, pode auxiliar a sua empresa a entender qual o nível alcançado em seu Programa de Privacidade. Conheça nossa abordagem completa em serviços de Adequação à LGPD.