Lei Geral de Proteção de Dados

A Doxa utiliza em seus projetos os conceitos baseados no Sistema de Gestão da Proteção e Privacidade (DPPMS), desenvolvido por John Kyriazoglou, adotado e certificado pelo Exin. É um modelo que visa a melhorar a gestão dos dados ao mesmo tempo mitigar os riscos de que possam ser usados indevidamente, roubados ou perdidos   e  estabelece 5 passos para a sua implementação e é considerado como base para a adequação às legislações internacionais de privacidade e proteção de dados como a europeia GDPR e a brasileira LGPD.

Cada um dos 5 passos (Preparar, Organizar, Implementar, Estabelecer a Governança e Avaliar) compõem as etapas de um projeto de adequação à privacidade e proteção de dados. Um projeto completo de adequação à LGPD, com foco na elaboração de um plano de ação contendo os requerimentos do negócio (políticas e contratos), organizacionais (processos e pessoas) e tecnologia (ferramentas e processos de TI), conduzido pela Doxa abrange as seguintes fases:

• Fase I (ou “Preparar”) – o objetivo desta Fase é analisar os requisitos e necessidades de proteção de dados e privacidade que afetam a empresa, sob o ponto de vista tático e estratégico. Nesta etapa, a partir da revisão dos ciclos de dados, que ocorre através de entrevistas com as áreas envolvidas no tratamento de dados pessoais, é feita uma análise de impacto sobre a privacidade e proteção de dados, elaborando-se um plano de ação contendo eventuais lacunas e priorização das atividades necessárias para a adequação, de acordo com os requerimentos de negócios, organizacionais (pessoas e processos) e de tecnologia. Sob a perspectiva legal, e, também, sob a ótica das práticas de privacidade e do ambiente de negócios, define-se como um programa de proteção de dados e privacidade deverá ser implementado, além dos princípios e bases legais para processamento dos dados pessoais, estabelecendo-se políticas e procedimentos, e conscientizando-se o corpo executivo da empresa a respeito da atual situação da empresa;

• Fase II (“Organizar” e “Implementar”) – o objetivo desta Fase é basicamente executar o plano de ação gerado na fase anterior. Nesta etapa, as políticas, procedimentos e controles internos são desenvolvidos e implementados, assim como os controles de privacidade são estabelecidos. As seguintes atividades estão previstas:
  • Organização e implementação de processos de governança; 
  • Suporte à redação de políticas e procedimentos voltados à proteção e privacidade;
  • Revisão de contratos;
  • Conscientização e capacitação dos colaboradores;
  • Definição, desenho e implantação de modelos e processos para registro e monitoração;
  • Coordenação de novos projetos para endereçar as lacunas identificadas no plano de ação gerado.

• Fase III (“Estabelecer a Governança” e “Avaliar”) – o objetivo desta Fase é a implantação tanto da governança de dados, como da monitoração de resultados de forma contínua. Nesta etapa, a partir dos procedimentos e instruções operacionais para um programa de proteção de dados e privacidade gerados na etapa anterior, as estruturas de governança deverão ser configuradas, considerando-se o comprometimento de todas as áreas da empresa envolvidas nas atividades relacionadas à proteção de dados e privacidade. A definição de um processo contínuo para o reporte de problemas de proteção de dados e privacidade que possam vir a ocorrer, também deverá ser executada nessa etapa, bem como o estabelecimento da constante monitoração da operação. Em um ciclo contínuo, a avaliação regular da conformidade das atividades da empresa e a implementação de eventuais melhorias identificadas para a proteção de dados, garantirão que a empresa se mantenha em conformidade com a LGPD.

ARQUITETURA CORPORATIVA COMO MÉTODO PARA A CONSTRUÇÃO DE UM PROJETO DE ADEQUAÇÃO COERENTE E CONSISTENTE

Arquitetura Corporativa, também chamada de Arquitetura Empresarial, é um método que descreve a estrutura organizacional da empresa e padroniza seu modelo operacional, relacionando e organizando, de forma lógica, o negócio, a gestão, a arquitetura de processos, dados e de tecnologia, nesse caso, sob a ótica da LGPD. Trata-se de um conceito que leva a um método compreensivo e rigoroso utilizado para descrever a estrutura do processo organizacional presente ou futuro, e é definido  amplamente como uma prática de otimização, pois relaciona o “negócio” à performance da gestão e arquitetura de processos e tecnologia da informação, organizando os processos e recursos de tecnologia da informação que refletem os requisitos de integração e de padronização do modelo operacional de uma empresa. O objetivo é a visualização e análise do modelo de negócio da empresa de forma gráfica e funcional, auxiliando o entendimento do nível de adequação da empresa à LGPD no presente e como desenvolve-lo ao nível pretendido e necessário  para o futuro.

Utilizamos ferramentas da BOC, uma empresa austríaca especializada em modelagem e desenho de processos (BPM) e arquitetura corporativa. Desenvolvemos meta-modelo que permite  a análise, construção e desenvolvimento dos objetivos, princípios, controles e indicadores que serão usados para modelar o processo de adequação de uma organização a um modelo de governança, em particular, no caso à LGPD. Apoiamos sua organização a responder aos impactos da lei em sua infraestrutura de tecnologia, modelos e processos e determinar quais finalidades, bases legais e lacunas necessárias para torna-la conforme à legislação de privacidade e proteção de dados.