A Doxa utiliza em seus projetos os conceitos baseados no Sistema de Gestão da Proteção e Privacidade (DPPMS), desenvolvido por John Kyriazoglou, adotado e certificado pelo Exin. É um modelo que visa a melhorar a gestão dos dados ao mesmo tempo mitigar os riscos de que possam ser usados indevidamente, roubados ou perdidos e estabelece 5 passos para a sua implementação e é considerado como base para a adequação às legislações internacionais de privacidade e proteção de dados como a europeia GDPR e a brasileira LGPD.
Cada um dos 5 passos (Preparar, Organizar, Implementar, Estabelecer a Governança e Avaliar) compõem as etapas de um projeto de adequação à privacidade e proteção de dados. Um projeto completo de adequação à LGPD, com foco na elaboração de um plano de ação contendo os requerimentos do negócio (políticas e contratos), organizacionais (processos e pessoas) e tecnologia (ferramentas e processos de TI), conduzido pela Doxa abrange as seguintes fases:
- Fase I (ou “Preparar”) – o objetivo desta Fase é analisar os requisitos e necessidades de proteção de dados e privacidade que afetam a empresa, sob o ponto de vista tático e estratégico. Nesta etapa, a partir da revisão dos ciclos de dados, que ocorre através de entrevistas com as áreas envolvidas no tratamento de dados pessoais, é feita uma análise de impacto sobre a privacidade e proteção de dados, elaborando-se um plano de ação contendo eventuais lacunas e priorização das atividades necessárias para a adequação, de acordo com os requerimentos de negócios, organizacionais (pessoas e processos) e de tecnologia. Sob a perspectiva legal, e, também, sob a ótica das práticas de privacidade e do ambiente de negócios, define-se como um programa de proteção de dados e privacidade deverá ser implementado, além dos princípios e bases legais para processamento dos dados pessoais, estabelecendo-se políticas e procedimentos, e conscientizando-se o corpo executivo da empresa a respeito da atual situação da empresa;
- Fase II (“Organizar” e “Implementar”) – o objetivo desta Fase é basicamente executar o plano de ação gerado na fase anterior. Nesta etapa, as políticas, procedimentos e controles internos são desenvolvidos e implementados, assim como os controles de privacidade são estabelecidos. As seguintes atividades estão previstas:
- Organização e implementação de processos de governança;
- Suporte à redação de políticas e procedimentos voltados à proteção e privacidade;
- Revisão de contratos;
- Conscientização e capacitação dos colaboradores;
- Definição, desenho e implantação de modelos e processos para registro e monitoração;
- Coordenação de novos projetos para endereçar as lacunas identificadas no plano de ação gerado.
- Fase III (“Estabelecer a Governança” e “Avaliar”) – o objetivo desta Fase é a implantação tanto da governança de dados, como da monitoração de resultados de forma contínua. Nesta etapa, a partir dos procedimentos e instruções operacionais para um programa de proteção de dados e privacidade gerados na etapa anterior, as estruturas de governança deverão ser configuradas, considerando-se o comprometimento de todas as áreas da empresa envolvidas nas atividades relacionadas à proteção de dados e privacidade. A definição de um processo contínuo para o reporte de problemas de proteção de dados e privacidade que possam vir a ocorrer, também deverá ser executada nessa etapa, bem como o estabelecimento da constante monitoração da operação. Em um ciclo contínuo, a avaliação regular da conformidade das atividades da empresa e a implementação de eventuais melhorias identificadas para a proteção de dados, garantirão que a empresa se mantenha em conformidade com a LGPD.