This post is also available in: Português Español
Na implementação da LGPD, o Gap Analysis busca as atividades e os procedimentos da empresa que não estão em conformidade com a legislação – e propõe correções para que tudo fique conforme a lei.
A Lei Geral de Proteção de Dados (LGPD) já é uma realidade em sua totalidade. Afinal, desde agosto deste ano, as multas previstas na legislação já podem ser aplicadas, o que torna ainda mais urgente a necessidade de adequação.
Contudo, essa adaptação não acontece do dia para a noite. E também não segue um padrão rígido a ser seguido igualmente em todas as empresas. Nesse contexto, é preciso avaliar a realidade de cada negócio e determinar o quão avançado está o processo de conformidade com a LGPD. A essa movimentação é dado o nome de Gap Analysis.
Quem for traduzir a palavra inglesa “Gap” provavelmente vai se deparar com termos como “parte ou espaço vazio, vácuo, branco, lacuna”. Já “analysis” faz jus à semelhança com a palavra portuguesa “análise”, que unida a “gap” seria como uma “análise de lacunas”. Ou seja, é a busca por atividades e procedimentos da empresa que não estão em conformidade com a legislação.
Como funciona o Gap Analysis?
O Gap Analysis é a primeira etapa a ser realizada em projetos de adequação e compliance e não é diferente na adequação à LGPD. Por meio dele é possível elaborar um Plano de Ação e orientar a empresa por uma trajetória célere e assertiva. Neste momento será possível identificar as prioridades na adequação.
Vale lembrar que a adequação à LGPD deve contemplar medidas técnicas e administrativas para mitigar os riscos de segurança da informação, afinal não é possível proteger os dados pessoais sem ter sólida segurança.
Ameaças como malwares e ransomwares devem ser consideradas, se possível com um capítulo especial sobre elas, dada a crescente taxa de ataques de cibercriminosos no Brasil e no mundo.
Alguns pontos a serem analisados são: políticas de segurança, responsabilidades, segregação de função, contratos com clientes, colaboradores e fornecedores, processo de seleção e rescisão de colaboradores, controle de acesso a sistemas, procedimento de resposta a incidentes e violação de dados pessoais, controle de acesso físico, armazenamento físico e lógico, gestão de vulnerabilidades, gestão de mudanças, proteção da rede e internet, políticas de dispositivos móveis e trabalho remoto, procedimentos para atender a solicitação dos titulares dos dados, gestão de consentimento e muitos outros.
Exemplos
Imagine que, após fazer o Gap Analysis, um diretor descubra que em sua empresa o sistema de gestão e armazenamento de dados permite que todos os colaboradores tenham acesso a informações sigilosas dos clientes. Será necessário ajustar os níveis de acesso, para que dados sensíveis fiquem somente à disposição dos funcionários que de fato precisam utilizá-los.
Em um outro cenário hipotético, suponha que o Gap Analysis mostre que determinado setor está coletando muitos dados de clientes sem o devido respaldo legal. Entram na lista informações de contato, hábitos de consumo, histórico de navegação por sites, etc. Então, a direção pode começar a adequação por esse setor, estudando as bases legais e obtendo consentimento das pessoas para o tratamento de dados em fins comerciais.
Resultado
Para chegar a excelentes resultados , inicialmente é preciso assegurar que a direção esteja ciente e engajada sobre a LGPD. Esse cenário pode ser construído através de reuniões e palestras focadas nas diretrizes da lei, se possível com a presença de todos os funcionários que tratem dados pessoais.
Como podemos ver o GAP Analysis com foco à LGPD é um dos mais abrangentes, por além de verificar a compliance da organização para atender a legislação, deve verificar se as medidas de segurança da informação são suficientes para proteger os dados pessoais adequadamente.
Todas essas análises levam a uma etapa final que seria a consolidação dos resultados, bem como a análise crítica do status atual frente aos requisitos da LGPD. Assim, definem-se as ações recomendadas para resolver as lacunas existentes – e eliminar os gaps para continuar o processo de adequação à nova legislação.
Próximo Passo
Depois, é necessário um mapeamento de dados pessoais que a empresa lida. Deve-se avaliar a forma com a qual são obtidos, como são armazenados, quem tem acesso, com quem são compartilhados e também questionar a real necessidade dos dados. Afinal, não há por que concentrar esforços no armazenamento de informações que não são relevantes.
Mas este é um assunto para um próximo post.
This post is also available in: Português Español