Qual o melhor framework para avaliar a maturidade da LGPD?
Qual o melhor framework para avaliar a maturidade da LGPD?
Esta pergunta precisa ser dividida em duas, primeiro, como a LGPD é uma lei, é mais eficaz que seja feita uma avaliação de conformidade ou riscos no lugar da maturidade. A segunda parte é sobre o framework em si, qual seria mais adequado?
NIST Privacy Framework? ISO/IEC 27701? CIS Privacy Guide? COBIT for PrivacyPrivacy? Maturity Model (IAPP)? ISF Privacy Framework? CNIL Outil d'évaluation de maturité en matière de protection des données? ICO Accountability Framework? CNPD Guia Prático sobre a Proteção de Dados? Outro?
A resposta é: nenhum deles. O melhor guia para avaliar a conformidade ou riscos da LGPD é a própria LGPD e as publicações da ANPD. Se você adotar um framework do NIST ou CIS por exemplo, estará avaliando a conformidade, risco ou maturidade com relação a estes frameworks e não com a LGPD, e pior: vai diluir a energia que deveria ser focada na conformidade com a LGPD.
Mas se a LGPD não é um framework (e está muito longe de ser), como utilizá-la para avaliar maturidade, conformidade ou riscos? A resposta é que a LGPD deve ser "frameworkizada", aqui na Módulo começamos organizando a LGPD por assuntos, associando as publicações da ANPD e as Boas Práticas, e organizando a estrutura de controles. A lista de assuntos é:
- (Art 01.. 02.. 05.. 06) Fundamentos. Definições e Princípios
- (Art 03.. 04) Aplicação da Lei
- (Art 06 III) Minimização
- (Art 07) Hipóteses Legais
- (Art 08) Consentimento
- (Art 09. 17 .. 22. 51) Direito do Titular
- (Art 10) Legítimo Interesse6(Art 11) Dados Sensíveis
- (Art 12) Anonimização
- (Art 13) Saúde Pública(Art 14) Crianças e Adolescentes
- (Art 15..16) Término do Tratamento. Eliminação. Temporalidade
- (Art 20) Decisões Automatizadas e Inteligência Artificial
- (Art 23 .. 32.. 62) Poder Público
- (Art 24) Empresas Públicas e Soc de Economia Mista
- (Art 33 .. 36. 61) Transferência Internacional
- (Art 37) Registro de Operações (RoPA)
- (Art 38) Relatório de Impacto (RIPD)
- (Art 39) Agentes de Tratamento
- (Art 40) Uso Compartilhado de Dados
- (Art 41) Encarregado pelo Tratamento de Dados Pessoais (DPO)
- (Art 42 .. 44.. 52 .. 54) Responsabilidade e Sanções
- (Art 45) Relação de Consumo
- (Art 46 .. 49) Segurança da Informação
- (Art 46 § 2) Privacy by Design e Privacy by Default
- (Art 48) Gestão de Incidentes e Monitoramento
- (Art 49) Gestão do Inventário
- (Art 50) Boas Práticas e Governança
Os frameworks citados são ótimos, usamos eles como referência o tempo todo, somos inclusive certificados ISO 27701. A LGPD e as publicações da ANPD precisam a base para os controles e devem definir as obrigações e os limites.
Quer saber mais sobre isso? Me mande uma mensagem e marcamos uma apresentação.
Ilustração gerada por IA. Prompt GPT4o. Por favor desenhe uma equipe trabalhando em um desenho de um fluxo em uma grande lousa de giz.
Obrigado,
Aquele abraço,
FNery.
Comentários
Postar um comentário