José Milagre - Perito em Informática, marketing e proteção de dados. Especialista em crimes cibernéticos. Palestrante. Palestras e conscientização Combate a Crimes Digitais - Atendimento em todo o Brasil

(11) 98105-6959

(650) 318-5194

LGPD e novo programa de certificação ABNT: Quais os passos e como a certificação apoia a comprovação da conformidade?

LGPD e novo programa de certificação ABNT: Quais os passos e como a certificação apoia a comprovação da conformidade?

Compartilhar no facebook
Facebook
Compartilhar no whatsapp
WhatsApp
Compartilhar no google
Google+
Compartilhar no linkedin
LinkedIn

Como os regulamentos tratam o estabelecimento de programas de certificação e quais os passos para iniciar uma certificação ABNT.

Introdução

Como garantir que uma empresa que se autodeclara em conformidade com a LGPD efetivamente mantém controles mínimos para tanto? Este é um dos desafios envolvendo o cenário de conformidade com Sistemas de Gestão da Privacidade da Informação. Conquanto a certificação não seja o “único” meio previsto para demonstração da conformidade, são consideradas como instrumentos válidos de comprovação. Neste artigo, sem pretensão de esgotar o tema, apresentamos como a legislação nacional e internacional trata da temática, bem como detalhes do programa de “certificação” apresentado pela ABNT para conformidade e atendimento das disposições da Lei Geral de Proteção de Dados.

A necessidade de critérios e meios para comprovação da conformidade

A ABNT apresentou em 09/12/2020 o que foi considerado um “novo programa de certificação”, sob o fundamento de que é preciso criar meios para que empresas possam comprovar sua conformidade com a LGPD. Trata-se de um procedimento baseado nas disposições das normas ISO IEC 27001 e 27701, que em tese, se implementados atenderiam parte da Lei Brasileira.

Foi informado, igualmente, que a ANPD, recém constituída, enfrentará desafios de regulamentar e dar completude para o sistema, sendo destacado que o legislador prevê a possibilidade da organização de agentes de tratamento para elaboração de normas de conduta que digam respeito à conformidade, e foi neste sentido que a ABNT apresentou seu programa.

Como a GDPR enxerga as certificações?

A GDPR estabelece em sua consideranda 77 as formas pelas quais a conformidade pode ser comprovada: “As orientações sobre a execução de medidas adequadas e sobre a comprovação de conformidade pelos responsáveis pelo tratamento ou subcontratantes, em especial no que diz respeito à identificação dos riscos relacionados com o tratamento, à sua avaliação em termos de origem, natureza, probabilidade e gravidade, bem como à identificação das melhores práticas para a atenuação dos riscos, poderão ser obtidas nomeadamente recorrendo a códigos de conduta aprovados, a certificações aprovadas, às orientações fornecidas pelo Comité ou às indicações fornecidas por um encarregado da proteção de dados. O Comité poderá emitir igualmente orientações sobre operações de tratamento de dados que não sejam suscetíveis de resultar num elevado risco para os direitos e liberdades das pessoas singulares e indicar quais as medidas adequadas em tais casos para diminuir esse risco”

Do mesmo modo, estabelece em sua considerada 81 que, quando o controlador confiar atividades de tratamento a um subcontratante, deverá considerar garantias suficientes e que um procedimento de certificação aprovado poderá ser utilizado como elemento para demonstrar o cumprimento das obrigações do responsável pelo tratamento. Encoraja ainda a GPDR, na considerando 100, as autoridades de controle à criação de procedimentos de certificação e selos e marcas de proteção de dados, que permitam aos titulares avaliar rapidamente o nível de proteção de dados proporcionado pelos produtos e serviços em causa.

A norma ainda estabelece que procedimentos de certificação poderão ser usados para comprovação de cumprimento de obrigações, conforme arts. 24 e 42. Estabelece que as autoridades de controle promoverão a criação de procedimentos de certificação em matéria de proteção de dados, o que se dará pela própria Autoridade ou por organizamos de certificação, nos termos do art. 43 do GDPR.

Como se tornar um organismo de certificação na Europa?

Organismos de certificação poderão ser acreditados pela autoridade de controle ou por organismo nacional de acreditação e devem demonstrar independência e conhecimentos necessário sobre objeto da certificação, comprometimento em respeitar as disposições legais e terem procedimentos claros de emissão, revisão e retirada de certificações.  Além disso, é necessário demonstrar estrutura para receber reclamações sobre possíveis violações à certificação.

Assim, os critérios para acreditação de organismos serão aprovados pela autoridade de controle.  Conforme a GDPR, a certificação poderá se dar por um período máximo de 5 anos e pode ser renovada. As autoridades de controle serão comunicadas dos motivos da concessão ou revogação de certificação pelos organizamos de certificação. Destaque-se que a certificação é voluntária e deverá se dar por um processo transparente.

A LGPD e as certificações

A Lei, ao abordar a transferência internacional de dados pessoais, em seu art. 33, informa que esta só é permitida quando o controlador comprovar garantias de cumprimento dos princípios, dos direitos do titular e do regime de proteção de dados, também por meio de certificados.

Do mesmo modo, está, entre as atribuições da ANPD, estimular a adoção de padrões para serviços e produtos que facilitem o exercício de controle dos titulares sobre seus dados pessoais, os quais deverão levar em consideração as especificidades das atividades e o porte dos responsáveis.

Não bastasse, o art. 50 da LGPD estabelece que:

Art. 50. Os controladores e operadores, no âmbito de suas competências, pelo tratamento de dados pessoais, individualmente ou por meio de associações, poderão formular regras de boas práticas e de governança que estabeleçam as condições de organização, o regime de funcionamento, os procedimentos, incluindo reclamações e petições de titulares, as normas de segurança, os padrões técnicos, as obrigações específicas para os diversos envolvidos no tratamento, as ações educativas, os mecanismos internos de supervisão e de mitigação de riscos e outros aspectos relacionados ao tratamento de dados pessoais.

Neste sentido, conquanto a certificação não seja uma obrigatoriedade prevista em Lei, tal como na Europa, não existem vedações à criação de programas, sobretudo realizados por entidades sérias e que possam vir a ser considerados.   Ao que se verifica, a questão ainda poderá passar por regulamentação e maiores detalhamentos na ANPD.

Leis e suas doses de subjetividades

É neste contexto que a ABNT apresentou o que nominou de um procedimento “simples e crível”, ou “produto objetivo”. O grande desafio motivador do programa é que, quando se trabalha com “lei” e suas doses de subjetividades, temos várias interpretações não só para empresas, mas para consultores e demais envolvidos em Sistemas de Gestão da Privacidade da Informação e atividades de adequação. Assim, ter critérios claros e transparentes podem ajudar a reduzir esta dificuldade de subjetivismos.

No que consiste o programa de certificação ABNT?

Foi-se então criado um grupo de trabalho na ABNT, especificamente para complementação de diretrizes já existentes, que oferecem alguns pontos mais genéricos. A partir das normas que atendem a lei 13.709/2018, ISO 27701 e ISO 27001 (na nossa visão, parcialmente), foi criado um “checklist” (na fala dos organizadores do programa), que servirá não apenas para autoavaliação, onde empresas poderão verificar a maturidade da implantação do seu processo, mas para avaliação por auditores da ABNT.

Este questionário, então, servirá de roteiro de certificação, permitindo que não haja surpresas ou distanciamento entre a implementação na empresa e a execução presencial de uma auditoria de certificação.  Deste modo, o programa anunciado pela ABNT, reflete não só critérios objetivos para que as empresas considerem, mas também expõe com transparência como será o processo de certificação, representados nas seguintes fases:

FASE A: Fase de Definição do Programa

1) A partir das normas que atendem parcialmente a LGPD, um grupo de trabalho elaborou um Checklist, que servirá para autoavaliação e também será usado pelos auditores para Certificação;

3) Serão previstas “auditorias piloto” para corrigir eventuais erros no programa;

4) O Programa de certificação fica então concebido.

FASE B: Fase de Planejamento

As empresas que desejarem certificar enviarão previamente o “checklist preenchido”, o que seria equivalente ao kickoff do processo de certificação, onde será feita a avaliação documental. Na sequência, se define a equipe auditoria na ABNT. A ABNT informou que treinou auditores na implementação da Lei e técnicas de auditoria. Superada esta etapa, a empresa receberá um retorno sobre as informações prestadas e uma avaliação preliminar, podendo receber data e horário da auditoria e dados da equipe auditora.

FASE C:  Auditoria e certificação presencial

Nesta fase ocorre a avaliação técnica na empresa, onde se verificará se os itens do checklist estão implementados adequadamente. É feita então a verificação do que era necessário, do que foi implantado e como o sistema está ocorrendo no dia-a-dia da organização. Nesta fase, os auditores também poderão considerar regulamentos e normas específicas do negócio.

FASE D: Emissão do certificado

Superadas as auditorias, os auditores da ABNT emitirão um parecer conclusivo, sendo que a empresa poderá ser recomendada para certificação (se não tiver nenhuma desconformidade – com base no ckecklist) ou não, caso em que ela deverá ajustar a conformidade, momento em que será fixado um prazo para ações corretivas.

FASE E Auditorias de manutenção

Após a certificação, é importante ficar atento às auditorias de manutenção. A certificação terá validade de 3 (três) anos, com auditorias de manutenção a cada intervalo de 12 (doze) meses. As auditorias ditas de “manutenção” seguem os mesmos critérios da auditoria inicial, onde o escopo é verificar se o Sistema de Gestão continua ativo.

O programa é “aprovado pela ANPD”?

Como claramente informado no lançamento do programa, a certificação é voluntária, não se tendo, até o momento, uma “aprovação formal da ANPD”, o que poderá ocorrer no futuro, com o avanço das deliberações e atuação da Autoridade. Tal como na Europa, no Brasil a certificação é voluntária, e não exclui demais meios de comprovação ou o dever de atendimento a outros preceitos previstos na Lei.

Como requerer o início da certificação na ABNT?

Segundo a ABNT, o órgão já está à disposição das empresas para concretizar a certificação a nível nacional. Ou seja, em síntese, empresas interessadas já podem ter acesso ao checklist e inicialmente conduzir uma auditoria interna para avaliação e posteriormente, iniciar o processo de certificação. Na exposição de lançamento, não ficou claro se o programa terá uma identificação, mas ao que parece, consiste em uma metodologia clara e objetiva de itens que serão considerados em uma auditoria para conformidade.

Conclusões

Por mais que a certificação já esteja à disposição, recomenda-se, logicamente, antes de qualquer chamada de auditores da ABNT, que a empresa tenha consciência de seu estágio de implementação, já que uma das premissas de se certificar é que a empresa candidata tenha implementado um Sistema de Gestão. Caso efetivamente entenda existir maturidade suficiente, após avaliação criteriosa, é importante que realize um assessment do seu estágio atual em relação aos requisitos e diretrizes da ISO 27701, conduza uma auditoria independente ou interna já considerando os itens do checklist do programa de certificação ABNT e não inicie o processo de certificação sem garantir que itens não conformes, apontados na auditoria interna/externa, foram devidamente corrigidos. As certificações, como visto, são importantes meios para comprovação de conformidade. Embora sejam não obrigatórias, é inegável que se constituem em importantes mecanismos de melhora da qualidade dos processos e transparência na demonstração de controles envolvendo proteção de dados pessoais.

Referências

ABNT. LGPD – Conheça o novo programa de certificação da ABNT. Disponível em:< https://www.youtube.com/watch?v=jw1wENxcwX0> Acesso em: 09. Dez.2020

MILAGRE, José Antonio. ISO 27701: Como a norma se harmoniza com a LGPD e como adequar e certificar sua empresa?  Disponível em:< https://josemilagre.com.br/blog/2019/11/21/iso-27701-como-a-norma-se-harmoniza-com-a-lgpd-e-como-adequar-e-certificar-sua-empresa/> Acesso em: 09. Dez.2020

MILAGRE, José Antonio.  O que é ISO 27701 e como entender a aplicação da norma para gestão da privacidade da informação em 5 passos. Disponível em:< https://josemilagre.jusbrasil.com.br/artigos/791257034/o-que-e-iso-27701-e-como-entender-a-aplicacao-da-norma-para-gestao-da-privacidade-da-informacao-em-5-passos?ref=serp> Acesso em: 09. Dez.2020

MILAGRE, José Antonio.  ISO 27701 e LGPD: 10 pontos para entender e adotar um Sistema de Gestão da Privacidade da Informação. Disponível em:< https://youtu.be/vrGcG3do0-s> Acesso em: 09. dez.2020

Sobre o Autor

José Antonio Milagre, Advogado especialista em Direito Digital e Proteção de Dados, Analista de Sistemas, Diretor da consultoria CyberExperts, atuando na adequação e auditoria em negócios de variados segmentos à LGPD, Mestre e Doutorando em Ciência da Informação pela UNESP, DPO EXIN, Presidente da Comissão de Direito Digital Regional Vila Prudente da OAB/SP e Membro da Diretoria do Instituto de Defesa do Cidadão na Internet – IDCI Brasil. http://www.direitodigital.adv.br  – http://www.cyberexperts.com.br

image_pdfimage_print

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Rolar para cima