O Regulamento Geral de Proteção de Dados (RGPD) e a Lei Brasileira de Proteção de Dados Pessoais (LPDP) contêm enorme potencial para gerar novos modelos de negócios, contudo, para que isso se torne uma realidade, existem alguns desafios que as empresas terão de superar.

Assim que as organizações tiverem superado as discussões iniciais a respeito da aplicabilidade, da importância da análise de aderência e sobre quais áreas devem ser envolvidas no processo de conformidade com a LPDP, terão de se deparar com o desafio de estabelecer, implementar, monitorar, manter e melhorar um Programa de Proteção de Dados Pessoais (PPDP).

Embora os elementos do programa de proteção de dados pessoais variem de uma organização para outra, em geral, são constituídos pelas políticas de privacidade e proteção de informações, inventário de dados pessoais e mapeamento de seu fluxo, estruturas para monitoramento e auditoria, avaliação de riscos e de maturidade do programa, processo e plano de resposta a incidentes e desenvolvimento de atividades voltadas à educação e conscientização de todos os envolvidos. Nesse estágio é natural que surjam dúvidas como:

• Qual a melhor forma de começar?
• Como organizar as atividades desse programa?
• Quais os requisitos de proteção da privacidade?

Uma resposta possível para essas questões passa pela seleção de um marco ou referência que servirá de alicerce para esse programa, como por exemplo a norma internacional ISO/IEC 29100, cuja última atualização ocorreu em 2011. Essa norma consiste em um framework de alto nível para proteção de dados pessoais que fornece às organizações requisitos de proteção da privacidade mediante definição de uma terminologia comum, relação de atores e seus respectivos papéis no processamento de dados e princípios de privacidade orientados à gestão de aspectos organizacionais, técnicos e procedimentais da estratégia.

A norma em questão reúne critérios de proteção de dados pessoais que constam em práticas desenvolvidas, por exemplo, pela Organização para Cooperação e Desenvolvimento Econômico (OCDE) e pelo Fórum de Cooperação Econômica Ásia-Pacífico (APEC). A ISO/IEC 29100:2011 não substitui ou sobrepõe de alguma maneira. as leis e os regulamentos de proteção de dados pessoais – pelo contrário, trata-se de uma referência que auxilia as organizações a pôr em prática uma estratégia para proteção da privacidade.

Outra referência que pode ser utilizada como base para o programa de proteção de dados pessoais é a ISO/IEC 27001: 2013, que estabelece um conjunto de requisitos para Sistema de Gestão de Segurança da Informação (SGSI). Nesse caso, a ISO/IEC 29100:2011 pode complementar os controles de segurança relacionados com privacidade.

O prazo para adequação das empresas à LPDP está em andamento, portanto, é crucial que as instituições se organizem e comecem a percorrer esse caminho. Felizmente, não é preciso iniciarmos do zero.