LGPD: Conheça as normas que podem auxiliar empresas na adequação à LGPD

393 processos já foram abertos no primeiro ano de validade de sanções administrativas pelo não cumprimento da LGPD 

Passado um ano desde o início da validade das sanções administrativas pelo não cumprimento da Lei Geral de Proteção de Dados (LGPD) no Brasil, dados da coordenação-geral de Fiscalização da Autoridade Nacional de Proteção de Dados (ANPD), entidade governamental responsável pela fiscalização da legislação apontam que 393 processos foram abertos para apurar irregularidades. Ou seja, as empresas que ainda não se adequaram a norma, correm o risco de advertências, multas ou até o encerramento das suas atividades. 

Desses 393 processos, 350 foram de comunicação de incidente de segurança; 27 de fiscalização, sendo 14 em curso e 13 já concluídos; 12 de apuração de incidente e quatro administrativos sancionadores. As sanções somente serão aplicadas pela ANPD após procedimento administrativo que possibilite a oportunidade da ampla defesa. Além disso, a LGPD impõe que a Autoridade regulamente a metodologia para aplicação de sanções, a qual está em andamento, e ainda não há previsão para a publicação da norma.  

Para os empresários que ainda estão passando por dificuldades na implementação da norma nacional e correndo riscos de punições severas pelo órgão fiscalizador, duas reconhecidas normas internacionais – ISO (International Organization for Standardization) e IEC (International Electrotechnical Commission) 27001 -, podem ser a alternativa para dar o passo inicial rumo à implantação da nova legislação brasileira. 

“A ISO/IEC 27001 é um padrão internacional para o Sistema de Gestão de Segurança da Informação (SGSI), que se baseia na avaliação de riscos e sobre como tratá-los dentro de uma organização, protegendo a integridade e a confidencialidade dos dados, e se apresenta como uma aliada das organizações na melhoria do nível de qualidade, processos, sistemas e produtos, além da adequação à LGPD”, comentou a vice-presidente de Relações Institucionais da Associação Brasileira de Avaliação da Conformidade (Abrac), Alessandra Costa. 

A certificação ISO/IEC 27001 pode ser obtida por qualquer organização e aquelas que a adotam passam a ser auditadas em períodos determinados por um Organismo de Avaliação da Conformidade (OAC). O tempo de implementação varia conforme a realidade, maturidade e dimensão de cada empresa. 

O regulamento é composto por dois tópicos fundamentais: no primeiro são definidas as regras e os requisitos de cumprimento, como contexto da organização, liderança, planejamento, suporte, operação, avaliação do desempenho e melhoria. Já o segundo é referente aos controles que as empresas devem adotar em temas como política de segurança, organização da segurança da informação, recursos humanos, físicos e ambientais; gestão de bens, controle de acesso, criptografia, entre outros. 

Para obter a certificação ISO 27001, é necessário buscar um Organismo de Avaliação da Conformidade em uma entidade acreditadora. No Brasil, esta acreditação é feita pela Coordenação Geral de Acreditação (Cgcre) do Inmetro, entretanto alguns podem ser acreditados por órgãos internacionais. Estas, podem ser consultadas no site do Fórum Internacional de Acreditação: https://www.iaf.nu//articles/IAF_MEMBERS_SIGNATORIES/4 

O OAC conduzirá a empresa na avaliação formal, para verificar se todas as exigências foram cumpridas e fará a avaliação da implementação dos procedimentos e controles para certificar que estão funcionando efetivamente conforme o padrão exige. Já na certificação, após a aprovação na auditoria formal, a organização recebe o certificado, que será válido por três anos. 

Sobre a Abrac 

Fundada em 2009, a Associação Brasileira de Avaliação da Conformidade (Abrac) reúne as empresas responsáveis pela avaliação da conformidade de produtos, serviços, sistemas e laboratórios de ensaio e calibração, acreditados pelo Inmetro e designados pela Anatel, que são oferecidos aos cidadãos, trabalhando em sua inspeção e certificação com o objetivo de informar e proteger o consumidor, em particular quanto à saúde, segurança e meio ambiente; propiciar a concorrência justa; estimular a melhoria contínua da qualidade; facilitar o comércio internacional; e fortalecer o mercado interno, atuando em conjunto com os órgãos reguladores das atividades em âmbito nacional.