search
A mídia que reinventa a empresa
Registrar un software

No caminho para a conformidade com este método de auditoria de RGPD de 6 etapas

No caminho para a conformidade com este método de auditoria de RGPD de 6 etapas

Por Jennifer Montérémal

Em 27 de outubro de 2024

Desde 2016, a grande maioria das empresas e organizações da UE está sujeita ao Regulamento Geral de Proteção de Dados, mais conhecido como GDPR.

Essa obrigação permitiu que as entidades em questão questionassem a forma como coletam e processam as informações pessoais dos indivíduos, mesmo com a internet tornando sua circulação mais complexa e multiplicada.

Mas, acima de tudo, os profissionais tiveram que integrar novos processos em seu trabalho diário para garantir a conformidade, a começar pela auditoria do RGPD.

O que envolve e como se processa? E com que ajuda (humana ou de software) você pode contar?

Dê uma olhada no nosso exemplo de uma auditoria de RGPD 🔎.

O que é uma auditoria de RGPD?

Definição de uma auditoria de RGPD

Como lembrete, o RGPD (sigla em inglês para Regulamento Geral de Proteção de Dados) entrou em vigor com o objetivo de regulamentar, em escala europeia, a coleta, o processamento e o gerenciamento de dados pessoais.

Ele diz respeito a :

  • qualquer entidade (empresa, órgão governamental, associação sem fins lucrativos, etc.) localizada na UE,
  • qualquer entidade localizada fora da UE, mas que processe informações de indivíduos residentes na União Europeia,
  • subcontratados e prestadores de serviços que lidam com dados em nome de outras organizações.

O RGPD exige a implementação de vários processos (obtenção de consentimento explícito, aplicação do direito à informação, etc.). Mas a conformidade passa necessariamente por verificar, em algum momento, qual é a situação da entidade em termos de cumprimento das suas obrigações.

É aqui que entra a auditoria ao RGPD.

No entanto, existem dois tipos de auditoria:

  • a auditoria inicial, realizada no início da implantação das operações de compliance,
  • a auditoria de acompanhamento, realizada periodicamente, uma vez que a conformidade com o RGPD faz parte de um processo contínuo.

Saiba mais sobre o assunto em nosso artigo dedicado às 6 etapas fundamentais e 3 ferramentas para implementar sua conformidade com o RGPD.

Os diferentes tipos de diagnóstico

Para identificar lacunas e orientar as medidas corretivas necessárias para a conformidade, vários diagnósticos são realizados, tanto durante a auditoria inicial quanto durante as auditorias de acompanhamento.

Os principais são:

  • Diagnóstico do sistema de informações e das diversas ferramentas (software, por exemplo) presentes na organização,
  • Diagnóstico do processo de coleta de dados pessoais e gerenciamento de consentimento,
  • Diagnóstico do processamento desses dados (como eles são usados e para quais finalidades?),
  • uma auditoria de segurança, visando, nomeadamente, a proteção dos dados contra violações e acessos não autorizados.

Por que realizar uma auditoria de RGPD?

Há muitas razões para realizar uma auditoria do RGPD, incluindo as seguintes:

  • Para fazer um balanço de sua situação atual. Isso permitirá que você identifique quaisquer lacunas entre o que está realmente acontecendo e o que você precisa fazer, para que você saiba quais tarefas precisam ser realizadas para garantir a conformidade com o RGPD;
  • mapear os dados da sua empresa e entender como eles são processados, para que você possa gerenciá-los de forma mais eficaz;
  • antecipar potenciais riscos e pôr em prática as medidas corretivas adequadas.

Em última análise, a auditoria do RGPD leva à implementação de um plano de ação, ele próprio dividido em um roteiro.

Observação: embora a auditoria seja, em grande parte, um exercício legal (cuidado com as penalidades se você não cumprir!), não devemos esquecer que controlar seus dados e ser transparente ajuda a manter a reputação da sua organização. Principalmente em um momento em que o público está mais cuidadoso sobre como suas informações pessoais são usadas!

Como você realiza uma auditoria adequada do RGPD? As 6 etapas principais

Etapa 1: Auditar a coleta de dados pessoais

Vamos começar com um dos principais aspectos regulamentados pelo RGPD: a forma como os dados pessoais são coletados.

Nessa etapa, você precisa:

  • elaborar uma lista de todas as fontes e métodos de coleta utilizados, por exemplo, formulários da Web, cookies, etc,
  • verificar se essa coleta é legítima, ou seja, se ela se enquadra na estrutura legal conforme acordado no Artigo 6 do GDPR:
    • por consentimento,
    • por uma medida contratual
    • cumprimento de uma obrigação legal,
    • se o processamento for necessário para salvaguardar interesses,
    • se o processamento for necessário para o desempenho de uma tarefa realizada no interesse público ou no exercício de autoridade oficial,
    • se o processamento for necessário para os fins dos interesses legítimos do controlador ou de terceiros.

☝️ Entretanto, as empresas estão preocupadas principalmente com a questão do consentimento, que, de acordo com a CNIL, deve ser :

  • livre, ou seja, não coagido ou influenciado
  • específico, dedicado a um determinado propósito
  • informado, o que implica que os usuários da Internet devem ser totalmente informados,
  • sem ambiguidade, sem deixar espaço para ambiguidade.

Etapa 2: Auditoria do sistema de informações

Aqui você precisa fazer um balanço de todas as ferramentas e sistemas do seu sistema de informações que usam dados de uma forma ou de outra. Por exemplo, seu software.

Em seguida, determine como esses dados se comportam no SI e, mais especificamente

  • que tipo de dados são
  • onde são armazenados
  • como eles circulam, tanto dentro quanto fora da empresa.

Durante essa etapa, recomendamos que você mapeie seu sistema de informações para documentar as informações relacionadas aos dados trocados dentro da estrutura, mas também os fluxos associados.

Dica: facilite seu trabalho usando um Repositório Único de Dados, que centraliza todos os dados sobre seus clientes, produtos ou outras entidades.

Etapa 3: Auditar o processamento de dados

Agora é hora de entender como os dados estão sendo usados. Isso envolve fazer duas perguntas:

  • Como eles são realmente usados?
  • E para quais finalidades?

O fato de o RGPD exigir a manutenção de um registro de processamento de dados facilita essa análise. De acordo com o Artigo 30, esse documento deve incluir as seguintes informações:

  • as finalidades do processamento
  • uma descrição das categorias de titulares de dados e das categorias de dados pessoais,
  • as categorias de destinatários aos quais os dados foram ou serão divulgados,
  • quando aplicável, as transferências de tais dados para um terceiro país ou para uma organização internacional,
  • os prazos estabelecidos para a exclusão das diversas categorias de dados,
  • uma descrição geral das medidas de segurança técnicas e organizacionais implementadas.

É bom saber: a auditoria de processamento também é uma oportunidade perfeita para identificar dados não utilizados pela empresa e, assim, "fazer um pouco de limpeza", de acordo com a filosofia do RGPD.

Etapa 4: Auditoria de segurança

Comparável a uma auditoria técnica, esta etapa consiste em garantir que os dados armazenados na empresa estão perfeitamente protegidos.

Há uma série de pontos que chamarão sua atenção. Por exemplo

  • As medidas básicas de segurança implementadas (antivírus, firewalls, detecção de intrusão, etc.) em todos os ativos, sejam eles hardware, software, rede, etc,
  • Gerenciamento adequado de direitos de acesso e autorizações, para garantir que somente pessoas autorizadas tenham acesso a informações específicas,
  • administração adequada de senhas, especialmente por meio da adoção de uma política específica,
  • criptografia de dados,
  • backups regulares, essenciais para garantir a continuidade dos negócios em caso de perda de dados,
  • conscientização e até mesmo treinamento de funcionários sobre a proteção de informações pessoais e segurança de TI em geral.

Observação: essa parte do diagnóstico geralmente é acompanhada de testes de intrusão e de uma análise aprofundada dos procedimentos em vigor em caso de vazamento de dados.

Etapa 5: Elaboração do relatório de auditoria do RGPD e implementação do plano de ação

Ao final de sua auditoria, você deve elaborar um relatório listando os pontos que estão em conformidade e os que não estão. Dessa forma, você pode identificar quaisquer discrepâncias entre o que os regulamentos esperam de você e a realidade.

Obviamente, é importante colocar em prática um plano de ação (e segui-lo!) para que você possa voltar aos trilhos rapidamente.

Esse plano de ação inclui as seguintes informações

  • a natureza do trabalho a ser realizado para corrigir as deficiências identificadas durante a auditoria,
  • a priorização desses projetos de acordo com a gravidade das deficiências e seu impacto potencial com relação ao RGPD,
  • os recursos humanos a serem mobilizados para esse projeto, com detalhes das funções e responsabilidades de cada pessoa,
  • o roteiro, incluindo os vários estágios, prazos, marcos, etc.

Etapa 6: Realizar auditorias regulares do RGPD

Se esta é a sua primeira auditoria do RGPD e você achou que tinha parado por aí... más notícias: você está lidando com um processo contínuo!

Manter-se em conformidade a longo prazo significa realizar diagnósticos regulares. Embora a frequência obviamente dependa de muitos fatores, como o tamanho de sua organização, sua complexidade ou mudanças em seu mercado, realizar esse trabalho pelo menos uma vez por ano parece ser um bom começo.

É bom saber: nesse meio tempo, certifique-se de que todas as boas práticas que foram implementadas (sobre a coleta de consentimento, por exemplo) sejam mantidas na empresa. Daí a importância de treinar integralmente as equipes envolvidas nessas questões.

Como lidar com a auditoria do RGPD: interna ou terceirizada?

Como a auditoria do RGPD exige competências técnicas e jurídicas, algumas empresas decidem recorrer a profissionais externos, como DPOs (Data Protection Officers) ou especialistas jurídicos.

No entanto, delegar as auditorias do RGPD dessa forma gera custos adicionais, e muitas organizações decidem realizar todas as operações internamente. Especialmente porque esse trabalho é facilitado pelo surgimento de softwares especializados na área, não apenas voltados para grandes grupos.

O Witik, por exemplo, lida com todos os processos associados à conformidade com o RGPD para PMEs e ETIs. Portanto, ele apoia os profissionais na realização de suas auditorias, por meio de programas personalizáveis e abrangentes (avaliação dos vários sistemas e mídias, seus subcontratados etc.). O software também gerencia o plano de ação de conformidade e o treinamento da equipe.

O que posso aprender com a auditoria do RGPD?

Você acabou de ler um exemplo de metodologia para realizar sua auditoria de conformidade com o RGPD na forma adequada, e certificando-se de não esquecer nenhum diagnóstico: diagnóstico da coleta de dados pessoais, diagnóstico do sistema de informação, diagnóstico do processamento de dados e diagnóstico da segurança.

Embora o procedimento possa não parecer muito complicado, ele exige rigor... e uma boa quantidade de largura de banda! É por isso que sugerimos que você automatize essas operações na medida do possível, o que inevitavelmente significa usar um software específico.

Graças a essas tecnologias, você pode economizar tempo em seus processos de RGPD... tempo que você pode dedicar, por exemplo, ao treinamento de sua equipe, os pilares de sua conformidade.

Artigo traduzido do francês