search
A mídia que reinventa a empresa
Registrar un software

Auditoria do RGPD: combinando negócios com prazer

Auditoria do RGPD: combinando negócios com prazer

Por Alexis Quentrec

Em 12 de novembro de 2024

O RGPD é a personificação de muitas fantasias: novas obrigações desproporcionais, uma revisão da organização, penalidades proibitivas e assim por diante. Mas e quanto a você? Já está pronto para gerenciar o RGPD sem saber?

Um breve lembrete

Sem entrar em muitos detalhes sobre o assunto, o Regulamento Geral de Proteção de Dados (GDPR) entrará em vigor em 28 de maio.

Sua transposição para a lei francesa está atualmente sendo debatida no Parlamento, mas as principais obrigações estão definidas em pedra.

Dados pessoais são dados que identificam direta ou indiretamente um indivíduo. Sobrenome, nome, endereço de e-mail pessoal ou profissional, endereço físico, número de telefone etc. Também incluem todos os metadados vinculados ao uso de vários serviços on-line ou trocas eletrônicas.

Com o objetivo de regulamentar o uso de dados pessoais, o RGPD estabelece uma série de obrigações relativas à coleta e ao processamento de dados pessoais.

Essas incluem, entre outras, o consentimento explícito do usuário para cada operação de processamento (e prova de consentimento), períodos de retenção de dados e o direito de modificar/excluir/portar dados.

Outras obrigações foram estabelecidas para as empresas, além de seu relacionamento direto com usuários e clientes:

  • a nomeação de um Diretor de Proteção de Dados,
  • manutenção de um registro de processamento de dados
  • responsabilidade conjunta pelo processamento com subcontratados
  • etc.

Por último, mas não menos importante, a abordagem de "privacidade por padrão" para a implantação de novos serviços tornou-se sacrossanta, as empresas são obrigadas a proteger os dados em relação aos riscos aos direitos e liberdades das pessoas, e as empresas podem organizar suas próprias práticas recomendadas por meio de códigos de conduta.

Em suma, há muitos elementos que abrangem aspectos técnicos e organizacionais e que vão muito além do campo da segurança cibernética, reforçando a aparente complexidade dessa regulamentação.

Gnothi seauton

Não, não é um palavrão, é grego antigo. Tales, Pitágoras, Heráclito e Sócrates atribuíram o aforismo "Gnothi seauton", que significa "Conhece-te a ti mesmo".

Para aqueles que preferem uma referência mais moderna, o filme Matrix produzido pelos Wachowskis popularizou "Temet Nosce", a tradução latina da frase grega anterior.

Essa máxima resume a abordagem da conformidade com o RGPD: para elaborar um plano de ação, primeiro você precisa medir o quanto está longe do seu objetivo. Uma auditoria inicial permite que você faça um balanço dos esforços já implementados e das formas como as coisas são feitas.

Essa auditoria é essencial para se preparar para as mudanças que se seguirão: além das medidas técnicas, o principal impacto do RGPD diz respeito à responsabilização pelo uso dos dados, e isso se refere exclusivamente ao controlador de dados humanos.


Essa auditoria inicial está longe de ser um fim em si mesma; de fato, o oposto é verdadeiro. Em vez de congelar uma situação, ela marca a linha de partida para a corrida que é a conformidade com o RGPD (cuja distância será mais ou menos longa, dependendo do que a auditoria trouxer à tona).

Essa auditoria não deve permanecer como uma análise perdida entre os outros documentos em uma mesa desarrumada. Pelo contrário, ela deve ser traduzida em um roteiro, com ações claramente identificadas, resultados concretos e uma visão mais global de como essas ações se encaixam para alcançar a conformidade com o RGPD.

O uso de um parceiro com experiência no assunto em questão pode ser uma resposta inicial à conformidade com o RGPD: esse ponto de contato e experiência será capaz de unir as energias da empresa em torno de um desafio comum e de habilidades interdisciplinares: jurídico, SI, marketing, compras, etc.

Aprender fazendo

A auditoria inicial nos permite elaborar uma avaliação inicial do que está acontecendo, mas, acima de tudo, criar um plano de ação para desenvolver as organizações, os processos e as ferramentas existentes.

O objetivo não é ser vítima de novas regulamentações, mas aproveitar uma nova maneira de fazer as coisas para refinar e otimizar os processos, e novas maneiras de fazer as coisas para gerar um valor diferente e diferenciado para os usuários finais.


Para conseguir isso, é essencial envolver as partes interessadas internas da empresa: o departamento jurídico não pode ser o único garantidor da conformidade. Essa é uma questão multifuncional e depende profundamente dos métodos de trabalho de todos.

Sim, as formas de trabalho serão afetadas por essas regulamentações; as mudanças nos métodos de trabalho serão impostas globalmente a todos, com uma nova maneira de abordar o uso de dados pessoais.

Isso inclui o relacionamento com os subcontratados, que, mais do que nunca, são partes interessadas essenciais nesse processo. Com o sistema de responsabilidade conjunta estabelecido entre o controlador de dados (= a empresa cliente) e o processador, não é mais possível desequilibrar o relacionamento em favor de uma ou outra das partes.

O relacionamento com o processador é ainda mais importante, pois geralmente está vinculado ao uso de determinadas áreas-chave de especialização no processamento de dados pessoais: análise estatística usando Big Data, processamento de RH, campanhas de marketing etc.

O envolvimento do subcontratado nos esforços de conformidade com o RGPD permite, portanto, fortalecer a segurança geral do processamento de dados pessoais.


Ao visar a melhoria contínua, por meio de pontos mais ou menos formais, todos podem se tornar participantes da conformidade com o RGPD, assumindo a propriedade dos pontos identificados durante a auditoria. A chave é criar valor reunindo as pessoas em um projeto comum que seja vinculativo para todos e que transforme as práticas.

E quanto à linha de chegada?

A primeira coisa a esclarecer é que não existe algo como "Certificação RGPD". O que está planejado, em vez disso, é a certificação de conformidade com códigos de conduta, oferecidos não pela CNIL e seus equivalentes europeus, mas por empresas e associações empresariais.

Como não existe uma "certificação oficial do RGPD", é necessário que cada empresa construa a sua própria certificação, que servirá como um "código interno" para o tratamento de dados pessoais.


Esse "código interno" deve ter sido considerado em um estágio inicial, com base na auditoria inicial e nas necessidades comerciais identificadas: ele constitui a estrutura de referência interna para o uso de dados pessoais.

A criação desse código servirá a vários propósitos:

  • Garantirá a consistência no uso de dados pessoais (dados coletados, métodos de coleta, consentimento, requisitos para subcontratados, períodos de retenção, etc.);
  • Servirá como referência para o trabalho com subcontratados;
  • Servirá como meta para verificar se os objetivos identificados durante a auditoria inicial foram atingidos.

Esse "código interno" precisa ser confrontado com a realidade por meio da realização de uma segunda auditoria, mais formal e mais próxima da realidade. O escopo dessa nova auditoria vai além da estrutura interna e deve abranger todas as partes interessadas que foram identificadas inicialmente.

Considerando os propósitos desse "código interno", ele não deve se concentrar apenas em princípios gerais amplos ou designações vagas: ele deve enquadrar as expectativas de forma não inequívoca, principalmente no que diz respeito ao uso de técnicas específicas para garantir a confidencialidade dos dados pessoais (algoritmo de criptografia, por exemplo, mas também os tipos de autenticação multifator aceitáveis etc.).

O objetivo é identificar áreas de melhoria, pois é essencial ter em mente que a conformidade com o RGPD não será alcançada da noite para o dia.

Além disso, é preciso ter em mente que o escopo do RGPD dentro da sua empresa estará em constante evolução (novas operações de processamento, adição e exclusão de aplicativos, etc.).

Como a auditoria funciona na prática?

A pedra angular desse sistema é um olho crítico, objetivo e benevolente que lhe proporciona valor agregado.

Você pode ter esse olho internamente - e isso é excelente - que pode ser incorporado pelo seu Correspondente de Proteção de Dados / futuro Diretor de Proteção de Dados.

Entretanto, essa situação não é muito comum e é mais a exceção do que a regra.

Em todos os casos, é preciso ir além da noção tradicional de uma auditoria que aponta o mau comportamento e avançar para uma abordagem mais global que leve em conta:

  • Seu contexto de negócios - ainda mais importante em vista do RGPD;
  • Seu contexto de negócios;
  • Seu contexto de TI;
  • Seu contexto humano.


A Nuageo, por meio do GDPReady, pode apoiá-lo nessa mudança para o RGPD:

  • fornecemos uma visão multifuncional de seus contextos à luz dos desafios do RGPD,
  • propomos um roteiro,
  • nós o apoiamos no gerenciamento e na realização dos objetivos desse roteiro, que vai além das questões puramente legais ou técnicas.

O verdadeiro desafio é oferecer a você os meios para fornecer o valor agregado de que precisa para a sua empresa, respeitando a confidencialidade dos dados pessoais.

Artigo escrito por Alexis Quentrec, especialista em RGPD da Nuageo, consultoria em computação em nuvem.

Artigo traduzido do francês