PORTFÓLIO
4 dicas para se preparar para auditorias de privacidade e proteção de dados
Por Verônica Marques.
Auditorias são uma parte essencial da governança corporativa de qualquer organização; no entanto, a experiência de passar por esse processo pode gerar estresse e apreensão nos times internos. Nesse contexto, é comum ouvirmos os responsáveis de empresas dizerem que irão ‘sofrer’ uma auditoria, e não que irão ‘passar’ por uma.
Contudo, quando as organizações se preparam adequadamente, colaboram com os auditores e utilizam os resultados para contínua evolução de seus processos internos, as auditorias podem ser vistas como um processo construtivo, e não como um inconveniente.
Pensando nisso, separamos abaixo algumas dicas e lições aprendidas para auxiliar empresas a estarem preparadas para passar por auditorias de privacidade e proteção de dados sem sofrer no processo:
Mantenha a Casa em Ordem
Não é demais reiterar que a manutenção de um programa de governança em privacidade estruturado é pressuposto fundamental para o sucesso em auditorias.
A implementação de medidas necessárias para a conformidade legal não deve ser encarada como uma tarefa pontual, a ser executada apenas quando a empresa recebe notificação de que será auditada, mas sim como um esforço contínuo. O ditado popular “a pressa é inimiga da perfeição” é bastante pertinente nesse contexto: postergar as tarefas para serem realizadas às vésperas da auditoria pode não apenas gerar estresse e atropelos, como também comprometer o desenvolvimento adequado dos controles de privacidade e proteção de dados, podendo resultar em lacunas e não conformidades que serão identificadas e apontadas pelos auditores.
Indo além, o fato de a empresa possuir um programa de privacidade também não significa que o trabalho esteja acabado. A auditoria vai além da verificação da existência formal de controles de proteção de dados, avaliando também a sua aplicação e efetividade. Em outras palavras, não basta ter uma política descrevendo, por exemplo, o procedimento para avaliação de terceiros, pois os auditores irão verificar se, na prática, os fornecedores contratados pela empresa estão sendo avaliados de acordo com a política.
Sob essa perspectiva, a realização de simulações e testes pode ser uma boa prática. Esses exercícios possibilitam avaliar a eficácia das rotinas do programa de privacidade, simulando situações reais para verificar como as políticas e procedimentos são aplicados na prática e como os responsáveis pelos processos se portariam em um contexto de auditoria, o que permite a identificação de eventuais lacunas de forma antecipada e a implementação de ajustes antes de uma auditoria formal.
Para cada minuto gasto em organização, uma hora é ganha
Investir tempo em organização se traduz em horas economizadas de caos e correria, o que irá garantir à empresa a eficiência e tempo necessários para o desempenho das tarefas durante a auditoria.
Nesse sentido, criar cronogramas e checklists detalhados com todas as etapas que serão realizadas ao longo do processo de auditoria, incluindo as datas de início e encerramento, reuniões de acompanhamento e entrevistas, bem como os prazos para entrega de evidências, irá permitir o planejamento eficiente das tarefas, possibilitando que a organização se prepare adequadamente para as atividades.
Além disso, vale destacar que a auditoria envolve a análise de uma variedade de documentos e informações que serão solicitados como evidências no decorrer do processo. Além dos documentos internos relacionados à privacidade e proteção de dados, como políticas, procedimentos, avisos e termos, é comum que sejam solicitadas informações adicionais como, por exemplo, histórico de incidentes de segurança detectados, requisições de titulares recebidas, contratos com operadores de dados, listas de presença em treinamentos etc., portanto, manter esses registros compilados e organizados de forma antecipada agilizará o acesso durante a auditoria, evitando que a empresa tenha de perder tempo levantando informações ou buscando documentos. Nesse sentido, uma boa prática pode ser a manutenção de um “book de evidências” dos controles e medidas de proteção de dados adotados pela organização.
Comunicação é a Base da Cooperação
Durante auditorias, é comum que os auditores realizem entrevistas com colaboradores para obter informações sobre as práticas de privacidade e proteção de dados da empresa. Como as responsabilidades relacionadas à governança em proteção de dados costumam ser interdepartamentais, esse processo pode envolver representantes de diferentes áreas da organização, tais como privacidade, jurídico e segurança da informação.
Dessa forma, a comunicação e alinhamento entre os envolvidos é fundamental para que todos entendam o propósito e o escopo da auditoria, bem como suas responsabilidades individuais no processo. Para tanto, a realização de reuniões recorrentes com a equipe envolvida pode ser uma boa estratégia, pois permite que informações relevantes sejam compartilhadas de maneira oportuna e assertiva, evitando desencontros. Além disso, o estabelecimento desses canais de contato regular pode ajudar a identificar e resolver problemas em tempo hábil.
Faça dos Limões uma Limonada
A auditoria não deve ser vista como uma mera formalidade, mas sim como uma oportunidade de aprendizado. A experiência adquirida durante o processo pode servir como base não apenas para aprimorar o programa de privacidade, mas também para aperfeiçoar o desempenho da empresa em futuras auditorias. Ao analisar as práticas bem-sucedidas e os pontos de melhoria ao longo do processo, a organização pode replicar o que deu certo e, ao mesmo tempo, evitar a recorrência de erros.
Nesse sentido, uma sugestão prática é a elaboração de um relatório de “lições aprendidas” ao final de cada auditoria para referência futura. Esse relatório, inclusive, pode ser utilizado como base para a realização das simulações práticas citadas na primeira dica, resguardadas as informações confidenciais.
Por fim, é importante lembrar que não existe uma solução única para os desafios enfrentados no processo de auditoria pelas empresas. Assim, a estratégia adotada deve ser definida levando em consideração, especialmente, a realidade de cada organização, bem como o escopo específico da auditoria. De todo modo, esperamos que essas dicas possam servir como um ponto de partida.
Verônica Marques é advogada especialista em direito digital, privacidade e proteção de dados do escritório Prado Vidigal Advogados.
