Certificações independentes das organizações

Os mercados atuais passam por uma crise de integridade e confiança, que abrange também aspectos relacionados à proteção da privacidade e dos dados pessoais, em especial, com o avanço de instrumentos tecnológicos com volume significativo de dados, e onde a informação sobre os indivíduos passa a ser ativo valioso (dados são considerados o novo petróleo) para mercados e empresas, além do risco de uso criminoso de tais dados.

A frase “Dados são o novo petróleo”, em tradução livre para a original “Data is the new oil”, foi criada por Clive Humby, um matemático londrino especializado em ciência de dados. Essa expressão tem sido bastante citada no mercado e, executivos do mundo todo, a usam para defender a ideia de que os dados são tão valiosos quanto o petróleo – o que aponta que, em tese, quem souber fazer bom uso deles e aproveitar todo seu potencial, só tem a ganhar.

Neste cenário, as empresas e poder público vêm buscando aprimorar seus mecanismos de controle no sentido de minimizar riscos associados, de forma a demonstrar às partes interessadas (poder judiciário, clientes, autoridades, entidades de classe, órgãos públicos, parceiros etc.), o sincero empenho em atuar de forma ética e em conformidade com as legislações e regras de privacidade estabelecidas, estar em compliance organizacional.

Em nível europeu, temos a GDPR – General Data Protection Regulation (Regulamento Geral Sobre a Proteção de Dados, publicado em português em 2016) e no Brasil, foi emitida a Lei No 13.709/2018 – Lei Geral de Proteção de Dados Pessoais (LGPD), Provimento Nº 149 de 30/08/2023 Institui o Código Nacional de Normas da Corregedoria Nacional de Justiça do Conselho Nacional de Justiça, bem como a Autoridade Nacional de Proteção de Dados – ANDP responsável fiscalizar e aplicar sanções em caso de tratamento de dados não conformes, mediante processo administrativo, apreciar petições de titular contra controlador por esse não solucionadas.

Organizações públicas e privadas têm buscado implantar procedimento para adequação à LGPD. Colaborando com este cenário, o mercado tem demandado a demonstração da efetividade de tais programas, razão pela qual, a AMB CERTIFICAÇÕES (Empresa do Grupo Conceitus Gestão) inova e lança o SELO de Adequação, auditoria independente para Boas Práticas de Proteção de Dados Pessoais (LGPD). SBPG – LGPD (SELOS DE BOAS PRÁTICAS DE GESTÃO – LEI GERAL DE PROTEÇÃO DE DADOS), níveis BRONZE, PRATA, OURO E DIAMANTE.

Normas técnicas disponíveis no mercado

Recentemente, de forma a harmonizar os mecanismos adotados para estruturação dos programas de segurança da informação e privacidade de dados pessoais, foram desenvolvidas normas técnicas internacionais (além das legislações emitidas pelas autoridades de cada país), como a ABNT NBR ISO/IEC 27001 - Segurança da Informação, ABNT NBR ISO/IEC 27002 - Controles de Segurança da Informação e ABNT NBR ISO/IEC 27701 - Privacidade de Dados (esta última lançada em 2020), que trazem em sua estrutura, um conjunto completo de pilares (requisitos), que dialogam transversalmente com todos os processos e níveis organizacionais, abrangendo conceitos como, por exemplo: avaliação de riscos, política de segurança da informação e da privacidade de dados, controles de segurança cibernética, competência e treinamento, controles operacionais, auditorias internas e análise pela direção.

Embora a LGPD ou ainda o GDPR não requiram a adoção das normas técnicas acima, tais normas auxiliam as organizações a estabelecerem um sistema de gestão baseado em modelos consagrados internacionalmente, que suportam a governança e o desempenho adequados das práticas de proteção de dados pessoais, contribuindo a assegurar sua efetividade.

Escopo de auditoria independente

auditoria independente para identificação do grau de adesão as boas práticas de gestão, realizada pela AMB CERTIFICAÇÕES, Regulamento Técnico e checklist - desenvolvidos pela AMB CERTIFICAÇÕES - será realizada para verificar o atendimento às exigências da LGPD e identificação das boas práticas implementadas e mantidas de forma eficaz pela organização, incluindo os controles operacionais desenvolvidos para assegurar sua conformidade contínua no tempo, que tem como objetivo avaliar a efetividade da implantação de boas práticas.

A obtenção do SELO de Boas Práticas de Proteção de Dados Pessoais, não significa declaração de conformidade legal à LGPD, por tratar-se de prerrogativa exclusiva do Poder Público, mas serve ao propósito de demonstrar às partes interessadas (incluindo o próprio Poder Público) que a organização implantou boas práticas requeridas e foi avaliada por auditoria independente.

Regulamento Técnico com o detalhamento das regras e etapas de auditoria independente é enviado pela AMB CERTIFICAÇÕES para as organizações que desejam auditar suas Boas Práticas de Proteção de Dados Pessoais, juntamente com a proposta comercial.

Fluxograma resumido da obtenção do SELO de Boas Práticas de Proteção de Dados Pessoais

Público-alvo

A auditoria independente para o SELO de Boas Práticas de Proteção de Dados Pessoais pode ser requerida por qualquer organização, de qualquer natureza jurídica, qualquer porte, podendo ser pública, privada ou sem fins lucrativos.

Níveis do SELO

Faça sua autoavaliação ou peça sua proposta

Realize gratuitamente uma autoavaliação para verificar o grau de aderência de sua organização às Boas Práticas de Proteção de Dados Pessoais.
Basta preencher os dados abaixo e terá acesso ao nosso questionário online e um resultado geral.

O questionário apresenta perguntas com 3 opções simples de resposta: implementado completamente (C) = 5 pontos; implementado parcialmente (P) = 3 pontos; não implementado ou insuficiente (I) = 0 ponto.

Ao final, um e-mail com o resultado é enviado. A AMB Certificações não tem acesso ao resultado da autoavaliação (Nota: o desenvolvedor da AMB Certificações receberá os dados, mantendo-os em sigilo e não utilizando para outros fins). O questionário preenchido não significa resultado compatível na auditoria, ou ainda, uma avaliação das Boas Práticas de Proteção de Dados Pessoais pela AMB Certificações.

Para o Selo de Boas Práticas de Gestão em LGPD, é necessário estar em conformidade com todas as regras aplicáveis (descritas no Regulamento Técnico enviado junto com a proposta comercial, caso solicitada).

O processo de auditoria e independência

A auditoria adota procedimentos próprios da AMB CERTIFICAÇÕES, valendo-se como referência, das metodologias consagradas de auditoria definidas em normas internacionais, como ABNT NBR ISO/IEC 17021-1 (Certificação) e ABNT NBR ISO 19011 (Auditorias), normalmente adotadas por organismos de certificação acreditados, para diversos programas de certificação, de forma a assegurar, tanto a conformidade técnica da auditoria quanto os mecanismos para a confiança na certificação (independência, imparcialidade, objetividade e ausência de conflito de interesse).

O serviço é realizado de maneira presencial ou videoconferência (ou ainda, híbrida), conforme acordado, permitido flexibilidade e completa interação com o auditor e auditados. Os métodos de auditoria buscam avaliar, por amostragem de evidências (documentos, registros, entrevistas com os diversos níveis de gestão e operação, bem como observação de atividades), o nível de implementação das Boas Práticas de Proteção de Dados Pessoais. A AMB CERTIFICAÇÕES mantém a confidencialidade dos dados e informações da organização.

De acordo com o nível de implementação das Boas Práticas de Proteção de Dados Pessoais é emitido um Certificado de Conformidade com validade de 12 (doze) meses, juntamente com o SELO da CLASSIFICAÇÃO ATINGIDA. Para sua renovação, uma nova auditoria é conduzida. É de responsabilidade da organização assegurar a conformidade contínua de seus processos e manutenção da eficácia em relação às Boas Práticas de Proteção de Dados Pessoais.

Em particular, como uma das formas de assegurar a independência, a AMB CERTIFICAÇÕES não realiza quaisquer serviços de consultoria relacionados ao escopo da auditoria para a organização a ser certificada, incluindo para a implementação das Boas Práticas de Proteção de Dados Pessoais, ou ainda, o plano de ação para eventuais não conformidades OU AUSÊNCIA DE BOAS PRÁTICAS DE GESTÃO.

Coordenação

Captura de Tela 2024-06-26 às 10.24.46

Marcelo Betamin

Lorem ipsum dolor sit amet, consectetur adipiscing elit. Ut elit tellus, luctus nec ullamcorper mattis, pulvinar dapibus leo.

Formações de DPO

A AMB CERTIFICAÇÕES realiza a Formação de DPO (Data Protection Officer) com foco na LGPD.

Tratam-se de treinamentos robustos, incluindo no investimento, prova e certificação do profissional.

Incluir serviço da Ana Luisa (LHS, só para lembrar)