CNIL - Auto Avaliação de Maturidade

Prévia do material em texto

Autoavaliação da 
maturidade na gestão da 
proteção de dados 
Um modelo para se posicionar e escolher 
as ações a serem tomadas 
Autoavaliação da maturidade na gestão da proteção de dados 
 2 
Sumário 
 
O conceito de maturidade aplicada à proteção de dados pessoais .................................................... 3 
1. Cinco níveis de maturidade para avaliar como os processos de proteção de dados são 
gerenciados .......................................................................................................................................... 4 
2. Oito atividades típicas de proteção de dados para estruturar as ações realizadas...................... 6 
3. Níveis de maturidade aplicados às atividades de proteção de dados .......................................... 8 
 
 
Autoavaliação da maturidade na gestão da proteção de dados 
 3 
O conceito de maturidade aplicada à proteção de dados 
pessoais 
 
A proteção de dados baseia-se nas atividades implementadas por cada organização (direção, gerenciamento 
de registros, monitoramento jurídico etc.). No entanto, estas atividades não existem em todas as empresas e 
nem sempre são administradas de forma homogênea (informal, descrita, generalizada etc.). 
Este documento propõe um modelo, conhecido como modelo de maturidade, que quantifica o rigor e a 
formalidade com que as atividades relacionadas à gestão da proteção de dados são gerenciadas. 
O objetivo deste documento é o seguinte: 
1. Transpor o conceito de níveis de maturidade, que já está bem definido (por exemplo, ISO/IEC 21827, guia 
de maturidade SSI), para a proteção de dados. 
2. Propor atividades típicas relacionadas à proteção de dados. 
3. Ilustrar cada nível de maturidade para cada atividade típica com exemplos de ações ou resultados. 
 
Nota: enquanto a conformidade se aplica ao tratamento de dados pessoais, a maturidade se aplica às 
atividades. Estas duas visões são diferentes, mas complementares. 
 
 
Autoavaliação da maturidade na gestão da proteção de dados 
 4 
1. Cinco níveis de maturidade para avaliar como os 
processos de proteção de dados são gerenciados 
 
No campo da proteção de dados, os diferentes níveis de maturidade correspondem aos definidos na 
ISO/IEC 21827 e no guia de maturidade SSI. 
A tabela a seguir descreve os cinco níveis de maturidade de uma maneira genérica. Cada nível 
representa a forma pela qual uma organização projeta, implementa, controla, mantém e monitora 
uma atividade, qualquer que seja essa atividade. Atingir um nível pressupõe que o nível anterior já 
tenha sido alcançado. 
 
 Níveis Características 
 
0 Prática inexistente ou incompleta 
• Nada é feito em relação à proteção de dados. A proteção de 
dados não é conhecida ou apoiada dentro da organização e 
a necessidade não é reconhecida. 
1 Prática informal (algumas ações isoladas) 
• As ações são realizadas utilizando práticas básicas. Elas são 
implementadas informalmente e em resposta a 
solicitações isoladas, sem compromisso real da liderança 
da organização e sem coordenação real entre aqueles que 
implementam as ações. 
2 Prática repetível e seguida (ações replicáveis) 
• As ações são realizadas por uma pessoa com experiência 
em proteção de dados. 
• As ações estão planejadas. 
• Algumas práticas são formalizadas, permitindo a 
duplicação 
• e reutilização (possivelmente por outra pessoa). 
• A proteção de dados é monitorada pela gerência da 
organização 
• organização, mas o negócio inteiro está longe de estar 
envolvido. 
• São realizadas medidas qualitativas (indicadores simples 
sobre resultados, por exemplo, consideração da proteção 
de dados neste ou naquele projeto). 
3 Processo definido (normalização das práticas) 
• As ações são realizadas de acordo com um processo 
definido (por exemplo, uso de métodos), padronizado 
(comum a toda a organização) e formalizado (existência de 
documentação). 
• As pessoas que realizam as ações têm as habilidades 
apropriadas para o processo. 
• A organização apoia o processo (ela fornece os recursos, 
meios e treinamento necessários para seu funcionamento). 
Autoavaliação da maturidade na gestão da proteção de dados 
 5 
• O processo é bem compreendido tanto pela gerência 
quanto pelos executantes. 
4 
Processo controlado 
(medição quantitativa e 
correção de defeitos) 
• O processo é coordenado em todo o escopo selecionado e 
para cada implementação. 
• Medidas quantitativas são feitas regularmente (em termos 
de desempenho, por exemplo, proporção de projetos que 
consideram a proteção de dados). 
• As medições feitas (indicadores qualitativos e 
quantitativos) são analisadas (por exemplo, alguém é 
responsável por estudar os indicadores e propor uma 
análise e um plano de ação). 
• São feitas melhorias no processo com base na análise das 
medidas feitas. 
5 
Processo continuamente 
otimizado (melhoria 
contínua) 
• O processo é adaptado dinamicamente à situação 
(melhorias e mudanças diretamente integradas). 
• A análise das medidas tomadas é definida, padronizada e 
formalizada. 
• A melhoria do processo é definida, padronizada e 
formalizada. 
• Os desenvolvimentos do processo são rastreados. 
 
 
Autoavaliação da maturidade na gestão da proteção de dados 
 6 
2. Oito atividades típicas de proteção de dados para 
estruturar as ações realizadas 
 
De uma maneira genérica, as atividades relacionadas à proteção de dados são as seguintes (que teoricamente 
podem ser encontradas em qualquer organização, sejam elas realmente implementadas ou não): 
 
Ações Características 
Responsáveis geralmente 
envolvidos 
Definir e 
implementar 
procedimentos 
de proteção de 
dados 
Definição, manutenção e comunicação de políticas e procedimentos 
gerais relativos ao gerenciamento de dados pessoais e à proteção da 
privacidade (códigos de uso do sistema de informação, cláusulas 
contratuais padrão etc.), verificação de sua aplicação e acionamento 
de quaisquer medidas previstas em caso de descumprimento. 
Definição pelo departamento 
jurídico, departamento de risco ou 
departamento de sistemas de 
informação, verificação por meio dos 
processos de controle interno. 
Gerir a 
governança da 
proteção de 
dados 
Definição, estabelecimento, implementação, comunicação e 
melhoria da estratégia de proteção de dados dentro da organização 
(governança, funções e responsabilidades, incluindo as do 
encarregado de proteção de dados – DPO). 
Administração geral da empresa e, 
dependendo da organização, direção 
e implementação pelo 
departamento jurídico, o 
departamento de risco ou o 
departamento de sistemas de 
informação. 
Identificar e 
manter a lista 
de tratamentos 
Identificação e manutenção do inventário do tratamento de dados 
pessoais, fluxos de dados e dados associados. 
Encarregado de Proteção de Dados 
(DPO) 
Garantir a 
conformidade 
legal do 
tratamento 
Avaliação das operações de tratamento de dados pessoais existentes 
e planejadas em comparação com as obrigações legais e 
regulamentares de proteção de dados (proporcionalidade e 
necessidade, assim como os direitos dos titulares), identificação de 
medidas para melhorar o cumprimento (incluindo cláusulas 
contratuais padrão), aconselhamento ao controlador e verificação da 
implementação das medidas planejadas. 
Departamentos comerciais 
relevantes, departamento jurídico, 
departamento de compras, DPO, 
gerente de segurança de sistemas de 
informação (CISO), equipes de 
projeto 
Treinamento e 
conscientização 
Disseminação do conhecimento e criação ou reforço das 
competências internas em matéria de proteção de dados. 
Nota: sessões de treinamento/sensibilização devem garantir que o 
pessoal esteja familiarizado com a política de proteção de dados. 
DPO, Departamento de Recursos 
Humanos, Departamento de 
Comunicação 
Lidar com 
pedidos de 
usuários 
internos e 
externos 
Definição, estabelecimento, implementação e comunicação dos 
meios para gerenciar pedidos para o exercício dos direitos dostitulares dos dados (por exemplo, pedidos de direito de acesso), 
reclamações e outras reclamações internas e externas relativas à 
proteção de dados. 
DPO 
Gerenciar 
riscos de 
segurança 
Avaliação dos riscos de segurança que o tratamento de dados 
pessoais pode ter sobre os titulares dos dados, determinação de 
medidas para ajudar a lidar com eles (incluindo cláusulas contratuais 
padrão) e verificação da implementação das medidas planejadas. 
Departamentos comerciais 
relevantes, departamento jurídico, 
departamento de compras, DPO, 
gerente de segurança de sistemas de 
informação (CISO), equipes de 
projeto. 
Autoavaliação da maturidade na gestão da proteção de dados 
 7 
Gerenciar 
violações de 
dados 
Identificação, qualificação, resolução de violações de dados pessoais, 
notificações às autoridades de proteção de dados e comunicação aos 
titulares dos dados, manutenção de um registro de violação. 
DPO, divisões de negócios 
relevantes, gestão de risco, gestão 
de sistemas de informação, gestão 
de comunicação, entidades 
encarregadas da gestão de 
incidentes e gestão de crises. 
 
 
Autoavaliação da maturidade na gestão da proteção de dados 
 8 
3. Níveis de maturidade aplicados às atividades de proteção 
de dados 
 
A tabela a seguir ilustra cada nível de maturidade de cada atividade de proteção de dados com exemplos de 
resultados. 
 
 Prática informal Prática 
repetível e 
seguida 
Processo 
definido 
Processo 
controlado 
Processo 
continuamente 
otimizado 
Definir e 
implementar 
procedimentos 
de proteção de 
dados 
Algumas boas práticas 
são implementadas de 
forma ad hoc (por 
exemplo, minimização 
da coleta ou eliminação 
de dados obsoletos, 
avisos de informação). 
Documentos relativos à 
proteção de dados 
(boas práticas, regras, 
exemplos etc.) são 
compartilhados. 
 
Há documentação (por 
exemplo, códigos para 
o uso de recursos de TI) 
contendo regras sobre 
proteção de dados. 
A documentação formal 
(por exemplo, política 
de proteção de dados), 
aprovada pelo Conselho 
de Administração, é 
comunicada a todo o 
pessoal. 
 
Os procedimentos são 
formalizados e 
comunicados a todo o 
pessoal. 
 
As regras são aplicadas. 
É realizada uma revisão 
anual das políticas e 
procedimentos. 
 
São produzidos 
indicadores (por 
exemplo, sobre a 
implementação das 
regras, sobre as 
dificuldades 
encontradas, sobre sua 
eficácia etc.). 
As políticas e 
procedimentos são 
atualizados assim que 
são identificadas 
melhorias potenciais. 
Gerir a 
governança da 
proteção de 
dados 
O conhecimento 
especializado em 
proteção de dados é 
identificado dentro da 
organização (por 
exemplo, 
departamento jurídico) 
e utilizado em uma 
base ad hoc. 
É identificado um 
responsável pela 
proteção de dados que 
é responsável pelas 
interações com os 
titulares dos dados 
(cartas etc.). 
É nomeado um 
encarregado de 
proteção de dados 
para a autoridade 
nacional de proteção 
de dados (com uma 
descrição formal de 
cargo ou declaração de 
missão conhecida pelo 
pessoal), é criada uma 
organização e são 
definidas funções e 
responsabilidades. 
O encarregado da 
proteção de dados 
informará anualmente 
sobre suas ações à 
direção da organização 
(em particular ao(s) 
responsável(eis) pelo 
controle). 
Recursos são alocados 
regularmente para 
implementar planos de 
ação à luz da avaliação 
do DPO e para garantir 
sua implementação e 
melhoria contínua. 
Identificar e 
manter a lista 
de tratamentos 
Os serviços são capazes 
de identificar as 
operações de 
tratamento de dados 
pessoais que realizam. 
O tratamento de dados 
pessoais é identificado 
e/ou reportado de 
forma centralizada. 
É mantido um registro 
de atividades de 
tratamento, em 
conformidade com o 
RGPD. 
A completude e 
qualidade do registro é 
verificada 
regularmente. 
O registro serve como 
um instrumento para 
orientar ações 
relacionadas ao 
tratamento de dados 
pessoais (por exemplo, 
ele serve como um 
censo, mas também 
como um instrumento 
para a gestão 
comparativa de riscos e 
monitoramento de 
planos de ação). 
1 2 3 4 5 
Autoavaliação da maturidade na gestão da proteção de dados 
 9 
Garantir a 
conformidade 
legal do 
tratamento 
As informações para 
titulares (por exemplo, 
avisos legais) são 
fornecidas nos 
principais locais onde 
os dados pessoais são 
coletados (por 
exemplo, website, 
formulários). 
Para cada operação de 
tratamento, são 
elaborados avisos 
legais e é realizado um 
estudo dos princípios 
fundamentais 
(proporcionalidade, 
necessidade e direitos 
dos titulares). 
 
As cláusulas 
contratuais são 
avaliadas e incluem 
uma seção sobre 
proteção de dados. 
As cláusulas padrão 
para contratos com 
operadores são 
formalizadas e 
utilizadas. 
 
As avaliações de 
impacto da proteção 
de dados são realizadas 
em operações de 
tratamento que 
provavelmente 
resultarão em altos 
riscos para os titulares, 
em colaboração com os 
departamentos 
envolvidos e a pessoa 
encarregada da 
proteção de dados. 
As medidas planejadas 
são verificadas. 
 
Revisões regulares de 
avisos legais e cláusulas 
contratuais são 
planejadas e realizadas. 
 
A qualidade das 
avaliações de impacto 
da proteção de dados é 
avaliada por meio de 
indicadores. 
 
Planos de ação (por 
exemplo, em caso de 
não conformidade de 
uma operação de 
tratamento) são 
criados e 
implementados. 
A proteção de dados é 
levada em 
consideração desde o 
início dos projetos, em 
colaboração com o 
encarregado da 
proteção de dados. 
 
Eventuais melhorias 
são estudadas 
regularmente. 
 
É realizado um 
monitoramento jurídico 
e técnico. As análises 
são produzidas e 
divulgadas. 
Treinamento e 
conscientização 
Alguns funcionários são 
conscientizados sobre 
a proteção de dados. 
As profissões são 
treinadas para 
identificar e transmitir 
as questões de 
proteção de dados à 
pessoa encarregada 
(por exemplo, 
solicitações de 
titulares, a autoridade 
de supervisão, novas 
operações de 
tratamento etc.). 
Sessões de 
conscientização são 
organizadas 
regularmente para o 
pessoal. 
Os indicadores medem 
qualitativa e 
quantitativamente a 
compreensão das 
questões de proteção 
de dados (por exemplo, 
pesquisa, questionário 
anual etc.). 
São oferecidos 
regularmente 
treinamentos ou 
sessões de informação 
sobre novas tecnologias 
ou questões de 
proteção de dados. 
Lidar com 
pedidos de 
usuários 
internos e 
externos 
Os pedidos dos 
titulares são 
gerenciados caso a 
caso. 
São criados modelos de 
resposta padrão (por 
exemplo, baseadas em 
modelos CNIL) para 
responder a 
solicitações regulares. 
São criadas e utilizadas 
respostas padrão a 
solicitações para o 
exercício de direitos e 
perguntas. 
 
Um procedimento para 
tratar os pedidos de 
exercício de direitos é 
definido e comunicado 
ao pessoal. Um 
formulário de contato 
é criado no site e todas 
as solicitações são 
centralizadas. 
A pessoa encarregada 
da proteção de dados é 
sistematicamente 
informada de cada 
solicitação relativa aos 
direitos das pessoas. 
 
Os pedidos de exercício 
de direitos estão 
sujeitos a indicadores 
que aparecem na 
revisão anual. 
O processo de 
gerenciamento de 
solicitações para o 
exercício de direitos e 
as ferramentas em que 
se baseia são 
regularmente 
melhorados. 
Autoavaliação da maturidade na gestão da proteção de dados 
 10 
Gerenciar 
riscos de 
segurança 
Medidas básicas de 
segurança são postas 
em prática (por 
exemplo, autorizações, 
segurança de estações 
de trabalho etc.). 
As diretrizes são usadas 
para selecionar e 
implementar medidas 
de segurança (por 
exemplo, guia de 
segurança de dados 
pessoais CNIL, política 
de segurança interna 
etc.). 
As avaliações de 
impacto da proteção 
de dados incluem um 
estudo dos riscos de 
segurança. 
 
Um método é usado 
para avaliar os riscos 
das operações de 
tratamento de dados 
que podem resultar em 
altos riscos para os 
titulares dos dados e 
para tratá-los de forma 
proporcional. 
 
As avaliações de risco 
estãosujeitas a planos 
de ação. 
A implementação dos 
planos de ação é 
verificada em termos 
de eficácia e eficiência. 
 
Os riscos residuais são 
monitorados por 
indicadores. 
Os estudos de risco e 
os planos de ação são 
revisados anualmente. 
 
Uma vigilância ativa é 
mantida sobre 
vulnerabilidades ligadas 
a suportes de dados e 
ações corretivas são 
tomadas no caso de um 
impacto no sistema de 
informação. 
Gerenciar 
violações de 
dados 
Os incidentes são 
relatados. Às vezes são 
tomadas medidas 
corretivas. Às vezes é 
feita uma notificação de 
violação de dados para 
a CNIL. 
O gerenciamento de 
incidentes 
implementado de 
forma centralizada 
inclui violações de 
dados. 
 
Medidas corretivas são 
tomadas 
sistematicamente. 
Prevê-se a comunicação 
aos titulares cujos 
dados tenham sido 
violados de uma forma 
que possa dar origem a 
um alto risco. 
Um procedimento para 
tratar as violações de 
dados é formalizado e 
implementado 
sistematicamente. 
 
Todas as violações são 
registradas em um 
registro dedicado. 
 
Após uma violação de 
dados, está em vigor 
um plano de ação para 
reduzir o risco de 
reincidência. 
A implementação de 
medidas corretivas é 
verificada. 
 
São criados e 
comunicados 
indicadores para 
monitorar as violações 
de dados (por exemplo, 
na revisão anual). 
Uma análise de violação 
é realizada 
regularmente para 
identificar e 
implementar medidas 
para melhorar a 
segurança dos dados. 
 
O gerenciamento da 
violação de dados 
alimenta os estudos de 
risco (por exemplo, 
AIPD). 
 
Um sistema de 
gerenciamento 
automático de 
rastreamento permite 
que as violações de 
dados sejam detectadas 
o mais rápido possível. 
 
 
Autoavaliação da maturidade na gestão da proteção de dados 
 11 
Referências 
• Regulamento Geral de Proteção de Dados (GDPR) 
• A Lei de Proteção de Dados 
• Guia de maturidade SSI, Agence nationale de la sécurité des systèmes d'information (ANSSI) 
• ISO/IEC 21827 – Tecnologia da informação – Técnicas de segurança – Engenharia de segurança de 
sistemas – Capability Maturity Model (SSE-CMM®), Organização Internacional de Normalização (ISO) 
• ISO/IEC 27001 – Tecnologia da informação – Técnicas de segurança – Sistemas de gestão da 
segurança da informação – Requisitos, ISO 
• ISO/IEC 29190 – Tecnologia da informação – Técnicas de segurança – Modelo de avaliação da 
capacidade de privacidade, ISO