Como se adequar à LGPD e proteger os dados da sua empresa com o apoio do modelo de Três Linhas de Defesa?

A nova Lei de Proteção de Dados Pessoais (LGPD) impacta todas as empresas que realizam o tratamento de dados pessoais, independente do porte e segmento, e, muitas vezes, exige inovação para o ambiente de negócios e ajustes nos processos. Para garantir a adequação à legislação, pode ser valiosa a criação de um grupo de trabalho multidisciplinar, composto por representantes de todas as linhas de negócios da companhia, sempre com o suporte do Jurídico, Compliance, Segurança da Informação e Riscos.

A Serasa Experian atua no modelo de Três Linhas de Defesa, cujo objetivo é garantir que o gerenciamento de riscos e controle seja realizado de maneira simples e eficaz ao esclarecer os papéis e responsabilidades de cada uma das áreas. Esse modelo estabelece os três grupos envolvidos no gerenciamento dos riscos: 1ª Linha de Defesa: as funções que possuem e gerenciam o risco; 2ª Linha de Defesa: as funções que supervisionam o risco; e 3ª Linha de Defesa: as funções que fornecem garantia independente.

Os principais benefícios desse modelo são:

> Proteção ao negócio: três linhas que dão maior respaldo à Diretoria Executiva e ao Conselho de Administração acerca do gerenciamento de riscos e controles;

> Definição de Responsabilidades: clareza de papéis em relação ao projeto e o gerenciamento de riscos, como a definição de responsabilidade de cada área pela identificação, reporte e gestão dos dados tratados com base nas reuniões de discussão dos grupos multidisciplinares;

> Supervisão: avaliação de riscos consistentes e abrangentes de toda a empresa.

> Coordenação: melhor coordenação entre as áreas de primeira, de segunda e terceira linha de defesa visando o objetivo comum.

> Eficiência: otimização do processo, remoção dos controles duplicados e efetividade das atividades de garantia, além de maior sinergia entre as linhas de defesa.

Por exemplo, a diretoria Jurídica acompanha esse processo e contribui com a interpretação das regulamentações, visando  identificar as principais áreas/produtos afetados e avaliar a existência de oportunidades.

A área de Compliance, com apoio direto às áreas de negócios, visa a implementação de planos de ação para assegurar a adequação e o funcionamento do sistema de controles internos e garantir o cumprimento das leis e regulamentações.

A área de Segurança de Informação (Security Office) também tem um papel essencial na implementação das ações requeridas pelas legislações, uma vez que visa adotar medidas de segurança aptas a proteger os dados pessoais de acessos não autorizados e ações acidentais ou ilícitas, conforme requisitos legais e políticas internas de segurança.

Essa construção coordenada por áreas e linhas de defesa, em geral, se resume aos seguintes objetivos:

> Proteger, conectar, criar, ajustar os processos de maneira segura, resiliente e legal;

> Garantir o cumprimento dos prazos;

> Analisar a criticidade dos riscos;

> Identificar, classificar, mitigar e reportar tempestivamente os riscos e mudanças no ambiente operacional, regulatório e de negócios;

> Implementar e monitorar controles garantindo o aprimoramento contínuo de políticas e procedimentos que contemplem os aspectos de segurança e legais.

Assim, o modelo de Três Linhas de Defesa possibilita uma governança corporativa mais robusta, facilitando a implementação dos planos de ação requeridos pela LGPD, podendo ser replicado também em outras empresas.

A proteção dos dados pessoais e o cuidado no tratamento das informações são temas recorrentes na Serasa Experian há 50 anos. Por isso, estamos envolvidos na maioria das discussões sobre o assunto, na tentativa de ajudar nossos clientes, consumidores e o mercado como um todo a entender melhor os direitos e deveres sobre essa nova Lei.

Por isso desenvolvemos um hotsite exclusivo, onde publicamos algumas das perguntas mais frequentes sobre a Lei. Você pode acessá-las clicando aqui.