Fluxograma resumido
da certificação
Lei Geral de Proteção de Dados Pessoais
Mercados e governos em nível global passam por uma crise de integridade e confiança, que abrange também aspectos relacionados à proteção da privacidade e dos dados pessoais, em especial, com o avanço de instrumentos tecnológicos com volume significativo de dados, e onde a informação sobre os indivíduos passa a ser ativo valioso para mercados e empresas, além do risco de uso criminoso de tais dados.
Neste cenário, as empresas e poder público vêm buscando aprimorar seus mecanismos de controle no sentido de mitigar riscos associados, de forma a demonstrar às partes interessadas (como indivíduos, organizações não governamentais, poder judiciário, clientes, autoridades, países parceiros etc.), o sincero empenho em operar de forma ética e em conformidade com as legislações e regras de privacidade estabelecidas.
Em nível europeu, temos a GDPR – General Data Protection Regulation (Regulamento Geral Sobre a Proteção de Dados, publicado em português em 2016) e no Brasil, foi emitida a Lei No 13.709/2018 – Lei Geral de Proteção de Dados Pessoais (LGPD), bem como a Autoridade Nacional de Proteção de Dados – ANDP responsável fiscalizar e aplicar sanções em caso de tratamento de dados não conformes, mediante processo administrativo, apreciar petições de titular contra controlador por esse não solucionadas.
Organizações públicas e privadas têm buscado implantar procedimento para adequação à LGPD. Colaborando com este cenário, o mercado tem demandado a demonstração da efetividade de tais programas, razão pela qual, a TRADIUS inova e lança a certificação independente e acreditada para Boas Práticas de Proteção de Dados Pessoais (LGPD).
Recentemente, de forma a harmonizar os mecanismos adotados para estruturação dos programas de segurança da informação e privacidade de dados pessoais, foram desenvolvidas normas técnicas internacionais (além das legislações emitidas pelas autoridades de cada país), como a ABNT NBR ISO/IEC 27001 - Segurança da Informação, ABNT NBR ISO/IEC 27002 - Controles de Segurança da Informação e ABNT NBR ISO/IEC 27701 - Privacidade de Dados (esta última lançada em 2020), que trazem em sua estrutura, um conjunto completo de pilares (requisitos), que dialogam transversalmente com todos os processos e níveis organizacionais, abrangendo conceitos como, por exemplo: avaliação de riscos, política de segurança da informação e da privacidade de dados, controles de segurança cibernética, competência e treinamento, controles operacionais, auditorias internas e análise pela direção.
Embora a LGPD ou ainda o GDPR não requiram a adoção das normas técnicas acima, tais normas auxiliam as organizações a estabelecerem um sistema de gestão baseado em modelos consagrados internacionalmente, que suportam a governança e o desempenho adequados das práticas de proteção de dados pessoais, contribuindo a assegurar sua efetividade.
A auditoria para certificação independente, realizada pela TRADIUS considera que as Boas Práticas de Proteção de Dados Pessoais (Regulamento Técnico desenvolvido pela TRADIUS) desenvolvidas pela para atendimento à LGPD foram completamente implementadas e mantidas de forma eficaz pela Organização, incluindo os controles operacionais desenvolvidos para assegurar sua conformidade contínua no tempo, e tem como objetivo, avaliar a efetividade de tais práticas. A certificação pode ser obtida em 2 (duas) modalidades:
BP LGPD = Boas Práticas de Proteção de Dados Pessoais, baseadas nos princípios da LGPD
BP LGPD PLATINUM = Boas Práticas de Proteção de Dados Pessoais, baseadas nos princípios da LGPD + requisitos-chave de sistemas de gestão (baseados em cláusulas da ISO/IEC 27001, ISO/IEC 27002 e ISO/IEC 27701)
A obtenção da certificação de Boas Práticas de Proteção de Dados Pessoais, a despeito de basear-se na LGPD, não significa declaração de conformidade legal, por tratar-se de prerrogativa exclusiva do Poder Público, mas serve ao propósito de demonstrar às partes interessadas (incluindo o próprio Poder Público) que a Organização implantou as práticas requeridas e foi avaliada por certificadora independente. Adicionalmente, para a certificação obtida para BP LGPD PLATINUM, não se aplicam todas as cláusulas das normas ISO acima, sendo selecionadas cláusulas-chave, relevantes ao propósito de dar mais sustentação ao sistema de gestão e governança da Organização.
O Regulamento Técnico com o detalhamento das regras e etapas de certificação é enviado pela TRADIUS para as Organizações que desejam certificar suas Boas Práticas de Proteção de Dados Pessoais, juntamente com a proposta comercial.
A certificação de Boas Práticas de Proteção de Dados Pessoais pode ser requerida por qualquer organização, de qualquer natureza jurídica, qualquer porte, podendo ser pública, privada ou sem fins lucrativos.
A TRADIUS é um Organismo de Certificação acreditado pela PROCERT sob registro OCAP-01.
A PROCERT é um organismo independente de avaliação e acreditação operando com base em critérios especificamente definidos pelo acreditador, extraídos da norma técnica internacional ABNT NBR ISO/IEC 17021-1 - Avaliação da Conformidade – Requisitos para Organismos que Fornecem Auditoria.
A acreditação significa que a TRADIUS tem seu sistema da qualidade avaliado periodicamente.
A avaliação inclui a competência técnica e mecanismos para assegurar a confiança nas certificações de Boas Práticas de Proteção de Dados Pessoais emitidas.
Um exemplo do Certificado de Conformidade emitido pela TRADIUS para as organizações certificadas pode ser visualizado na imagem ao lado.
Exemplo de Certificado
Realize gratuitamente uma autoavaliação para verificar o grau de aderência de sua organização às Boas Práticas de Proteção de Dados Pessoais.
Basta preencher os dados abaixo e terá acesso ao nosso questionário online e um resultado geral.
O questionário apresenta perguntas com 3 opções simples de resposta: implementado completamente (C) = 5 pontos; implementado parcialmente (P) = 3 pontos; não implementado ou insuficiente (I) = 0 ponto.
Ao final, um e-mail com o resultado é enviado. A TRADIUS não tem acesso ao resultado da autoavaliação (Nota: o desenvolvedor da TRADIUS receberá os dados, mantendo-os em sigilo e não utilizando para outros fins). O questionário preenchido não significa resultado compatível na auditoria, ou ainda, uma avaliação das Boas Práticas de Proteção de Dados Pessoais pela TRADIUS.
Para uma certificação, é necessário estar em conformidade com todas as regras aplicáveis (descritas no Regulamento Técnico enviado junto com a proposta comercial, caso solicitada).
A auditoria adota procedimentos próprios da TRADIUS, valendo-se como referência, das metodologias consagradas de auditoria definidas em normas internacionais, como ABNT NBR ISO/IEC 17021-1 (Certificação) e ABNT NBR ISO 19011 (Auditorias), normalmente adotadas por organismos de certificação acreditados, para diversos programas de certificação, de forma a assegurar, tanto a conformidade técnica da auditoria quanto os mecanismos para a confiança na certificação (independência, imparcialidade, objetividade e ausência de conflito de interesse).
O serviço é realizado de maneira presencial ou videoconferência (ou ainda, híbrida), conforme acordado, permitido flexibilidade e completa interação com o auditor e auditados. Os métodos de auditoria buscam avaliar, por amostragem de evidências (documentos, registros, entrevistas com os diversos níveis de gestão e operação, bem como observação de atividades), o nível de implementação e eficácia das Boas Práticas de Proteção de Dados Pessoais. A TRADIUS mantém a confidencialidade dos dados e informações da Organização.
Em caso de ausência de não conformidade, é emitido um Certificado de Conformidade com validade de 12 (doze) meses. Para sua renovação, uma nova auditoria é conduzida. A Organização deve assegurar a conformidade contínua de seus processos e manutenção da eficácia em relação às Boas Práticas de Proteção de Dados Pessoais.
Em particular, como uma das formas de assegurar a independência, a TRADIUS não realiza quaisquer serviços de consultoria relacionados ao escopo da auditoria para a Organização a ser certificada, incluindo para a implementação das Boas Práticas de Proteção de Dados Pessoais, ou ainda, o plano de ação para eventuais não conformidades.
- Doutor em Direito; Mestre em Administração com ênfase em Governança Corporativa;
- Advogado inscrito nos quadros da OAB/SP desde 09/07/1996, atuante em direito empresarial, civil, digital, com especializações em Direito Empresarial, Tributário e em Cibersegurança e Proteção Digital de Negócios (em andamento)
- Fundador da Compliance_Design, consultoria voltada a implementação de Sistemas de Gestão de Compliance/Integridade/Antissuborno, LGPD – Lei Geral de Proteção de Dados Pessoais e Governança Corporativa;
- Auditor líder atuante por certificadoras acreditadas pelo INMETRO para ISO 37001;
- Certificação como Auditor Líder ISO 27001 – Segurança da Informação e ISO37301 Compliance;
- Professor Convidado das disciplinas Fundamentos da Governança Corporativa, Compliance e Gestão de Riscos na FGV;
- Coordenador acadêmico na produção de obras sobre Compliance.
- Sócio-diretor da TRADIUS;
- Conselheiro certificado (governança corporativa);
- Assessor Especial da Presidência da ABRAC – Assoc. Bras. de Avaliação da Conformidade;
- Conselheiro da AIEC - Asociación Interamericana de Evaluación de la Conformidad (sede Bogotá);
- Vice-presidente de Compliance da Rede Brasil de Cidades Inteligentes;
- Foi Diretor para as Américas do organismo de certificação multinacional;
- Membro ABRAC do Grupo Técnico Anticorrupção do Pacto Global da ONU e do CHTECH (Comitê Tecnológico) do PBQP-H no Ministério do Desenvolvimento Regional;
- Administração com Ênfase em Serviços, Tecnologia Mecânica no CEETPS, Especialização em Gestão Ambiental, e MBA em Gestão Estratégica e Econômica de Negócios pela FGV;
- Experiência profissional de mais de 25 anos em Certificações e Processos.
- Experiência de 30 anos em diversos setores, sendo mais de 15 anos em certificadora, além de 10 anos em indústria e serviços, atuando na estratégia, mercado e tecnologia em certificações para diversos mercados (Naval, Energia, Transportes, Petróleo e Gás, Construção Civil, Público, Infraestrutura e outros).
- Liderança de mais de 1.000 auditorias de certificação em diversas normas (ISO 9001, ISO 14001, ISO 45001, ISO 37001, ISO 37301, PBQP-H e outras) em mais de 15 países (Itália, México, Equador, Costa Rica, Panamá, Venezuela etc.), coordenando, como auditor líder, as primeiras certificações ISO 37001 (Sistema de Gestão Antissuborno) e avaliações ISO 37301 (Compliance) no Brasil, Argentina, Colômbia, Estados Unidos e Portugal;
- Coordenador do curso acreditado de Formação de DPO (Data Protection Officer) com foco na LGPD, ISO 27001, ISO 27002 e ISO 27701 da TRADIUS, e coordenação de implantação LGPD;
- Integra a Comissão de Estudos de Governança e Compliance da ABNT – CEE/309 (responsável por normas como ISO 37001 e ISO 37301).
- Articulação como ABRAC junto ao poder público (executivo, legislativo e judiciário) em âmbito federal e estadual, e com associações de mercado, para a introdução de políticas públicas que reflitam boas práticas internacionais que contribuam à transparência, conformidade, redução de custos e de insegurança jurídica, em colaboração com o INMETRO (inspeção de projetos de engenharia e obras de infraestrutura, certificação ISO 27001).
- Professor convidado de pós-graduação em instituições de renome como FGV SP, IBMEC RJ, PUC Campinas, UFSCar, FDV e CEDIN.
- Palestrante em congressos e eventos técnicos para promoção da cultura da conformidade, certificação acreditada e integridade.
- Publicação de artigos sobre certificações e compliance;
Auto e coautor de obras, como, “Programas de Integridade em Compras Públicas – Certificação ISO 27001 e a contribuição à Integridade”, “Compliance, O Estado da Arte”, “Compliance Estratégico – Volume 2”, “Inspeção Acreditada de Projetos de Engenharia e de Obras de Infraestrutura: contribuição à Integridade e ao Progresso"
A TRADIUS realiza a Formação acreditada de DPO (Data Protection Officer) com foco na LGPD, ISO 27001, ISO 27002 e ISO 27701.
Oferecemos também a Formação acreditada de Implementador e Auditor Líder ISO 37001 e ISO 37301 (Antissuborno e Compliance).
Tratam-se de treinamentos robustos, incluindo no investimento, prova e certificação do profissional.
contato@tradius.com.br