CNIL publica guia de autoavaliação de maturidade em proteção de dados

Compartilhe esse conteúdo

A autoridade francesa de proteção de dados, a CNIL, compartilhou neste mês (setembro) em seus canais oficiais um “modelo de maturidade” na gestão do tratamento de dados pessoais dentro das empresas. O objetivo do guia é permitir que as organizações avaliem seu próprio nível de maturidade e determinem como melhorar sua gestão na proteção de dados de forma autônoma.

O documento conta com 8 atividades típicas relacionadas à proteção de dados em 5 níveis de maturidade distintos, além de ilustrar com exemplos relativos de cada nível de maturidade para cada atividade típica de forma tabelada.

Maturidade em gerenciamento de proteção de dados e conformidade: dois conceitos complementares

De acordo com o regulador francês, gerenciamento de proteção de dados e a conformidade em questões relativas à proteção de dados são dois conceitos diferentes, porém complementares. Embora a conformidade se aplique a cada processamento de informação pessoal, a maturidade de gerenciamento se aplica a todas as atividades de processamento gerenciadas pela organização.

A autoridade afirma que o projeto é amplo e abre muitos caminhos para que as organizações utilizem o modelo para apoiar suas operações de formas distintas.

“Ele permite que as organizações avaliem seu próprio nível de maturidade e determinem como melhorar seu gerenciamento de proteção de dados. Com base nisso, pode-se traçar um plano de ação para suprir as lacunas observadas entre a prática e o nível adequado almejado por cada organização” afirma o documento.

Os cinco níveis de maturidade de gerenciamento ao tratamento de dados pessoais, segundo a CNIL

Seguindo as normas locais (França) ISO / IEC 21827 e no ANSSI “maturidade SSI” a CNIL informa que o campo da proteção de dados pode ser classificado em cinco níveis distintos, onde cada um representa como a organização projeta, implementa, controla, mantém e monitora uma atividade de tratamento de dados pessoais, independentemente do tipo de negócio.

Veja como a autoridade interpreta os níveis:

Nível 0 – Sem prática /incompleto:

• Nada é feito quanto à proteção de dados. O assunto não é
conhecido nem apoiado dentro da organização.

Nível 1- Prática informal (algumas ações isoladas):

• As ações são realizadas com base em práticas básicas. Eles são implementados informalmente e em resposta a pedidos isolados, sem real comprometimento dos gestores da organização ou coordenação real entre aqueles que tem a intenção deimplementar essas ações.

Nível 2 – Prática repetível / contínua:

• As ações são realizadas por uma pessoa que tem habilidades de proteção de dados.
• Ações são planejadas.
• Algumas práticas são formalizadas, o que permite a duplicação e reutilização delas (possivelmente por outra pessoa).
• A proteção de dados é seguida pelos gerentes de organização, mas não há nenhum aculturamento em sentindo amplo na companhia.
• Há medições qualitativas e publicação de resultados

Nível 3- Processo definido (padronização de prática):

• As ações são realizadas de acordo com um processo definido (por exemplo, uso de métodos), padronizado (comum a todos da organização) e formalizadas (existência de documentação).
• As pessoas que executam as ações têm as habilidades apropriadas para o processo.
• A organização apoia o processo (aloca recursos, meios e formação necessária para o seu funcionamento).
• O processo é bem compreendido pela administração e pelos performers.

Nível 4 – Processo controlado (medição quantitativa e correção de falhas):

• O processo é coordenado em toda empresa
• As medições quantitativas são realizadas regularmente (em termos de desempenho, por exemplo. : proporção de projetos considerando o tratamento de de dados pessoais).
• As medições realizadas (indicadores qualitativos e quantitativos) são analisadas (por exemplo, alguém é responsável por estudar os indicadores e propor uma análise e um plano de ação).

Nível 5 – Processo continuamento otimizado (melhoria contínua):

• O processo é adaptado dinamicamente à situação (melhorias e mudanças diretamente integradas).
• A análise das medições realizadas é definida, padronizada e devidamente formalizada.
• A melhoria do processo é definida, padronizada e formalizada.
• As evoluções do processo são registradas.

A autoridade ressalta que, apesar de publicar o guia no intuito de apoiar as organizações na autoavaliação de maturidade, a metodologia publicada não se destina a garantir a conformidade por completa.

“É uma ferramenta de apoio analítico que pode ajudar a criar condições favoráveis para a organização na implementação das ações requeridas pelas legislações e torná-las sustentáveis, seguindo a lógica da responsabilização dos atores (accountability) e prestação de contas”.

Você pode acessar o documento original publicado pela CNIL aqui.


Compartilhe esse conteúdo

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

5 − 4 =