A implementação da LGPD (lei geral de proteção de dados) exige uma mudança complexa na forma de se fazer a gestão dos dados na empresa, especialmente no que tange a cultura corporativa, demandando um diagnóstico profundo em relação a fluidez das informações na companhia visando definir seu grau de maturidade informacional no que tange gestão da informação e do conhecimento, bem como as vulnerabilidades dos seus sistemas e fatores de risco mais proeminentes.

Nesse sentido, essa avaliação precisa ser realizada em parceria com o departamento de compliance, controles internos e riscos, mas especialmente com o setor de TI (tecnologia da informação), tendo em conta a necessidade de adequação com as normas da família ISO 27.000. Isso ocorre pois de nada adianta se desesperar com LGPD sem entender de segurança da informação, sendo muito recomendado certificações nessa área.

A título de ilustração, o procedimento abrange a criação de atribuições e responsabilidades no que se refere a proteção das informações, principalmente as do encarregado pela proteção dos dados (DPO - Data Protection Officer). Inclui também a definição das tecnologias e das métricas necessárias à aferição de desempenho; processos de auditoria, análise, testes de intrusão e avaliações de vulnerabilidades, além de planos de gestão de riscos, crises e continuidade de negócios, bem como resposta a incidentes.

Em suma, a conformidade com a LGPD demanda antes de tudo um mapeamento de processo que oriente a criação de controles internos e gestão de Compliance, contudo, falar nisso sem levar em consideração suas bases é muito difícil, pra não dizer impossível abordar o tema sem o mínimo de instrução em Governança de TI, Segurança da informação e MCI (marco civil da internet), coisa que muitas empresas nunca ouviram falar. Logo, exige uma mudança de postura geral voltada ao negócio a fim de criar valor e evitar penalidades.