Neste artigo objetiva-se discorrer sobre o Programa de Governança em Privacidade - PGP, indicando o conceito, as características e as etapas de estruturação. Antes de iniciar a referida abordagem são retomados alguns aspectos sobre a Lei Geral de Proteção de Dados - LGPD e as Regras de Boas Práticas e de Governança, que auxiliarão no entendimento da temática tratada.
Lei Geral de Proteção de Dados
A Lei Geral de Proteção de Dados - LGPD - Lei nº 13.709 de 2018 foi inspirada no Regulamento Europeu de Proteção de Dados Pessoais e dispõe sobre diversos aspectos referentes à privacidade dos dados. O objetivo da LGPD é proteger os direitos fundamentais de liberdade, de privacidade, bem como, o livre desenvolvimento da personalidade da pessoa natural.
A LGPD entrou em vigor em setembro de 2020 após diversas tentativas de adiamento, porém as sanções administrativas previstas na lei indicada, apenas podem ser aplicadas a partir do dia 01 de agosto de 2021.
Embora a possibilidade de aplicação das sanções esteja prevista para o ano que vem, muitas obrigações previstas já estão vigentes. Dessa forma, as empresas devem buscar se adequar às disposições da LGPD o quanto antes.
Regras de Boas Práticas e de Governança
Os agentes de tratamento de dados pessoais - controladores e operadores -, no âmbito de suas competências, com relação ao tratamento de dados, podem elaborar individualmente ou por intermédio de associações regras de boas práticas e de governança, que determinem as condições de organização, os padrões técnicos, as normas de segurança, entre outros, nos termos do artigo 50, caput, da LGPD.
Ao estabelecer as referidas regras, os controladores e os operadores devem levar em consideração, no que se refere ao tratamento e aos dados, a natureza, o escopo, a finalidade e a probabilidade, bem como, a gravidade dos riscos e dos benefícios decorrentes do tratamento de dados do titular. Outrossim, as regras de boas práticas e de governança devem ser atualizadas e publicadas de maneira periódica e podem ser reconhecidas e divulgadas pela Autoridade Nacional.
A Autoridade Nacional de Proteção de Dados - ANPD é responsável por zelar pela proteção dos dados pessoais, com base na legislação; por elaborar as diretrizes para a Política Nacional de Proteção de Dados Pessoais e da Privacidade; por fiscalizar e aplicar sanções nos casos de tratamento de dados que descumprirem a legislação, por meio de processo administrativo, que assegure o contraditório, a ampla defesa e o recurso, entre outros.
A ANPD foi criada pela Lei nº 13.853 de 2019 e o Decreto nº 10.474 de agosto de 2020 aprovou a Estrutura Regimental e o Quadro Demonstrativo dos Cargos em Comissão e das Funções de Confiança da Autoridade Nacional de Proteção de Dados.
Programa de Governança em Privacidade
O Programa de Governança em Privacidade - PGP pode ser entendido como o conjunto de regras de boas práticas e de governança que determinem as condições de organização, o regime de funcionamento, os procedimentos, as reclamações dos titulares, as normas de segurança, os padrões técnicos, as obrigações para os envolvidos no tratamento, as ações educativas, os mecanismos internos de supervisão e de diminuição de riscos e outros aspectos referentes ao tratamento de dados pessoais (BLUM; MORAES, 2020).
Salienta-se que o PGP deve levar em consideração a estrutura de governança corporativa existente na organização. Segundo o IBCG (2015) a governança corporativa pode ser entendida como o sistema por intermédio do qual as empresas e as demais organizações são dirigidas, monitoradas e incentivadas, envolve os relacionamentos entre os sócios, os conselhos de administração, diretoria, órgãos de fiscalização e controle e demais partes interessadas.
No artigo 50, § 2º, da LGPD são indicadas as características mínimas de um Programa de Governança em Privacidade - PGP, quais sejam:
-
O comprometimento do controlador na adoção de processos e políticas internas que assegurem o cumprimento, de maneira abrangente, de normas e boas práticas relacionadas à proteção de dados pessoais;
-
A aplicação a todo conjunto de dados pessoais que estejam sob o seu controle, independentemente da forma como foi realizada a coleta;
-
A adaptação à estrutura, à escala e ao volume de suas operações, assim como, à sensibilidade dos dados tratados;
-
O estabelecimento de políticas e salvaguardas de acordo com o processo de avaliação sistemática de impactos e riscos à privacidade;
-
O estabelecimento da relação de confiança com o titular, por intermédio de atuação transparente e que assegure mecanismos de participação do titular;
-
A integração da estrutura geral de governança, o estabelecimento e a aplicação de mecanismos de supervisão internos e externos;
-
Com planos de resposta a incidentes e remediação;
-
A atualização constante com base nas informações obtidas a partir de monitoramento contínuo e avaliações periódicas.
Etapas do Programa de Governança em Privacidade
Conforme delimitado no Guia de Elaboração de Programa de Governança em Privacidade (2020), o PGP deve ser estruturado nas seguintes etapas: iniciação e planejamento; construção e execução e monitoramento.
-
Etapa de Iniciação e Planejamento:
A etapa de Iniciação e Planejamento compreende quais são as primeiras informações e os dados importantes que devem ser conhecidos: a nomeação do encarregado; o alinhamento de expectativas com a alta administração; o diagnóstico do atual estágio de adequação à LGPD; a análise e adoção de medidas de segurança, incluindo as diretrizes e a cultura interna; a instituição da estrutura organizacional para a governança e a gestão da proteção de dados pessoais; o inventário de dados pessoais e o levantamento dos contratos referentes a dados pessoais (Governo Federal, 2020).
Na primeira etapa também deve ser criada uma estrutura organizacional para compor o conhecimento de dados pessoais na entidade ou órgão, para supervisionar as três etapas da ação para criar e manter o Programa de Governança em Privacidade.
-
Etapa de Construção e Execução:
A etapa de Construção e Execução deve considerar o gerenciamento de direitos individuais; o consentimento e o rastreamento de preferências e a redução de responsabilidade por violação.
Os marcos para serem alcançados nessa etapa são: as políticas e práticas para a proteção da privacidade do cidadão; a cultura de segurança e proteção de dados e Privacy by Design; o Relatório de Impacto à Proteção de Dados Pessoais - RIPD; a Política de Privacidade e Política de Segurança da Informação; a Adequação de cláusulas contratuais e os Termos de Uso (Governo Federal, 2020).
-
Etapa de Monitoramento:
A etapa de monitoramento inclui: os indicadores de performance, a gestão de incidentes, a análise de resultados e o reporte de resultados.
Entre os indicadores de performance cabe apontar: os índices de serviços com dados pessoais inventariados, os índices de serviços com termos de uso elaborado, o índice de conscientização em segurança, entre outros.
A gestão de incidentes engloba os incidentes de segurança da informação e de privacidade ocorridos e que armazene informações, como a descrição dos incidentes e eventos. A análise e o reporte dos resultados mostra a evolução das ações e os resultados obtidos, assim como, o papel da privacidade para os cidadãos, além de reforçar a cultura de privacidade dos dados (Governo Federal, 2020).
Diante do exposto, pode-se dizer que o Programa de Governança em Privacidade objetiva garantir que a organização esteja em conformidade com a Lei Geral de Proteção de Dados. Para tanto, é importante que ao implementar o PGP sejam atendidas as características indicadas no artigo 50, § 2º, da LGPD e seja buscado engajamento de todos os colaboradores da organização. Além disso, é fundamental que o referido programa seja atualizado e revisado de forma contínua.
REFERÊNCIAS:
BLUM, Rita Peixoto Ferreira; MORAES, Hélio Ferreira. Lei Geral de Proteção de Dados Pessoais. In: CARVALHO, André Castro et al. Manual de Compliance. 2 ed. Rio de Janeiro: Forense, 2020.
Código das melhores práticas de governança corporativa. IBCG. São Paulo: IBCG, 2015.
Guia de Elaboração de Programa de Governança em Privacidade. LGPD. Governo Federal. Brasília, Outubro de 2020.
Lei nº 13.709 de 2018.