A ascensão da era digital redefiniu nossas interações com a informação, tornando a proteção de dados pessoais uma prioridade global. O avanço tecnológico impulsionou a transição da sociedade industrial para a sociedade da informação, onde a hiperconectividade é a norma e os dados pessoais se tornaram o recurso mais valioso. Diante disso, muitas empresas têm direcionado seus esforços para expandir seus negócios por meio do processamento de grandes volumes de dados pessoais, utilizando essas informações para perfilar indivíduos e orientar decisões estratégicas. No entanto, esse novo paradigma também levanta questões cruciais sobre a necessidade de garantir a privacidade e a segurança desses dados pessoais.

Em resposta a essa demanda, foi promulgada a Lei Geral de Proteção de Dados Pessoais (Lei 13.709/2018), também conhecida como LGPD. Esta legislação impõe às organizações a responsabilidade de adotar medidas eficazes para proteger os dados pessoais. Embora o artigo 50 da LGPD permita que os controladores e operadores estabeleçam regras de boas práticas e governança para o tratamento de dados pessoais, e defina requisitos mínimos para um Programa de Governança em Privacidade, a lei não especifica os padrões a serem seguidos.

Considerando a indispensabilidade da implementação de um Programa de Governança em Privacidade para atender às demandas legais e do mercado, apresentamos um conjunto de princípios e requisitos baseados na Lei n.º 12.846/2013 e os artigos 46 e 50 da LGPD, além das melhores práticas de mercado que objetivam orientar o tratamento de dados pessoais realizado pela organização, promovendo a adoção de medidas preventivas e corretivas que visam garantir o tratamento ético, justo e responsável dos dados pessoais, conforme detalhados a seguir:

• Comprometimento da Alta Administração: A alta administração deve demonstrar um compromisso inequívoco com a proteção de dados, incorporando práticas de privacidade na estratégia organizacional e garantindo os recursos necessários para a implementação eficaz do programa.
• Gestão Adequada de Riscos: Identificar, avaliar e mitigar riscos regulatórios, legais, de segurança da informação e de privacidade é fundamental. Além disso, o levantamento das áreas de negócio, Registro das Operações de Tratamento de Dados Pessoais, definição de um plano de ação incluindo a elaboração de Relatório de Impacto à Proteção de Dados Pessoais, Teste de Balanceamento, adoção de controles internos, implementação do Privacy by design e by default, de procedimentos para gestão de fornecedores, compliance contratual, canal de comunicação e Plano de Resposta a Incidentes, alinhados com as melhores práticas nacionais e internacionais, a LGPD e demais legislação aplicáveis.
• Políticas e Procedimentos: Estabelecer políticas claras e procedimentos operacionais contribui para a governança de dados. Essas diretrizes devem abranger desde a coleta até a eliminação dos dados, assegurando seu tratamento seguro e conforme as normas estabelecidas.
• Treinamento e Conscientização: A eficácia de um programa de compliance depende da conscientização de todos na organização. Programas contínuos de treinamento garantem que funcionários compreendam suas responsabilidades na proteção de dados e saibam como agir em conformidade com as políticas estabelecidas.
• Monitoramento e Avaliação: Um processo contínuo de monitoramento e avaliação assegura que as políticas e controles implementados permaneçam eficazes ao longo do tempo. Auditorias regulares, estabelecimento de métricas e indicadores ajudam a identificar e corrigir lacunas, aumentando o grau de maturidade do Programa de Governança em Privacidade estabelecido pela organização.

Assim, diante de uma economia cada vez mais centrada em dados e em um cenário de inovação constante, as organizações se veem diante da responsabilidade crescente de garantir a proteção dos dados pessoais de seus clientes, fornecedores e parceiros de negócio. Nesse contexto, surge a necessidade premente da estruturação de um Programa de Governança em Privacidade na companhia que não apenas cumprem as exigências regulatórias, mas também visam a minimização de riscos, a preservação da reputação corporativa e o fortalecimento da confiança dos titulares dos dados. Um programa robusto não apenas se adequa às demandas do mercado, mas também proporcionam as empresas a oportunidade de usufruírem plenamente os benefícios proporcionados pelos avanços tecnológicos.

‍

Referências

Article 29 Data Protection Working Party (WP 248 rev.01).

BRANCO, Sérgio; TEFFÉ, Chiara Spadaccini de (Coords.). Plataformas digitais e proteção de dados pessoais. Rio de Janeiro: Instituto de Tecnologia e Sociedade do Rio, 2023. 370p.

BRASIL. Lei n.º 13.709, de 14 de agosto de 2018 – Lei Geral de Proteção de Dados Pessoais (LGPD). Disponível em: < https://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm>. Acesso em 4/4/2024.

BRASIL. Decreto n.º 11.129 de 11 de julho de 2022 que regulamenta a Lei n.º 12.846 de 1º de agosto de 2013. Disponível em: https://www.planalto.gov.br/ccivil_03/_Ato2019-2022/2022/Decreto/D11129.htm. Acesso em 4/4/2024.

BIONI, Bruno Ricardo. Proteção de dados pessoais: a função e os limites do consentimento. Rio de Janeiro: Forense, 2ª Ed., 2021.

Baldin, Paulo e Cilurzo, André. Avaliação de riscos e mapeamento de dados, 2020, São Paulo, artigo, 102-108. In: Apostila de Curso de Compliance em Proteção de Dados. Coordenação de Alessandra Gonçalves, Gianfranco Fogaccia Cinelli e Tae Young Cho.

CAUVOKIAN, Ann. Privacy by Design The 7 Foundational Principles Implementation and Mapping of Fair Information Practices. Disponível em: Privacidade por Design (PbD): Os 7 Princípios Fundamentais – Cavoukian (psu.edu). Acesso em 4/4/2024.

ISO – 27701/2019 - 7.4.2 Limit processing.

MAGRANI, Eduardo. A internet das coisas. Rio de Janeiro: FGV Editora, 2018, p. 21.

MALDONADO, Viviane Nóbrega. A Lei Geral de Proteção de Dados: objeto, âmbito de aplicação, requisitos, segurança e a necessidade de sua correta implementação. Lei Geral de Proteção de Dados Pessoais: manual de implementação. São Paulo: Revista dos Tribunais, 2019.

MALDONADO, Viviane Nóbrega; BLUM, Renato Opice (Coord.). LGPD: Lei geral de proteção de dados: comentada. São Paulo: Revista dos Tribunais, 2019.

TEIXEIRA, Tarcísio; ARMELIN, Ruth M. G. F. Responsabilidade Civil e Ressarcimento de Danos por Violação às Regras Previstas na LGPD: Um cotejamento com o CDC. In: LIMA, Cíntia R. P. (Org.) Comentários à Lei Geral de Proteção de Dados. São Paulo: Almedina, p. 297-326, 2020.

‍

‍