Muito se fala em compliance com a LGPD, ou, programa de governança, mas o que é isso afinal? De forma prática, quais ações estão envolvidas?
Um dos objetivos – e principais desafios – da Lei Geral de Proteção de Dados Pessoais (LGPD) é estimular o fortalecimento de uma cultura de proteção de dados e, consequentemente, fazer com que os agentes de tratamento de dados assumam um posicionamento preventivo em suas atividades.
A LGPD, através do seu artigo 50, buscou incentivar os agentes de tratamento (Controladores e Operadores), tanto públicos como privados, a criarem suas próprias regras de boas práticas e governança, de acordo com as condições e peculiaridades estruturais de cada organização.
É a partir do programa de governança que teremos estabelecidas e documentadas as medidas técnicas e administrativas tão comentadas: “medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão”.
O princípio do Accountability (art. 5º do Regulamento Europeu de Proteção de Dados), da Prevenção, e da Responsabilização e Prestação de Contas (art. 6º, VIII, e X da LGPD) dão força às disposições relacionadas a criação de regras de boas práticas e governança de ambas as normas, tendo em vista que os agentes de tratamento devem adotar medidas para prevenir a ocorrência de dados em virtude do tratamento de dados pessoais, como também adotar medidas que sejam eficazes e capazes de comprovar o cumprimento das normas de proteção de dados.
As regras de boas práticas e governança são uma modalidade de autorregulação da atividade empresarial e visam estabelecer procedimentos que facilitam e viabilizam o cumprimento da legislação. Elas não têm a pretensão de eliminar completamente as chances de ocorrer qualquer incidente ou não conformidade, mas sim minimizar essas possibilidades, e, caso venham a ocorrer, que possam ser rapidamente identificados e combatidos de forma eficaz.
Podem ser implementados (i) por meio de associações ou de (ii) forma individual pelo controlador ou operador de dados.
Essas regras de boas práticas e de governança devem estabelecer o regime de funcionamento, os procedimentos internos, incluindo reclamações de titulares, as normas de segurança, os padrões técnicos, as obrigações específicas para os diversos envolvidos no tratamento, as ações educativas que serão adotadas pela empresa, os mecanismos internos de supervisão e de mitigação de riscos e outros aspectos relacionados ao tratamento de dados pessoais.
Isso quer dizer que os agentes de tratamento, após conhecerem o fluxo das atividades de tratamento de dados pessoais – o ciclo de vida que o dado percorre dentro de cada setor na organização – verificar uma finalidade legítima e eleger uma base legal válida para o tratamento de dados devem também se comprometer com a adoção de medidas que deem real efetividade às regras a eles aplicáveis.
A Lei não traz exatamente que regras são essas, dando liberdade que os agentes de tratamento criem procedimentos e normas internas de acordo com a sua atividade e modelo de negócio e de acordo com à estrutura, à escala e ao volume de suas atividades de tratamento, como também levando em consideração a categoria dos dados tratados. Porém, o programa de governança em privacidade deve no mínimo:
(i) demonstrar o compromisso da organização em adotar processos e políticas internas que assegurem o cumprimento das normas e boas práticas relativas à proteção de dados;
(ii) ser aplicável a todo o conjunto de dados pessoais que esteja sob o controle da organização, inclusive aqueles tratados por terceiros em nome da organização, ou seja, deve englobar todos as atividades de tratamento de dados;
(iii) ter o objetivo de estabelecer uma relação de confiança com o titular, através de uma atuação transparente e de modo que assegure o direito de acesso e participação do titular de dados;
(iv) estabelecer políticas e salvaguardas de segurança adequadas com os riscos da atividade;
(v) estar integrado à estrutura geral de governança da organização de movo que seja possível a realização de auditorias internas e externas;
(vi) conter planos de resposta a incidentes e remediação, como o que fazer em casos de incidentes de segurança;
(vii) ser atualizado e constantemente avaliado e melhorado.
Diante dos critérios citados acima, há algumas ações que podem sem desenvolvidas pelas organizações para a criação dessas regras e boas práticas, como:
1 – Mapeamento das atividades de tratamento de dados: para que as demais ações de um programa de governança aconteçam, é essencial que a organização conheça os dados pessoais que estão sob seu controle. Ou seja, como a empresa fará a gestão do que não conhece? Como ela criará regras de boas práticas relacionadas a algo desconhecido? Por isso, é necessário elaborar o mapeamento dos fluxos de dados.
Através do mapeamento, que pode ser feito através de entrevistas e questionários, será possível identificar todos os sistemas internos utilizados, com quem os dados são compartilhados, qual a origem e de que forma o dado é coletado, quais categorias de dados e de titulares que determinada atividade de tratamento envolve, qual a finalidade da coleta, quais as medidas de segurança são aplicadas e etc.
Através do Mapeamento, será possível também identificar os riscos desse tratamento de dados, se a organização coleta dados em excesso, se todos os dados possuem uma base legal que fundamente o tratamento, se é possível garantir o direito dos titulares dos dados e as medidas necessárias para tanto.
2 – Adequação de documentos, criação de Políticas e Procedimentos Internos:
Isso envolve: Política de Segurança da Informação; Política de BYOD; Continuidade do Negócio; Política de Classificação da Informação; Política de Backup; Política de Proteção de Dados; Política de Resposta à Incidentes; Procedimento para responder às solicitações de titulares; Procedimento para responder às solicitações da ANPD ou outras Autoridades Competentes; Política de Privacidade; Política de Cookies; Termos de Consentimento; Avisos de Privacidade; Contrato de Trabalho; Código de Conduta, entre outros.
3 – Compliance de terceiros: verificar quem são os terceiros envolvidos nas atividades de tratamento de dados, principalmente fornecedores de software e se estão em processo de conformidade e constantes melhorias com o modelo de governança de dados.
Verificar a existência de cláusulas de proteção de dados pessoais nos contratos existentes com esses terceiros (fornecedores, prestadores de serviços, parceiros, franquias e etc), para definir responsabilidades e obrigações.
4 – Verificar os sistemas utilizados pela empresa e se atendem ao princípio do Privacy by Design, como também as medidas de Segurança da Informação implementadas;
5 – Treinamento: não adiante ter regras de boas práticas e governança se elas não são conhecidas pelos colaboradores e divulgadas internamente e com parceiros de negócio.
A organização deve criar uma cultura organizacional, de modo que a alta direção esteja comprometida e faça com que a proteção de dados seja prioridade. Deve promover semanas de conscientização, elaboração de cartilhas, debates sobre o tema e etc.
6 – Nomeação de um Encarregado de Dados: será a pessoa que fiscalizará o cumprimento das regras de boas práticas e governança, e claro, da própria LGDP, poderá promover treinamentos, orientar colaboradores, auxiliar na elaboração de documentos, políticas e procedimentos internos.
Como também é o ponto de contato entre o titular de dados, a ANPD e a organização.
7 – Planejar, Executar, Chegar e Agir: a organização deve sempre estar testando e melhorando as suas ações e modelo de governança de dados, para corrigir possíveis falhas e aperfeiçoar o que está funcionando.
Dessa forma, através dessas ações a organização irá conseguir:
• Criar evidências de está comprometida e adota medidas de segurança técnicas e administrativas aptas a proteger os dados pessoais;
• Observar o princípio da transparência, prevenção, responsabilização e prestação de contas;
• Manter os colaboradores e parceiros de negócio cientes sobre às suas responsabilidades e obrigações frente aos dados pessoais que têm acesso. Assim, é possível cobrar o cumprimento de tais obrigações, como também responsabilizá-los pela desobediência;
• Demonstrar boa-fé;
Como também, pode servir como um fator atenuante em eventual finalização e penalização por parte da ANPD, pois no momento da aplicação das sanções, um dos critérios que será observado pela autoridade é justamente a adoção de política de boas práticas e governança.
