Impacto da Lei Geral de Proteção de Dados no ambiente corporativo na adoção de boas práticas e governança
1. Boas Práticas e Governança
A Lei Geral de Proteção de Dados[1] em seu capítulo VII, seção II, denominado “Das Boas Práticas e da Governança”, prevê nos artigos 50 e 51 a forma a ser adotada pelas entidades no estabelecimento de regras fundamentais para proteção de dados.
A formulação de regras de boas práticas não tem caráter mandatório, contudo a LGPD nitidamente contribui com o estímulo ao estabelecimento de boas práticas e de um programa de governança em matéria de proteção de dados.
O caput do art. 50[2] estabelece em rol claramente exemplificativo conteúdo essencial visando as boas práticas e governança.
O parágrafo 1º do art. 50 dispõe que “ao estabelecer regras de boas práticas, o controlador e o operador levarão em consideração, em relação ao tratamento e aos dados, a natureza, o escopo, a finalidade e a probabilidade e a gravidade.
2. Programa de Governança em Privacidade
São basilares para o estabelecimento de um programa de governança três princípios informadores para seu conteúdo: a boa-fé, a responsabilização e a prestação de contas.
A governança corporativa visa à alocação das melhores práticas dentro da empresa de modo a buscar constantemente a conformidade com as normas vigentes.
Nos termos do art. 50 da Lei Geral de Proteção de Dados o controlador poderá implementar programa de governança em privacidade que, no mínimo (inciso I):
-
- a) demonstre o comprometimento do controlador em adotar processos e políticas internas que assegurem o cumprimento, de forma abrangente, de normas e boas práticas relativas à proteção de dados pessoais;
-
- b) seja aplicável a todo o conjunto de dados pessoais que estejam sob seu controle, independentemente do modo como se realizou sua coleta;
-
- c) seja adaptado à estrutura, à escala e ao volume de suas operações, bem como à sensibilidade dos dados tratados;
-
- d) estabeleça políticas e salvaguardas adequadas com base em processo de avaliação sistemática de impactos e riscos à privacidade;
-
- e) tenha o objetivo de estabelecer relação de confiança com o titular, por meio de atuação transparente e que assegure mecanismos de participação do titular;
-
- f) esteja integrado a sua estrutura geral de governança e estabeleça e aplique mecanismos de supervisão internos e externos;
-
- g) conte com planos de resposta a incidentes e remediação; e
-
- h) seja atualizado constantemente com base em informações obtidas a partir de monitoramento contínuo e avaliações periódicas.
3. Efetividade
De acordo com o previsto no inciso II, do art. 50 da LGPD, cabe ao controlador demonstrar a efetividade do programa de governança em privacidade.
4. Regras de Boas Práticas e de Governança
As regras de boas práticas e de governança deverão ser publicadas e atualizadas periodicamente e poderão ser reconhecidas e divulgadas pela autoridade nacional, conforme previsão legal da LGPD em seu parágrafo 3º do art. 50.
5. Implementação de um efetivo programa de governança
A implementação de um efetivo programa de governança em privacidade de dados pessoais traz impacto altamente positivo no ambiente corporativo, o que denota a preocupação da entidade em criar um sistema que resguarde os interesses dos titulares, que tome medidas de prevenção que mitigue riscos e que garanta a devida transparência através de prestação de contas aos titulares e à autoridade nacional, no sentido de trazer “accountability ao tratamento de dados pessoais.
Boas práticas podem se resumir a um conjunto de ações coordenadas em métodos e procedimentos que visam assegurar a operação adequada do sistema de proteção de dados e privacidade defendido pela LGPD, conferindo os direitos aos titulares, e previsibilidade aos controladores e operadores. É por meio das boas práticas que as expectativas entre o transmissor e o receptor da informação/dado são niveladas (DIZ e SOLER[1], 2020).
Dessa forma, podemos inferir que a adoção de um programa estruturado de governança além de atender ao recomendado pela LGPD, traz um diferencial para a empresa que já adota e pratica governança em suas corporações, demonstrando a preocupação da entidade na manutenção da conformidade com as suas políticas.
6. Conscientização
É fundamental no exercício das boas práticas pelas organizações a adoção de métodos de conscientização de todos os seus membros das novas práticas e da importância da privacidade e proteção de dados.
Portanto, a conscientização de todos é fator determinante de sucesso para atingimento dos objetivos estabelecidos no programa de governança e privacidade da organização, escrevi um artigo sobre a importância da conscientização sobre proteção de dados (link) destacando o valor do treinamento de todos os membros da empresa, inclusive terceirizados de modo a minorar as chances de erro humano.
7. Conclusão
Em suma, princípios básicos são transformados em indicações objetivas quando da adoção de boas práticas e governança, visando a continuidade dos negócios de modo que as medidas tomadas para a manutenção da conformidade com as regras estabelecidas possam ser medidas para atender aos interesses dos titulares dos dados e seus players.
Nesse sentido, ao demonstrar respeito às regras no tratamento de dados pessoais a corporação otimiza o seu valor econômico obtendo repercussão de alto impacto positivo perante o mercado, como resultado, ganha confiança e credibilidade ante clientes, parceiros, fornecedores, colaboradores e quando for o caso, de acionistas e investidores.
[1] Lei Geral de Proteção de Dados. Disponível em: <http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm>. Acesso em: 09.02.2021.
[2] Art. 50. Os controladores e operadores, no âmbito de suas competências, pelo tratamento de dados pessoais, individualmente ou por meio de associações, poderão formular regras de boas práticas e de governança que estabeleçam as condições de organização, o regime de funcionamento, os procedimentos, incluindo reclamações e petições de titulares, as normas de segurança, os padrões técnicos, as obrigações específicas para os diversos envolvidos no tratamento, as ações educativas, os mecanismos internos de supervisão e de mitigação de riscos e outros aspectos relacionados ao tratamento de dados pessoais.
[1] MONACO, Gustavo Ferraz de Campos; MARTINS, Amanda Cunha e Mello Smith; CAMARGO, Solano (Orgs.). Lei Geral de Proteção de Dados: Ensaios e Controvérsias da Lei 13.709/18. São Paulo: Quartier Latin, 2020, p. 414.