Impacto da Lei Geral de Proteção de Dados no ambiente corporativo na adoção de boas práticas de governança

Impacto da LGPD

Impacto da Lei Geral de Proteção de Dados no ambiente corporativo na adoção de boas práticas e governança

1.     Boas Práticas e Governança

A Lei Geral de Proteção de Dados[1] em seu capítulo VII, seção II, denominado “Das Boas Práticas e da Governança”, prevê nos artigos 50 e 51 a forma a ser adotada pelas entidades no estabelecimento de regras fundamentais para proteção de dados.

A formulação de regras de boas práticas não tem caráter mandatório, contudo a LGPD nitidamente contribui com o estímulo ao estabelecimento de boas práticas e de um programa de governança em matéria de proteção de dados.

O caput do art. 50[2] estabelece em rol claramente exemplificativo conteúdo essencial visando as boas práticas e governança.

O parágrafo 1º do art. 50 dispõe que “ao estabelecer regras de boas práticas, o controlador e o operador levarão em consideração, em relação ao tratamento e aos dados, a natureza, o escopo, a finalidade e a probabilidade e a gravidade.

2.    Programa de Governança em Privacidade

São basilares para o estabelecimento de um programa de governança três princípios informadores para seu conteúdo: a boa-fé, a responsabilização e a prestação de contas.

A governança corporativa visa à alocação das melhores práticas dentro da empresa de modo a buscar constantemente a conformidade com as normas vigentes.

Nos termos do art. 50 da Lei Geral de Proteção de Dados o controlador poderá implementar programa de governança em privacidade que, no mínimo (inciso I):

    • a) demonstre o comprometimento do controlador em adotar processos e políticas internas que assegurem o cumprimento, de forma abrangente, de normas e boas práticas relativas à proteção de dados pessoais;
    • b) seja aplicável a todo o conjunto de dados pessoais que estejam sob seu controle, independentemente do modo como se realizou sua coleta;
    • c) seja adaptado à estrutura, à escala e ao volume de suas operações, bem como à sensibilidade dos dados tratados;
    • d) estabeleça políticas e salvaguardas adequadas com base em processo de avaliação sistemática de impactos e riscos à privacidade;
    • e) tenha o objetivo de estabelecer relação de confiança com o titular, por meio de atuação transparente e que assegure mecanismos de participação do titular;
    • f) esteja integrado a sua estrutura geral de governança e estabeleça e aplique mecanismos de supervisão internos e externos;
    • g) conte com planos de resposta a incidentes e remediação; e
    • h) seja atualizado constantemente com base em informações obtidas a partir de monitoramento contínuo e avaliações periódicas.
3.    Efetividade

De acordo com o previsto no inciso II, do art. 50 da LGPD, cabe ao controlador demonstrar a efetividade do programa de governança em privacidade.

4.    Regras de Boas Práticas e de Governança

 As regras de boas práticas e de governança deverão ser publicadas e atualizadas periodicamente e poderão ser reconhecidas e divulgadas pela autoridade nacional, conforme previsão legal da LGPD em seu parágrafo 3º do art. 50.

5.     Implementação de um efetivo programa de governança

A implementação de um efetivo programa de governança em privacidade de dados pessoais traz impacto altamente positivo no ambiente corporativo, o que denota a preocupação da entidade em criar um sistema que resguarde os interesses dos titulares, que tome medidas de prevenção que mitigue riscos e que garanta a devida transparência através de prestação de contas aos titulares e à autoridade nacional, no sentido de trazer “accountability ao tratamento de dados pessoais.

Boas práticas podem se resumir a um conjunto de ações coordenadas em métodos e procedimentos que visam assegurar a operação adequada do sistema de proteção de dados e privacidade defendido pela LGPD, conferindo os direitos aos titulares, e previsibilidade aos controladores e operadores. É por meio das boas práticas que as expectativas entre o transmissor e o receptor da informação/dado são niveladas (DIZ e SOLER[1], 2020).

Dessa forma, podemos inferir que a adoção de um programa estruturado de governança além de atender ao recomendado pela LGPD, traz um diferencial para a empresa que já adota e pratica governança em suas corporações, demonstrando a preocupação da entidade na manutenção da conformidade com as suas políticas.

6.     Conscientização

É fundamental no exercício das boas práticas pelas organizações a adoção de métodos de conscientização de todos os seus membros das novas práticas e da importância da privacidade e proteção de dados.

Portanto, a conscientização de todos é fator determinante de sucesso para atingimento dos objetivos estabelecidos no programa de governança e privacidade da organização, escrevi um artigo sobre a importância da conscientização sobre proteção de dados (link) destacando o valor do treinamento de todos os membros da empresa, inclusive terceirizados de modo a minorar as chances de erro humano.

7.     Conclusão

Em suma, princípios básicos são transformados em indicações objetivas quando da adoção de boas práticas e governança, visando a continuidade dos negócios de modo que as medidas tomadas para a manutenção da conformidade com as regras estabelecidas possam ser medidas para atender aos interesses dos titulares dos dados e seus players.

Nesse sentido, ao demonstrar respeito às regras no tratamento de dados pessoais a corporação otimiza o seu valor econômico obtendo repercussão de alto impacto positivo perante o mercado, como resultado, ganha confiança e credibilidade ante clientes, parceiros, fornecedores, colaboradores e quando for o caso, de acionistas e investidores.

 

[1] Lei Geral de Proteção de Dados. Disponível em: <http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm>. Acesso em: 09.02.2021.

[2] Art. 50. Os controladores e operadores, no âmbito de suas competências, pelo tratamento de dados pessoais, individualmente ou por meio de associações, poderão formular regras de boas práticas e de governança que estabeleçam as condições de organização, o regime de funcionamento, os procedimentos, incluindo reclamações e petições de titulares, as normas de segurança, os padrões técnicos, as obrigações específicas para os diversos envolvidos no tratamento, as ações educativas, os mecanismos internos de supervisão e de mitigação de riscos e outros aspectos relacionados ao tratamento de dados pessoais.

[1] MONACO, Gustavo Ferraz de Campos; MARTINS, Amanda Cunha e Mello Smith; CAMARGO, Solano (Orgs.). Lei Geral de Proteção de Dados: Ensaios e Controvérsias da Lei 13.709/18. São Paulo: Quartier Latin, 2020, p. 414.