Aspectos da Governança em Privacidade e Proteção de Dados

O cenário de desperdício de tempo, dinheiro e energia de equipes nas empresas por conta da falta de entendimento da aplicação de conformidade com a Lei Geral de Proteção de Dados (LGPD) tem se repetido em diversos segmentos nas organizações brasileiras. O equívoco pode iniciar na falta de entendimento do quanto a LGPD impacta no setor ou na própria continuidade do negócio. Iniciar o processo de conformidade pela execução, isto é, o famoso “sair fazendo sem planejamento estratégico”, resulta no desalinhamento entre o que a LGPD exige, do que deve ser feito e daquilo que realmente se aplica aos processos de tratamento de dados de cada setor das organizações.

A frustração ou sucesso da conformidade são definidos pelo modo como a obrigatoriedade da adequação com a LGPD é percebida ou acolhida. Organizações nas quais a alta direção entende que a LGPD só existe para que o governo possa aplicar penalidades, frear a inovação, burocratizar os processos, onerar os custos e gerar conflitos nas relações comerciais, são as empresas que mais perdem nessa contextura.

As tomadas de decisões sobre o atendimento dos requisitos da lei são as piores possíveis, uma vez que partem do pressuposto equivocado e em pouco tempo acabam comprovando, nas suas operações diárias, as suas próprias convicções. Dentre as providências a serem tomadas, não é incomum encontrar a inércia, o adiamento ou a adequação de fachada. E o fenômeno de desastres se tornam concretos, porque as ações de conformidade se casam com os preceitos errados.

A LGPD pode intimidar pela sua abrangência e complexidade. Nos encontramos diante de uma lei que não se pode delegar, totalmente, a operacionalização para o setor jurídico, com a premissa de que é “mais uma regulamentação”; da mesma forma, não se pode incumbir a responsabilidade pela conformidade totalmente à área de segurança da informação ou tecnologia da informação, porque as medidas técnicas ou organizacionais dependem da identificação do contexto em que os dados estão ou estarão.

Identificar quem deve executar os requisitos da lei em uma empresa, de pronto, aparenta ser “uma luz no fim do túnel”, mas é a figura do Data Protection Officer (DPO), aquele também denominado como Encarregado de dados. O DPO, pode ser interno ou terceirizado e independente do formato na sua contratação, não trabalha sozinho e nem deve estar com esta missão. Nesta procura da adequação (im)perfeita, se decepciona menos quem entender mais rápido que o DPO não toma decisões sobre o tratamento de dados pessoais.

A metamorfose da mentalidade empresarial sobre as razões nas quais a alta direção deve se apoiar para construir uma governança em privacidade e proteção de dados eficiente e sustentável pode fazer com que a ampulheta esteja sob controle da organização. Muito além da lei, fortalecer as relações comerciais pode ser um objetivo importante para as empresas que realizam os tratamentos de dados em nomes de terceiros por conta de seus serviços prestados ou produtos fornecidos.

Consolidar as responsabilidades éticas com todas as categorias de titulares de dados direciona para a valorização da reputação da organização. Adotar medidas que protegem as operações de tratamento, distanciam o risco das grandes violações e, consequentemente, toda essa percepção da   relevância da adequação com a legislação em cada organização, afasta a incidência de penalidades.

Com a visão expandida sobre a importância da conformidade, a preparação para a adequação da LGPD passa a ser estruturada e alinhada com os objetivos de curto, médio e longo prazo das organizações públicas e privadas. O apoio da alta direção se reflete na melhor provisão de recursos, tais como, mas não se limitando a, orçamento, software de gestão, alocação de pessoais, atribuições de papéis e responsabilidades, comprometimento com a tomada de decisão assertiva para que durante o processo a organização não se depare com um grande revés.

O planejamento da conformidade com a LGPD, no sentido da melhoria contínua, a fim de abranger pontos de treinamentos para todos que manipulam os dados pessoais, criação de comitê de privacidade com os gestores das áreas, a designação do DPO, a confecção de políticas de privacidade e de segurança da informação, o mapeamento de processos e fluxo de dados, o enquadramento das bases legais, o ajuste dos aditivos contratuais, gap assessment sobre os processos de tratamento,  consolidação de um plano de ajustes estruturados para correção dos gaps demonstram maturidade no entendimento das exigências da LGPD.

A execução conta com os ajustes de privacidade e proteção de dados, de forma que é fundamental o exercício de conscientizar os colaboradores, implementar as políticas, medidas organizacionais e medidas técnicas, ajustar controles de segurança, mitigar os riscos à privacidade e aplicar processos que garantam o exercício dos direitos dos titulares dos dados. Implementar ações para alcançar a alta exigência de privacy by design e privacy by default. Nenhuma organização sem estratégia e frameworks adequados, consegue atender a determinação de considerar os requisitos de privacidade e proteção de dados na fase de projeto dos processos de tratamento de dados.

Por isso, não há nenhuma etapa solta no processo de governança em privacidade e proteção de dados. O envolvimento das partes interessadas internas deve ser contínuo e o DPO deve ter condições de executar as suas atribuições para apoiar os setores no correto tratamento dos dados. Apoiar os setores não é o mesmo de fazer pelos setores. O trabalho do DPO precisa estar estruturado e bem entendido por todos da empresa, para que não seja gerada expectativas desalinhadas com as responsabilidades de cada um.

Checar os ajustes realizados e garantir que o gerenciamento será mantido e monitorado para que sustente as práticas aplicadas. Revisar e avaliar os processos garantirão que a empresa mantenha o respeito à privacidade e proteção de dados pessoais, suportando possíveis mudanças de processos, regulamentos, sistemas ou pessoas. A conformidade com a LGPD não pode ser enganosa ou virtual, ela deve ser real, ou seja, deve ter condições de ser implementada e evidenciada.

Entender quais são os frameworks mais acreditados no mercado para serem seguidas e apoiar o processo nas boas práticas, evitará fatalidades custosas e penalidades severas. Aceitar a complexidade, direcionar as ações para a comprovação de conformidade com o fim de atender os requisitos legais enquanto incidir nos negócios, processos, projetos, serviços ou produtos, demanda de muitos esforços, mas estabelece o padrão de governança em privacidade e proteção de dados que pode elevar o nível de maturidade ao longo do tempo e com grau alto de assertividade.

Bruna Fabiane da Silva, Sócia da DeServ Academy, Instrutora de treinamentos em privacidade e proteção de dados da IAPP e DPO EXIN, Consultora de Conformidade LGPD, Gerente de negócios em Cybersecurity, formada em Direito e eleita pela Womcy como TOP Women in CyberSecurity Americas 2023!

Aproveite e conheça os módulos de certificação do EXIN relacionados ao conteúdo deste artigo.