O cumprimento da LGPD está ligado à adoção de padrões de governança corporativa capazes de garantir a efetiva proteção aos direitos de titulares dos dados pessoais objeto de tratamento pelas organizações. A boa governança em matéria de privacidade apresenta reflexos positivos frente a três atores fundamentais para a empresa: o mercado no qual ela atua, o regulador e os proprietários (sócios) de seu capital social.
A governança corporativa se presta a fornecer instrumentos de equilíbrio entre os interesses de proprietários e stakeholders, de modo a viabilizar um processo transparente de tomada de decisões, que reduza conflitos de interesse, e que, ao final, agregue maior valor à empresa, com melhora de sua imagem.
O núcleo da boa governança é o compartilhamento de informações relevantes sobre a organização e a transparência nesse processo. O dever de informação obriga aos administradores não apenas a prestar informações verdadeiras, transparentes e claras, mas a prestar informações que permitam entender a real situação da empresa. A transparência na gestão é, em verdade, instrumento importante na mitigação de responsabilidades dos administradores frente aos sócios. A diferença é que, em matéria de privacidade, a governança possui escopo restrito aos dados pessoais, ou seja, às informações de pessoas naturais identificadas ou identificáveis.
O primeiro passo a ser dado pela organização, anterior à implementação da estrutura de governança, é o mapeamento e análise do fluxo de dados pessoais tratados pela organização, identificando as operações de tratamento realizadas, o volume de dados pessoais, o tipo de dados e sua sensibilidade. O trabalho inclui também a indicação das bases legais para cada tratamento realizado e o reconhecimento dos riscos associados a acidentes, violações de segurança e danos gerados a titulares.
À luz dos resultados obtidos através do mapeamento das operações de tratamento de dados pessoais e do fluxo de dados, a organização poderá definir sua estrutura de governança, cuja sofisticação dependerá das operações realizadas, do tipo de dados pessoais tratados e dos eventuais impactos e riscos a titulares decorrentes de tais operações.
Nesse sentido, a empresa deve definir os responsáveis por (i) criação e implementação de políticas e procedimentos de integridade em matéria de tratamento de dados pessoais; (ii) fiscalização e controle do cumprimento de referidas políticas e procedimentos; (iii) supervisionar, sob o aspecto técnico, as ferramentas que protejam dados pessoais de acidentes e acessos não autorizados, empregando contínuos melhores esforços para mitigar o risco de danos a titulares; e (iv) garantir transparência, inclusive viabilizando a participação de titulares na consulta, atualização e/ou eliminação de seus dados pessoais da base da empresa.
A LGPD criou uma figura específica que deve integrar a estrutura de governança da empresa, conhecida por “DPO” (Data Protection Officer ou, na expressão utilizada pela lei brasileira, “Encarregado”), cuja função principal é ser o canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (“ANPD”). O DPO atua como um guardião do cumprimento da legislação de proteção de dados e, além disso, apoiado nas boas práticas de governança, pode exercer uma nova e proativa função de construção de relacionamento de confiança com titulares de dados (dentre os quais incluem-se consumidores), e, dessa forma, valorizar o negócio.
Para que haja efetividade, a governança em privacidade deve estar integrada à estrutura de governança corporativa geral da organização e sujeita a mecanismos de controle internos e externos.
Mecanismos de controle interno podem incluir, além da supervisão de conformidade e cumprimento de políticas e procedimentos realizados por meio dos órgãos administrativos da empresa, a criação de canais de denúncia voltados ao descumprimento de medidas de privacidade, bem como a incorporação de cláusulas de conformidade em proteção de dados nos contratos com fornecedores, prestadores e demais terceiros com os quais a organização mantiver relações. A extensão das medidas de adequação à LGPD a serem exigidas de terceiros dependerá dos resultados do mapeamento das operações de tratamento da empresa e poderão incluir a utilização, pelo terceiro, de softwares e sistemas que garantam a segurança dos dados e/ou a adoção de políticas de governança e de plano de resposta a acidentes. Já com relação a mecanismos de controles externos, uma opção é a contratação de auditoria em matéria de proteção de dados realizada por empresas especializadas.
Ademais, a exemplo do que ocorre em matéria de combate a corrupção e lavagem de dinheiro, a reavaliação periódica é fundamental. É preciso que os sistemas utilizados estejam sujeitos a constantes testes de segurança e aprimoramento, bem como que os colaboradores e a liderança da empresa tenham o nível esperado de treinamento em privacidade para a função que desempenham e se submetam a frequentes ações educativas.
E mais. Trata-se a governança de forma eficaz de mitigar responsabilidades dos administradores da empresa, ao conferir transparência ao processo de gestão, indicando as medidas de conformidade definidas pela alta liderança. Necessária, portanto, a documentação de todos os estudos, discussões, testes, avaliações internas e externas e demais medidas tomadas relativas à proteção de dados.
A governança é, assim, a espinha dorsal do plano de adequação da organização à LGPD. Além de viabilizar a transparência quanto à adoção de medidas garantidoras da segurança de dados e mitigadoras de riscos, facilita a prestação de contas pelos agentes de tratamento com relação à proteção dos direitos de titulares dos dados por eles tratados, favorece o cumprimento das obrigações legais, melhora a reputação da organização e mitiga ou elimina responsabilidades.
Autores L&S
(1).jpg)
.jpg)
.jpg)
