A Lei nº 13 709 2018 Lei Geral de Proteção de Dados ( trouxe várias regras, obrigações e direitos relacionados à Privacidade e Proteção de Dados pessoais que, caso sejam aplicados de forma estanque para cada operação de tratamento de dados pessoais, dão a impressão de extrema complexidade e dificuldade em atendê-los.
Porém, a própria LGPD trouxe a indicação de como solucionar este problema a adoção de programas de Governança de dados pessoais. A vantagem dessa abordagem é a possibilidade de construir regras internas de conformidade com a LGPD, apoiada em pilares básicos de Compliance que devem ser observados por seus colaboradores e refletidos nas atividades que envolvam tratamento de dados pessoais. Portanto, trata se de transformar um programa de adequação à LGPD em uma jornada perene de transformação nas organizações sobre o tema.
Mas o que é Governança? Inspirados pelo conceito disponibilizado pelo Instituto Brasileiro de Governança Corporativa (IBGC), podemos definir Governança como um sistema de gestão e monitoramento que envolve todos os níveis de uma organização, através do qual seus princípios e valores básicos são convertidos em recomendações objetivas, de modo alinhar seu interesse com a finalidade de preservá-la e otimizar o seu valor econômico de longo prazo.
Trazendo este conceito para a esfera da Privacidade, o programa de Governança deve garantir que uma organização esteja em conformidade com a legislação (no caso, a LGPD), sob a orientação dos princípios e valores que dão sustentação ao propósito de existência da própria organização. Nesse contexto, ela deve considerar a necessidade de validar seus princípios e propósitos, bem como compreender o papel dos dados pessoais no seu modelo de negócio, protegendo-os de modo estratégico e garantindo sua adequada utilização.
Caso não haja esse alinhamento – isto é, entre o uso adequado dos dados e a cultura e os valores da organização – um programa de Governança corre sério risco de se resumir a políticas e procedimentos escritos num papel, sem qualquer poder de engajamento das pessoas que fazem a organização e, consequentemente, distante do modelo de negócio vivido pela empresa.
Criar e gerir um programa de Privacidade eficiente e que traga um nível adequado de conformidade com a LGPD traz uma série de desafios. Listamos, a seguir, os cinco principais pontos de atenção para que o seu Programa de Privacidade traga bons resultados:
1. Diagnóstico prévio
Um Programa de Governança eficiente necessita de conhecimento prévio sobre a empresa e seu modelo de negócio. É preciso saber quais as principais atividades desempenhadas pela organização que envolvem dados pessoais, que tipos de dado são utilizados, quais as ferramentas etc. Somado a esse aspecto técnico, também devem ser levados em conta os valores, os objetivos e a estrutura de Governança corporativa pré-existente. Assim, é possível identificar o que precisará ser construído ou adaptado;
2. Aderente ao modelo de negócio
Não adianta criar um Programa de Governança cujas normas e procedimentos não consigam ser cumpridos;
3. Orientado a risco:
É basicamente impossível querer atacar todos os problemas e deficiências da empresa de uma única vez. Assim, uma avaliação de risco que indique quais pontos necessitam de maior atenção, recursos e dedicação do DPO é indispensável. Neste ponto, o mapeamento de dados ajuda, inclusive, a definir melhor o risco. Por exemplo uma empresa que não possui nenhuma operação de tratamento baseada no consentimento não precisará, em um primeiro momento, investir recursos para criar uma estrutura de gestão de consentimento;
4. Buscar engajamento
Prática contínua de treinamento e comunicação assertiva, com linguagem e conteúdos adequados, e que faça sentido no contexto das atividades da organização. Nesse sentido, o Programa deve ser cumprido e encorajado por todos, desde o presidente até o estagiário – o exemplo vem de cima; e
5. Continuidade
O Programa de Governança necessita de gestão e atualização contínua, e, para tanto, deverá sempre ser revisado e reavaliado, de modo a garantir que continue fazendo sentido para a organização. Ou seja, o Programa de Privacidade e Proteção de Dados vai muito além de criar políticas e procedimentos.
Dito isso, a construção de um Programa de Privacidade não ocorre do dia para a noite e, sim, no longo prazo, posto que é, antes de mais nada, uma questão de cultura organizacional.
