Lgpd - Lei Geral de Proteção de Dados Pessoais: Manual de Implementação - Ed. 2021

Capítulo 2. Fase 2: Organização - II – Data Protection Management System (Dpms): O Roadmap para o Compliance

Entre no Jusbrasil para imprimir o conteúdo do Jusbrasil

Acesse: https://www.jusbrasil.com.br/cadastro

Alexandre Prata

Graduado em Sistemas de Informação. Pós-graduado em Gestão de Segurança da Informação e MBA em Governança de TI. Possui diversas certificações na área de tecnologia e as principais em Segurança da Informação (ITIL Expert, ISO27001 LA, TOGAF, COBIT, ABCP DRII, CISM, CISSP, DevOps, Privacy and Data Protection). Mais de 24 anos de experiência em TI atuando em grandes empresas nacionais e estrangeiras.

Introdução

Do que valeria o temido tanque de guerra russo T-34 em plena Segunda Grande Guerra, na frente Oriental, se não houvesse uma tripulação comprometida? Embora tecnologicamente superior, a máquina não passaria de 26 toneladas de aço, alvo dos blindados da Wehrmacht. Será que é diferente nas empresas no que tange à jornada de implementação da LGPD? Por mais eficaz que possa ser a estratégia em curso, o conjunto de ferramentas adquiridas e os parceiros envolvidos na implantação (não raro a peso de ouro), se não houver “tripulação” minimamente comprometida, há uma grande chance de fracasso. E mais, será que só comprometimento é suficiente para assegurar o sucesso? Ou a tripulação que torna o T-34 uma máquina mortífera pode realizar avaliações subjetivas e potencializar falhas?

As organizações também dependem de pessoas para cumprir seus objetivos, independentemente de serem públicas ou privadas. Por mais tecnológica ou automatizada que a corporação seja, sempre há uma “tripulação”. Um grupo de humanos captando estímulos e deliberando algo em seguida. Nesse cenário, tanto o “tripulante” chairman, tomador de decisão mor da organização, quanto o “tripulante” auxiliar técnico, que tem livre acesso à privacidade de indivíduos na forma de dados, legitimamente por força da função, são humanos. Ambos dotados de capacidade interpretativa, gatilho para emoções que podem atrapalhar a jornada.

A própria LGPD é um bom exemplo de subjetividade interpretativa e decisões no contexto corporativo. Desde que a Lei 13.709 foi publicada, em 14.08.2018, iniciou-se a contagem regressiva para que organizações que realizam o tratamento de dados privados e privados sensíveis no território nacional, de acordo com o estabelecido no artigo , estejam adequadas à nova realidade. No entanto, a postura de algumas organizações é de dúvida, especulação e até mesmo descrédito, mesmo depois do término do período de vacatio legis. Essas organizações ainda não perceberam que a Lei deve ser atendida e, portanto, devem estar adequadas a nova realidade. Algumas sequer conhecem o impacto da Lei nas respectivas operações (panorama constatado pelo autor no momento do lançamento desta obra e ainda real no momento da revisão para a segunda edição).

Outras já admitem que devem cumprir a Lei, mas buscam alternativas diante da suposta carga de atividades que recairá sobre a organização para implantar e manter os cuidados endereçados à proteção da privacidade de indivíduos. Até mesmo já estudam a possibilidade de argumentos em busca de leniência diante do possível cumprimento parcial.

Há ainda aqueles que encaram a LGPD como uma verdadeira distopia. Uma dura realidade que inviabilizará a condução da iniciativa empresarial tal como foi concebida e tem sido orquestrada até esse momento fatídico.

Diante disso, é necessário não dar margem à subjetividade nas interpretações por meio de medidas estruturantes que permeiem toda a corporação e alcancem as pessoas (partes interessadas). A definição da estrutura organizacional da proteção de dados e privacidade é um fator relevante para comunicar de maneira clara a postura da empresa com relação ao tema.

Alheio à questão apresentada, também é necessário promover o debate sobre a mudança de cultura que deve ser perseguida a fim de que a LGPD não seja somente um rito obrigatório, indesejável e penoso nas organizações, mas uma oportunidade para elevar o padrão dos controles internos no que diz respeito à proteção dos indivíduos e, em última análise, como gerador de valor para a organização.

Esses aspectos apontam para a necessidade de endereçar ações com o objetivo de consolidar a proteção de dados e privacidade no seio da organização. Ações que corroborem naturalmente para a mudança de cultura, mas que, de início, estabeleçam os fundamentos da estrutura formal e investida de autoridade no tema privacidade. Um conjunto de princípios que declare de maneira inequívoca e ampla qual é a postura da organização no que diz respeito à proteção de dados privados. Todo risco de interpretação subjetiva por parte da “tripulação” deve ser mitigado. A malha social da organização deve estar coesa e partilhar de um mesmo objetivo no que tange à proteção de dados e privacidade. Isso só é possível organizando o assunto e abordando questões como as que estão relacionadas a seguir de modo não exaustivo:

• estrutura;

• papéis e responsabilidades;

• engajamento dos funcionários;

• comprometimento da alta administração;

• políticas;

• comunicação;

• controles;

• processos.

Nesse contexto, todo recurso ou ferramenta consagrada no meio corporativo pode ser utilizado para difundir os princípios que guiarão a jornada de implantação e consolidação da cultura de proteção de dados …

Uma experiência inovadora de pesquisa jurídica em doutrina, a um clique e em um só lugar.

No Jusbrasil Doutrina você acessa o acervo da Revista dos Tribunais e busca rapidamente o conteúdo que precisa, dentro de cada obra.

  • 3 acessos grátis às seções de obras.
  • Busca por conteúdo dentro das obras.
Ilustração de computador e livro
jusbrasil.com.br
26 de Maio de 2022
Disponível em: https://thomsonreuters.jusbrasil.com.br/doutrina/secao/1197026527/capitulo-2-fase-2-organizacao-ii-data-protection-management-system-dpms-o-roadmap-para-o-compliance