Data Protection Officer (Encarregado) - Ed. 2020

Frameworks de Privacidade na Construção de Programas de Conformidade

Entre no Jusbrasil para imprimir o conteúdo do Jusbrasil

Acesse: https://www.jusbrasil.com.br/cadastro

Henrique Fabretti 1

Nuria López 2

Uma das primeiras leis de proteção de dados, a lei alemã de 1977, definia a função do DPO de forma simples e muito assertiva: “ele deve garantir a implementação desta lei e da demais regulamentação de proteção de dados” (§ 29, BDSG, 1977). Mais de quarenta anos depois, os profissionais de privacidade se veem na difícil tarefa de realizar essa função, que, mesmo com todas as atividades adicionadas ao cargo pela legislação superveniente, segue sendo a espinha dorsal de todas elas. Mas como garantir a implementação da legislação de proteção de dados? Como tornar uma lei realidade e, principalmente, como fazê-lo em meio a uma cultura de proteção de dados tão incipiente como a brasileira? É circunscrita a essa questão que surge a importância da estruturação de um framework, um marco, de privacidade.

Apesar de ser um termo normalmente distante da prática jurídica, frameworks são nada mais do que uma forma de organizar um determinado assunto de maneira didática, que possibilite um melhor controle e mensuração e são comumente utilizados nas áreas de governança corporativa e segurança da informação. Em outras palavras, criando, adaptando ou utilizando um framework de privacidade já existente, é possível organizar as obrigações, requerimentos e direitos previstos, por exemplo, na Lei Geral de Proteção de Dados, de forma que se possa instituir controles que, caso presentes, demonstrem que determinada organização está em conformidade.

Inúmeros frameworks de privacidade foram criados nas últimas décadas, desde regulações contemplando situações específicas (como a transferência internacional de dados ou o desenvolvimento de novos produtos) ou para abarcar regulações específicas (GDPR 3 , PIPEDA 4 , HIPAA 5 etc.), como:

• ISO 27001 e 27701: o primeiro, destinado à implantação de programas de segurança da informação; o segundo, de programas de proteção de dados pessoais, como um complemento do primeiro;

Privacy by Design: criado na década de 1990 pela Dra. Ann Cavoukian, focado, principalmente, no desenvolvimento de novos produtos, práticas de negócio, sistemas etc., que envolvam o tratamento de dados pessoais;

• OECD Guidelines on the Protection of Privacy and Transborder Flows of Personal Data: criado pela Organização para a Cooperação e Desenvolvimento Econômico (OCDE) com o intuito de padronizar as salvaguardas de privacidade no compartilhamento internacional de dados pessoais entre os países membros; e

Generally Accepted Privacy Principles (GAPP), desenvolvido no Canadá para mensurar a conformidade das organizações em relação ao cumprimento das legislações de proteção de dados locais.

Esses são apenas alguns exemplos dos inúmeros frameworks existentes e que podem auxiliar o Data Protection Officer na implantação de um programa de privacidade em sua organização, na mensuração e construção de indicadores relacionados a esse programa e, consequentemente, na prestação de contas sobre a efetividade do programa.

1.O que estabelece a LGPD

A própria LGPD traz a resposta, em seu artigo 50, ao afirmar que os agentes de tratamento poderão formular regras de boas práticas e de governança – e elenca, exemplificativamente, seu conteúdo, que inclui condições de organização, o regime de funcionamento, os procedimentos, incluindo reclamações e petições de titulares, as normas de segurança, os padrões técnicos, as obrigações específicas para os diversos envolvidos no tratamento, as ações educativas, os mecanismos internos de supervisão e de mitigação de riscos”. Ao estabelecer as suas regras de governança, deve-se considerar a natureza, o escopo, a finalidade das atividades de tratamento de dados pessoais e a probabilidade e a gravidade dos riscos e dos benefícios decorrentes de tratamento de dados do titular (art. 50, § 1º, LGPD).

A implementação e a demonstração da efetividade do programa de governança são colocadas pela LGPD como formas de garantia dos princípios da segurança e da prevenção (art. 50, § 2º). É a partir do programa de governança que teremos estabelecidas e documentadas as medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão e, consequentemente, eventuais danos decorrentes do tratamento de dados pessoais (art. 6º, VII e VIII).

Esse programa deve, no mínimo: “a) demonstr[ar] o comprometimento do controlador em adotar processos e políticas internas que assegurem o cumprimento, de forma abrangente, de normas e boas práticas relativas à proteção de dados pessoais; b) [ser] aplicável a todo o conjunto de dados pessoais que estejam sob seu controle, independentemente do modo como se realizou sua coleta; c) [ser] adaptado à estrutura, à escala e ao volume de suas operações, bem como à sensibilidade dos dados tratados; d) estabelec[er] políticas e salvaguardas adequadas com base em processo de avaliação sistemática de impactos e riscos à privacidade; e) te[r] o objetivo de estabelecer relação de confiança com o titular, por meio de atuação transparente e que assegure mecanismos de participação do titular; f) est[ar] integrado a sua estrutura geral de governança e estabeleça e aplique mecanismos de supervisão internos e externos; g) cont[ar] com planos de resposta a incidentes e remediação; e h) se[r] atualizado constantemente com base em informações obtidas a partir de monitoramento contínuo e avaliações periódicas” (art. 50, § 2º, I, LGPD).

Existem várias etapas que compõem o processo de estabelecer e gerir um programa de privacidade, que envolve: criação da estratégia, articulando as necessidades de privacidade com a do negócio; diagnóstico, analisando as desconformidades e o risco nas atividades de tratamento de dados pessoais; implementação, o que envolve o desenvolvimento, a documentação, a introdução e a institucionalização do plano de ação em controles, passíveis de efetiva aplicação; suporte e gestão, ao monitorar as atividades do programa e auditoria, que pode ser externa ou interna (2009, p. 08).

Somado a esses pontos, o princípio da prestação de contas e responsabilização (presente em diversas outras regulações de privacidade como accountability), previsto no artigo 6º, inciso X da LGPD, estabelece a necessidade de “demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas”. Dessa forma, não basta que a organização implemente medidas para estar em conformidade com a Lei Geral de Proteção de Dados, mas também que estabeleça formas de demonstrar...

Uma experiência inovadora de pesquisa jurídica em doutrina, a um clique e em um só lugar.

No Jusbrasil Doutrina você acessa o acervo da Revista dos Tribunais e busca rapidamente o conteúdo que precisa, dentro de cada obra.

  • 3 acessos grátis às seções de obras.
  • Busca por conteúdo dentro das obras.
Ilustração de computador e livro
jusbrasil.com.br
7 de Dezembro de 2021
Disponível em: https://thomsonreuters.jusbrasil.com.br/doutrina/secao/1207548771/frameworks-de-privacidade-na-construcao-de-programas-de-conformidade-data-protection-officer-encarregado-ed-2020