Data Protection Officer (Encarregado) - Ed. 2020

A Prática do Monitoramento dos Programas de Privacidade e Proteção de Dados Pessoais e as Auditorias Legais e Contratuais: Transparência, Responsabilidade e Prestação de Contas

Entre no Jusbrasil para imprimir o conteúdo do Jusbrasil

Acesse: https://www.jusbrasil.com.br/cadastro

Humberto de Jesús Ortiz Rodriguez 1

Considerações Gerais

Desde a sanção da Lei Geral de Proteção de Dados (LGPD), Lei 13.709/18 2 , as empresas brasileiras, independentemente de seu porte, começaram a desenvolver trabalhos para adequar seus processos e atividades à nova regulamentação que entrará em vigor no futuro próximo. Esse cenário trouxe a necessidade de desenhar e implementar programas de privacidade e proteção de dados dentro das organizações, contemplando a revisão dos processos e, particularmente, a forma como as empresas compreendem e executam tarefas vinculadas com a proteção da imagem, honra e reputação das pessoas, bem como o direito destas em decidir por quem e de que forma podem ser usados seus dados pessoais.

Essa adaptação esbarra, ainda, em um grande desafio que ainda está presente nas organizações e consiste na mudança do mindset, na forma como é concebido o tratamento de dados pessoais e a internalização da responsabilidade que cada uma das áreas da empresa tem quando fazem o tratamento destes. Também é importante destacar que a idealização e implementação de um programa de privacidade e proteção de dados deve ser abrangente e envolver todos os departamentos de uma empresa. É essencial contar com o apoio e suporte do corpo diretivo, sendo recomendável a aplicação de um efeito de cascateamento a partir do nível superior, ou seja, aplicar a estratégia de Tone from the Top, a qual serve para expressar o comprometimento da organização com o objetivo que procura ser alcançado e, além disso, é uma ferramenta excepcional para engajamento dentro dos times.

Nesse sentido, um programa de privacidade e proteção de dados tem que ser parte de uma sólida estrutura de governança, suportada por políticas adequadas (códigos de ética ou integridade, políticas de proteção de dados e privacidade, políticas de segurança de informação, políticas de retenção e descarte de dados, entre outras), planos de comunicação e treinamento, gestão de incidentes, processos de gestão de documentos e informações, ferramentas de segurança de informação, arquitetura de dados e comitês para a tomada de decisões e orientação de ações.

Além disso, a pessoa ou pessoas responsáveis pela sua implementação e monitoramento têm a seu cargo o relacionamento com os demais times e departamentos da empresa, como também com os órgãos administrativos e regulatórios criados pelo Estado para garantir a da lei implementação e resguardar os interesses dos titulares de dados e outras pessoas ou entidades relacionadas.

Essas ações formam parte de uma série de medidas (Measure set) que devem ser desenvolvidas e aplicadas por cada empresa ou instituição a partir de sua natureza, quantidade de dados tratados e processos aplicáveis. Assim, uma empresa privada tem a liberdade de criar seu Measure Set, que pode ser definido como Data Compliance Measure Set ou Privacy & Data Protection Measure Set fazendo uso da autorregulação e dos padrões estabelecidos na LGPD, ao passo que as instituições da administração pública têm que respeitar os limites impostos pela complexidade de normas integrantes da legislação brasileira, em atenção ao princípio da legalidade. Em qualquer caso, as empresas e instituições públicas têm que cumprir com os princípios de transparência, responsabilidade e prestação de contas.

Resta claro, portanto, que o desenvolvimento e implementação de um programa de proteção de dados e privacidade demanda tarefas complexas, que devem ser aplicadas caso a caso e, a critério deste autor, não deveriam ser copiadas de uma empresa por outras, já que perderia justamente sua adequação à realidade empresarial em que estão inseridas, comprometendo sua efetividade e sucesso. Ressalte-se, ainda, que essa complexidade não fica restrita às atividades de desenvolvimento e implementação, abrangendo também o seu monitoramento, para o qual é necessário fixar indicadores de gestão ou KPIs (Key performance indicators) que auxiliam a dar um seguimento sistemático aos objetivos do programa. Esses KPIs também têm que ser desenhados a aplicados caso a caso.

Desse modo, fica evidente que o compromisso das empresas e instituições é essencial. Sem ele, é pouco provável garantir o sucesso dos programas de privacidade e proteção de dados, uma vez que seu nível de abrangência requer a participação ativa de todos. Por isso, levando em conta os pontos indicados anteriormente, recomenda-se às empresas que comecem fazendo uma revisão do que já possuem e, com isso, determinem os gaps (lacunas) entre sua situação atual e as exigências da LGPD, considerando também as melhores práticas sobre proteção de dados disponíveis na esfera internacional. Nesse sentido, sugere-se responder às seguintes perguntas:

1. A empresa tem uma cultura de privacidade e proteção de dados desenvolvida?

2. A empresa tem uma política de privacidade e proteção de dados?

3. A empresa tem mecanismos de segurança de informação?

4. A empresa tem uma arquitetura de dados implementada?

5. As atividades em que são tratados dados pessoais e a finalidade, adequação e necessidade desses tratamentos estão identificadas pela empresa?

6. A empresa tem um protocolo para agir perante a ocorrência de um incidente com dados pessoais?

7. A empresa tem um comitê de direção ou orientações para gerir o tratamento de dados pessoais?

8. A empresa tem planos de comunicação e treinamentos sobre privacidade e proteção de dados estabelecidos?

9. Quais obrigações tem a empresa com a entrada em vigor da LGPD?

10. A empresa conhece todas as adequações e mudanças que tem que implementar em seus processos para agir de forma adequada no tratamento de dados pessoais?

A partir das respostas a cada pergunta, será possível começar a estruturar o programa de privacidade e proteção de dados. A natureza dos modelos de negócios, a quantidade de dados tratados, o fluxo desses dados dentro das organizações e seus compartilhamentos no âmbito interno ou internacional, além das estruturas internas de cada empresa serão evidências necessárias para identificar o nível de risco e os componentes ideais que deve ter o modelo de governança de dados de cada entidade.

Com a finalidade de promover um modelo de governança de dados que sirva de suporte para a implementação de um programa de privacidade e proteção de dados que cumpra com os elementos essenciais contidos na LGPD, apresenta-se a seguinte proposta de tarefas a ser executas em toda organização:

1. Definir os valores de privacidade e proteção de dados.

2. Estabelecer uma visão de Proteção de Dados (Data Vision).

3. Definir a organização do Departamento de Proteção de Dados (organograma da área e localização funcional – níveis de independência e autonomia).

4 . Determinar os riscos de privacidade e proteção de dados pessoais (inclui riscos derivados da base legal escolhida para o tratamento de dados, riscos derivados do compartilhamento ou transferência internacional de dados, riscos derivados do local de armazenamento de dados (nuvem/cloud ou servidores próprios ou alugados).

5. Revisar ou criar códigos de ética ou integridade, políticas internas, diretivas de trabalho, entre outras, e fazer os ajustes necessários para cumprir com os valores e visão de privacidade e proteção de dados adotados pela empresa.

6. Estabelecer mecanismos de consultas internas ou externas sobre privacidade e proteção de dados.

7. Estabelecer mecanismos de tratamento de incidentes de privacidade e proteção de dados.

8. Determinar e agir de acordo com as obrigações legais e contratuais sobre privacidade e proteção de dados pessoais.

9. Desenhar e executar planos de comunicação e treinamento sobre privacidade e proteção de dados pessoais.

10. Definir controles internos ou externos de privacidade e proteção de dados (inclui auditorias e certificações corporativas ou por terceiros).

As atividades descritas são essenciais para conhecer a realidade de cada empresa, definir os KPIs e, em consequência, o modelo de monitoramento, as auditorias que deverão ser executadas para garantir o cumprimento e adequação da empresa com os interesses e objetivos determinados pela lei, as políticas internas e, inclusive, as obrigações derivadas dos contratos assinados com seus parceiros ou terceiros que tenham desenvolvido e estabelecido modelos de governança de dados que, em muitas ocasiões, vão além do que exigido pelas respectivas legislações locais.

.

O monitoramento de um programa de privacidade e proteção de dados

Executar o monitoramento de um programa de privacidade e proteção de dados requer que inicialmente seja definido como este será supervisado e avaliado. Nesse sentido, a organização tem que definir com antecedência os elementos integrantes do programa e a frequência em que serão revisadas cada uma das atividades. Isso implica que se tenham identificados os KPIs macros e micros do programa. Para fins práticos e visando facilitar o entendimento dessa tarefa, mostrar-se-á em seguida um exemplo de como construir um KPI seguindo a metodologia SMART, a qual estabelece que um indicador de desempenho deve ser Especifico ( S pecific), Mensurável (M easurable), Atingível (A ttainable), Relevante ( R elevant) e Temporizável (T ime-Bound).

A primeira pergunta a que devemos responder é o que deve ser medido, e definir com máxima certeza possível o seu escopo. Em seguida, é necessário responder como será medido, de qual forma será atingido o nível de relevância para o projeto e prazo da medição. Com as respostas a essas perguntas podemos avançar e evoluir no desenho de um KPI macro referente a um programa de privacidade e proteção de dados e a um modelo de governança de dados.

A partir das premissas expostas, é possível construir a título de exemplo o seguinte indicador macro:

Objetivo: Estabelecer um programa de implementação da LGPD que contemple o mapeamento, definição e análises das atividades de tratamentos de dados, adoção de medidas preventivas e corretivas, e implantação de um sistema de gestão e tratamento de dados pessoais, além de treinamento e comunicação corporativa para atender às obrigações estabelecidas na lei, em um prazo de 10 meses.

(S) Específico: estabelecimento de um programa de implementação da LGPD.

(M) Mensurável: medido por meio do cumprimento de fases (mapeamento, definição e análises, adoção de medidas preventivas e corretivas, implementação, treinamento e comunicação).

(A) Atingível: implantação de um sistema de gestão e tratamento de dados pessoais

(R) Relevante: garantir o cumprimento das obrigações estabelecidas na LGPD.

(T) Temporizável: 10 meses.

O exemplo anterior serve como ferramenta inicial para a construção dos indicadores (KPIs) micro do programa de implementação da LGPD em qualquer organização. Uma série de exemplos de KPIs micros vinculados com o programa indicado são:

• Quantidade de atividades mapeadas que envolvem o tratamento de dados pessoais.

• Determinação das bases legais para o tratamento de dados pessoais na organização.

• Número de Testes de legítimo interesse ou Data Protection Impact Assessment (DPIA) que devem ser ou foram realizados para justificar a base legal conforme os padrões da LGPD.

• Número de atividades de tratamento de dados por base legal.

• Quantidade de bancos de dados dentro da organização.

• Número de treinamentos executados sobre privacidade e proteção de dados.

• Quantidade de contratos com cláusula de proteção de dados ajustadas à LGPD.

• Quantidade de políticas sobre privacidade, proteção de dados e segurança da informação dentro da organização.

• Número de sites e aplicativos com políticas de privacidade e termos de uso adaptados à LGPD.

• Número de contratos que envolvam transferência internacional de dados.

• Designação de um Data Protection Officer.

• Qualificações ou Certificações do Data Protection Officer.

Da estrutura de um modelo de monitoramento para um Data Compliance Measure Set ou Privacy & Data Protection Measure Set

Da mesma forma, é factível partir do exemplo dado para a construção dos KPIs macros e micros de todo o programa de privacidade e proteção de dados para empresas e instituições públicas, levando em conta o nível de maturidade de cada organização e o escopo do programa. Com a finalidade de manter a natureza didática deste artigo, vamos seguir com a explicação prática de um esquema de monitoramento a partir dos dez elementos de um programa de privacidade e proteção de dados indicados ut supra.

Com base nisso, é...

Uma experiência inovadora de pesquisa jurídica em doutrina, a um clique e em um só lugar.

No Jusbrasil Doutrina você acessa o acervo da Revista dos Tribunais e busca rapidamente o conteúdo que precisa, dentro de cada obra.

  • 3 acessos grátis às seções de obras.
  • Busca por conteúdo dentro das obras.
Ilustração de computador e livro
jusbrasil.com.br
7 de Dezembro de 2021
Disponível em: https://thomsonreuters.jusbrasil.com.br/doutrina/secao/1207548793/a-pratica-do-monitoramento-dos-programas-de-privacidade-e-protecao-de-dados-pessoais-e-as-auditorias-legais-e-contratuais-transparencia-responsabilidade-e-prestacao-de-contas