Data Protection Officer (Encarregado) - Ed. 2022

Data Protection Officer (Encarregado) - Ed. 2022

Data Protection Officer (Encarregado) - Ed. 2022

Data Protection Officer (Encarregado) - Ed. 2022

17. A Prática do Monitoramento dos Programas de Privacidade e Proteção de Dados Pessoais e as Auditorias Legais e Contratuais: Transparência, Responsabilidade e Prestação de Contas

17. A Prática do Monitoramento dos Programas de Privacidade e Proteção de Dados Pessoais e as Auditorias Legais e Contratuais: Transparência, Responsabilidade e Prestação de Contas

Entre no Jusbrasil para imprimir o conteúdo do Jusbrasil

Acesse: https://www.jusbrasil.com.br/cadastro

Humberto de Jesús Ortiz Rodriguez 1

Considerações gerais

Desde a sanção da Lei Geral de Proteção de Dados ( LGPD), Lei 13.709/18 2 , as empresas brasileiras, independentemente de seu porte, começaram a desenvolver trabalhos para adequar seus processos e atividades à nova regulamentação. Esse cenário trouxe a necessidade de desenhar e implementar programas de privacidade e proteção de dados dentro das organizações, contemplando a revisão dos processos e, particularmente, a forma como as empresas compreendem e executam tarefas vinculadas com a proteção da imagem, honra e reputação das pessoas, bem como o direito destas em decidir por quem e de que forma podem ser usados seus dados pessoais.

Essa adaptação esbarra, ainda, em um grande desafio que ainda está presente nas organizações e consiste na mudança do mindset, na forma como é concebido o tratamento de dados pessoais e a internalização da responsabilidade que cada uma das áreas da empresa tem quando fazem o tratamento destes. Também é importante destacar que a idealização e implementação de um programa de privacidade e proteção de dados deve ser abrangente e envolver todos os departamentos da empresa. É essencial contar com o apoio e suporte do corpo diretivo, sendo recomendável a aplicação de um efeito de cascateamento a partir do nível superior, ou seja, aplicar a estratégia de Tone from the Top, a qual serve para expressar o comprometimento da organização com o objetivo que procura ser alcançado e, além disso, é uma ferramenta excepcional para engajamento dentro dos times.

Nesse sentido, um programa de privacidade e proteção de dados tem que ser parte de uma sólida estrutura de governança, suportada por políticas adequadas (códigos de ética ou integridade, políticas de proteção de dados e privacidade, políticas de segurança de informação, políticas de retenção e descarte de dados, entre outras), planos de comunicação e treinamento, gestão de incidentes de segurança de informação que envolvem dados pessoais, gestão de riscos de privacidade, processos de gestão de documentos e informações, ferramentas de segurança de informação, arquitetura de dados e comitês para a tomada de decisões e orientação de ações relativas a privacidade e proteção de dados pessoais.

Além disso, a pessoa ou pessoas responsáveis pela implementação e monitoramento do programa de governança de privacidade têm a seu cargo o relacionamento com os demais times e departamentos da empresa, como também com os órgãos administrativos e regulatórios criados pelo Estado para garantir a implementação da lei e resguardar os interesses dos titulares de dados e outras pessoas ou entidades relacionadas.

Essas ações formam parte de uma série de medidas (Measure set) que devem ser desenvolvidas e aplicadas por cada empresa ou instituição a partir de sua natureza, quantidade de dados tratados e processos aplicáveis. Assim, uma empresa privada tem a liberdade de criar seu Measure Set, que pode ser definido como Data Compliance Measure Set ou Privacy & Data Protection Measure Set fazendo uso da autorregulação e dos padrões estabelecidos na LGPD e outras leis aplicáveis incluindo as regulamentações setoriais, ao passo que as instituições da administração pública têm que respeitar os limites impostos pela complexidade de normas integrantes da legislação brasileira, em atenção ao princípio da legalidade administrativa. Em qualquer caso, as empresas e instituições públicas têm que cumprir com os princípios de transparência, responsabilidade e prestação de contas.

Resta claro, portanto, que o desenvolvimento e implementação de um programa de privacidade e proteção de dados pessoais demanda tarefas complexas, que devem ser aplicadas caso a caso e, a critério deste autor, não deveriam ser copiadas de uma empresa por outras, já que perderia justamente sua adequação à realidade empresarial em que estão inseridas, comprometendo sua efetividade e sucesso. Ressalte-se, ainda, que essa complexidade não fica restrita às atividades de desenvolvimento e implementação, abrangendo também o seu monitoramento, para o qual é necessário fixar indicadores de gestão ou KPIs (Key performance indicators) que auxiliam a dar um seguimento sistemático aos objetivos do programa. Esses KPIs também têm que ser desenhados a aplicados caso a caso.

Desse modo, fica evidente que o compromisso das empresas e instituições é essencial. Sem ele, é pouco provável garantir o sucesso dos programas de governança de privacidade e proteção de dados pessoais, uma vez que seu nível de abrangência requer a participação ativa de todos. Por isso, levando em conta os pontos indicados anteriormente, recomenda-se às empresas que comecem fazendo uma revisão do que já possuem e, com isso, determinem os gaps (lacunas) entre sua situação atual e as exigências da LGPD, considerando também as melhores práticas sobre proteção de dados pessoais disponíveis na esfera internacional. Nesse sentido, sugere-se responder às seguintes perguntas:

1. A empresa tem uma cultura de privacidade e proteção de dados desenvolvida?

2. A empresa tem uma política corporativa de privacidade e proteção de dados?

3. A empresa tem mecanismos de segurança de informação?

4. A empresa tem uma arquitetura de dados implementada?

5. As atividades em que são tratados dados pessoais e a finalidade, adequação e necessidade desses tratamentos estão identificadas pela empresa?

6. A empresa tem um protocolo para agir perante a ocorrência de um incidente de segurança de informação com dados pessoais?

7. A empresa tem um comitê de direção para gerir o tratamento de dados pessoais?

8. A empresa tem planos de comunicação e treinamentos sobre privacidade e proteção de dados pessoais?

A partir das respostas a cada pergunta, será possível começar a estruturar o programa de governança de privacidade e proteção de dados pessoais. A natureza dos modelos de negócios, a quantidade de dados tratados, o fluxo interno (ciclo de vida) desses dados dentro das organizações e seus compartilhamentos no âmbito interno ou internacional, além das estruturas internas de cada empresa serão evidências necessárias para identificar o nível de risco e os componentes ideais que deve ter o …

Uma experiência inovadora de pesquisa jurídica em doutrina, a um clique e em um só lugar.

No Jusbrasil Doutrina você acessa o acervo da Revista dos Tribunais e busca rapidamente o conteúdo que precisa, dentro de cada obra.

  • 3 acessos grátis às seções de obras.
  • Busca por conteúdo dentro das obras.
Ilustração de computador e livro
jusbrasil.com.br
4 de Julho de 2022
Disponível em: https://thomsonreuters.jusbrasil.com.br/doutrina/secao/1481212851/17-a-pratica-do-monitoramento-dos-programas-de-privacidade-e-protecao-de-dados-pessoais-e-as-auditorias-legais-e-contratuais-transparencia-responsabilidade-e-prestacao-de-contas