Cadastrar

Esqueceu a senha?

Perdeu sua senha? Por favor, indique o seu endereço de e-mail. Você receberá um link e criará uma nova senha por e-mail.

Sorry, you do not have permission to ask a question, You must login to ask a question.

Sorry, you do not have permission to add a post.

Please briefly explain why you feel this question should be reported.

Explique brevemente por que você acha que essa resposta é inadequada ou abusiva.

Please briefly explain why you feel this user should be reported.

BOAS PRÁTICAS DE GOVERNANÇA NA PROTEÇÃO DE DADOS: CONTEÚDO MÍNIMO DO PROGRAMA

BOAS PRÁTICAS DE GOVERNANÇA NA PROTEÇÃO DE DADOS: CONTEÚDO MÍNIMO DO PROGRAMA

Neste artigo objetiva-se continuar a exposição sobre o Programa de Governança em Privacidade – PGP, englobando o conteúdo mínimo e as etapas do PGP de forma mais aprofundada. Para tanto, inicia-se a abordagem trazendo aspectos sobre a governança de dados, para finalmente alcançar o Programa de Governança em Privacidade.

 

Governança de Dados

 

O termo Governança de Dados foi extraído do conceito de Governança Corporativa e tangencia pontos da Governança de TI. Pode-se dizer que a Governança de Dados foca em princípios de organização e controle sobre os insumos essenciais para produzir informação e conhecimento das empresas (BARBIERI, 2020).

 

A Governança de Dados “é responsável por gerir os princípios de organização e controle de dados e informações. Esta gestão envolve interface com diversas outras funções e estabelece políticas e diretrizes corporativas para governar os dados, além de atribuir papéis e responsabilidades” (RÊGO, p. 87, 2013).

 

Os dados podem ser classificados em: dados mestres, dados referenciais, dados transacionais e dados históricos. Os dados mestres são os dados base ou pilares da empresa, exemplo: produto, empresa e cliente. Os dados referenciais são associados geralmente aos dados mestres, exemplo: CEP. Os dados transacionais são dados dinâmicos, produzidos em virtude da movimentação de negócios da empresa, exemplo: Notas Fiscais. Os dados históricos são originados de dados mestres, referenciais e transacionais, guardados em uma linha de tempo (BARBIERI, 2020).

 

Destaca-se que a Lei Geral de Proteção de Dados Pessoais – LGPD – Lei nº 13.709 de 2018 dedica o artigo 50 e 51, incluindo incisos e alíneas às Boas Práticas e Governança. Com base no artigo 50, § 3º, da LGPD, as regras de Boas Práticas e de Governança devem ser publicadas e atualizadas periodicamente, bem como, podem ser reconhecidas e divulgadas pela Autoridade Nacional.

 

Programa de Governança em Privacidade

 

O Programa de Governança em Privacidade – PGP pode ser entendido como o conjunto de regras de boas práticas e governança a serem aplicadas pelos agentes no tratamento de dados pessoais.

 

De acordo com o artigo 50, § 2º, I, alíneas, da LGPD, o controlador, observados a estrutura, a escala e o volume de suas operações, assim como, a sensibilidade dos dados tratados e a probabilidade e a gravidade dos danos para os titulares dos dados poderá implementar o programa de governança em privacidade, que no mínimo:

 

  • Demonstre o comprometimento do controlador em adotar processos e políticas internas que assegurem o cumprimento de normas e boas práticas relacionadas à proteção de dados;

 

  • A aplicação a todo o conjunto de dados pessoais que estejam sob seu controle, independentemente da maneira como realizou sua coleta;

 

  • A adaptação à estrutura, à escala e ao volume de suas operações, assim como à sensibilidade dos dados tratados;

 

  • O estabelecimento de políticas e salvaguardas adequadas com fundamento em processo de avaliação sistemática de impactos e riscos à privacidade;

 

  • O estabelecimento da relação de confiança com o titular, por intermédio de atuação transparente e que assegure mecanismos de participação do titular;

 

  • A integração a sua estrutura geral de governança e estabeleça e aplique mecanismos de supervisão internos e externos;

 

  • Com planos de resposta a incidentes e remediação;

 

  • Atualização constante com base em informações obtidas a partir de monitoramento contínuo e avaliações periódicas.

 

O artigo 50, da LGPD é tido como um importante marco normativo para propagar o Compliance no Brasil. No artigo 50, § 2º, Inciso I e alíneas, da LGPD são indicados os detalhes que devem estar presentes em um programa de compliance da referida natureza (BLUM; MORAES, 2020).

 

Etapas do Programa de Governança em Privacidade

 

O PGP é estruturado em três etapas: iniciação e planejamento; construção e execução e monitoramento.

 

  • Iniciação e Planejamento:

 

Na etapa de Iniciação e de Planejamento busca-se compreender as primeiras informações e os dados importantes que devem ser conhecidos. O início deve incluir a criação de uma estrutura organizacional com o intuito de compor o conhecimento de dados pessoais em toda entidade ou órgão (Governo Federal, 2020).

 

Nessa etapa deve ser nomeado o encarregado – pessoa indicada pelo controlador e pelo operador para atuar como canal de comunicação entre o controlador, os titulares e a ANPD. Entre as competências do encarregado, pode-se apontar a de aceitar as reclamações e as comunicações dos titulares, prestar esclarecimentos e adotar providências; a de receber comunicações da autoridade nacional e adotar providências; a de conduzir ou aconselhar a implementação de regras de boas práticas e de governança delimitadas no artigo 50, da LGPD (Governo Federal, 2020).

 

  • Construção e Execução:

 

Na etapa de construção do programa de gerenciamento da privacidade deve-se considerar: o gerenciamento de direitos individuais; o consentimento e o rastreamento de preferência e a redução de responsabilidade por violação (Governo Federal, 2020).

 

Na etapa indicada deve ser promovida a cultura de segurança e de proteção de dados, para comunicar metas, objetivos e indicadores utilizados. Nela também deve ser elaborado o Relatório de Proteção de Dados Pessoais – RIPD, que pode ser entendido como um instrumento fundamental para verificar e demonstrar conformidade no tratamento de dados pessoais efetuado pela instituição (Governo Federal, 2020).

 

Pode-se dizer que na respectiva etapa também deve-se verificar se há tratamento excessivo de dados, se os controles são suficientes para os dados, se é necessário reter determinados dados e se é necessário revisar os contratos. Outrossim, é fundamental que seja elaborada uma Política de Privacidade.

 

  • Monitoramento:

 

A etapa de monitoramento consiste no acompanhamento contínuo e necessário a conformidade à LGPD. A etapa citada contém os indicadores de performance, a gestão de incidentes, a análise de resultados e o reporte de resultados.

 

A gestão de incidentes se refere ao registro de incidentes de segurança da informação e de privacidade ocorridos e que armazenem informações como: a descrição de incidentes ou de eventos; as informações e os sistemas envolvidos; as medidas utilizadas para proteger as informações, bem como, os riscos referentes ao incidente e as medidas tomadas para diminuir os riscos e evitar reincidências (Governo Federal, 2020).

 

Na análise e reporte de resultados mostra-se a evolução de ações e de resultados, assim como, o papel da privacidade para o cidadão que reforça e fortalece a cultura de privacidade de dados. Na etapa indicada o encarregado deve gerenciar o estabelecimento de métricas para auxiliar no acompanhamento de ações do PGP e divulgar os resultados entre as diferentes áreas do órgão (Governo Federal, 2020).

 

Por fim, pode-se dizer que o PGP objetiva garantir que a organização esteja em conformidade com a LGPD. Para tanto, é fundamental que a organização ao implementar o programa citado respeite as disposições do artigo 50, § 2º, da LGPD e busque o engajamento dos colaboradores da organização. Salienta-se que o PGP deve ser atualizado e revisado de forma constante.

 

Referências:

 

BARBIERI, Carlos. Governança de Dados: Práticas, conceitos e novos caminhos. Rio de Janeiro: Alta Books, 2020.

 

BLUM, Rita Peixoto Ferreira.; MORAES, Hélio Ferreira.  Lei Geral de Proteção de Dados Pessoais. In: CARVALHO, André Castro. et al. Manual de Compliance. 2 ed. Rio de Janeiro: Forense, 2020.

 

GUIA de Elaboração de Programa de Governança em Privacidade. LGPD. Governo Federal. Brasília, Outubro de 2020.

 

MARTINS, Guilherme Magalhães.; FALEIROS JÚNIOR, José Luiz de Moura. Segurança, Boas Práticas, Governança e Compliance. In: DE LIMA, Cíntia Rosa Pereira. Comentários à Lei Geral de Proteção de Dados: Lei nº 13.709 de 2018, com alteração da Lei nº

 

RÊGO, Bergson Lopes. Gestão e governança de dados: promovendo os dados como ativos de valor nas empresas. Rio de Janeiro: Brasport, 2013.

 

Autor: Thaís Netto

You must login to add a comment.

Posts relacionados