Obrigações, responsabilidade e governança no tratamento de dados pessoais
Livia Sales - Gerente de Compliance - FIEC
31/08/2021
A adequação à Lei Geral de Proteção de Dados Pessoais está atrelada a aplicação de regras de governança corporativa que garantam a proteção dos dados pessoais tratados pelas empresas.
De acordo com o Instituto Brasileiro de Governança Corporativa (IBGC), “governança corporativa é o sistema pelo qual as empresas e demais organizações são dirigidas, monitoradas e incentivadas, envolvendo os relacionamentos entre sócios, conselho de administração, diretoria, órgãos de fiscalização e controle e demais partes interessadas.
As boas práticas de governança corporativa convertem princípios básicos em recomendações objetivas, alinhando interesses com a finalidade de preservar e otimizar o valor econômico de longo prazo da organização, facilitando seu acesso a recursos e contribuindo para a qualidade da gestão da organização, sua longevidade e o bem comum.”
Com isso, a Lei Geral de Proteção de Dados Pessoais preceitua como uma de suas disposições a possibilidade de o controlador e o operador formularem regras de boas práticas e de governança objetivando disciplinar diretrizes que versem sobre o tratamento de dados pessoais, como, por exemplo, aquelas relativas aos procedimentos, padrões técnicos, normas de segurança e as ações educativas, dentre outros.
Para tanto, como forma de atender aos princípios gerais instituídos pela lei, o controlador poderá estabelecer instruções que serão implementadas através de um programa de governança em privacidade e proteção de dados pessoais transparente e atuante que deverá contemplar, no mínimo, a adoção de normas e políticas relacionadas a proteção de dados pessoais, aos impactos e riscos relativos à privacidade desses dados, prevendo avaliações contínuas sobre essas ações, com aplicação a todo universo de dados pessoais coletados, com adaptação a estrutura, a escala e ao volume de operações realizadas, com a participação do titular, com a integração de todos os níveis organizacionais, com o estabelecimento de planos de respostas a incidentes e remediação e, por fim, com atualização periódica e permanente, com base nas informações captadas, a partir da realização de monitoramentos e avaliações contínuas.
Cabe pontuar que o Encarregado de Proteção de Dados pode também se apoiar nas boas práticas de governança implementadas para exercer suas atividades conforme preconiza a lei.
Deve-se ressaltar que o programa de governança não é algo inerte, já que, necessariamente, ele deve progredir à medida que são desenvolvidas ações para melhoria e adaptação do programa, de forma a acompanhar alterações legais e estruturais da organização, novos projetos/processos que versem sobre atividades de tratamento de dados, obtenção de novas tecnologias, dentre outros.
Desta forma, pode-se considerar que a governança é a coluna vertebral da estratégia de adequação de qualquer empresa à LGPD, pois esta possibilita trazer a clareza necessária com relação a adoção de parâmetros que garantam a segurança de dados e amenizem a ocorrência de riscos, auxilia a prestação de contas pelos agentes de tratamento, demonstrando, assim, a eficácia das medidas adotadas pela empresa de forma a comprovar a observância e o cumprimento das normas de proteção de dados pessoais.