Por Fábio Xavier
A Lei Geral de Proteção de Dados (LGPD) – Lei 13.709/18, consagra em seu art. 50 a necessidade de que os agentes de tratamento – controladores e operadores – definam “regras de boas práticas e de governança” para atendimento aos titulares, bem como para implementação de padrões técnicos adequados para a proteção de dados pessoais, ações educativas, mecanismos de supervisão e mitigação de riscos e “outros aspectos relacionados ao tratamento de dados pessoais”.
Indo mais além, no mesmo art. 50, em seu § 2º, a LGPD determina que o controlador – embora seja recomendável que o operador também atenda à essa determinação – deve implementar um programa de governança em privacidade, que contemple os seguintes requisitos mínimos: (a) demonstração do comprometimento do controlador em adotar processos, políticas internas, normas e boas práticas para a proteção de dados pessoais; (b) abrangência sobre todos os dados pessoais sob posse do controlador; (c) adaptado à estrutura, escala e volume das operações e sensibilidade dos dados tratados; (d) estabelecimento de políticas e salvaguardas adequadas, com base em avaliação de risco e impacto; (e) transparente para o estabelecimento de relação de confiança com o titular; (f) integração à estrutura de governança corporativa, com supervisão interna e externa; (g) criação de plano de resposta e remediação de incidentes; e (h) atualização constante, aplicando-se, por exemplo, o ciclo PDCA – planejar (plan), fazer (do), verificar (check) e agir (act).
Contudo, mais importante do que o simples atendimento a um requisito legal, o programa de governança em privacidade deve incutir uma cultura de proteção de dados dentro da instituição, bem como demonstrar para a sociedade que a organização e sua mais alta administração têm um compromisso real com a privacidade, atendendo aos princípios boa-fé (art. 6º, caput), da transparência (art. 6º, VI) e responsabilização e prestação de contas (art. 6º, X).
Para isso, o primeiro passo na implementação do programa de governança em privacidade, é que a organização faça sua declaração de missão ou visão em relação à privacidade. A declaração de missão de privacidade deve comunicar de forma concisa e clara qual é o compromisso em relação à privacidade que a organização buscará atingir. Essa declaração, muito mais do que uma mera formalidade, servem de guia e fator-chave para o estabelecimento da base de um programa de privacidade aderente à realidade e expectativa da organização, dos titulares e de todos os stakeholders.
A declaração de missão deve indicar a razão pela qual a privacidade é um pilar importante para a organização, definindo seu posicionamento em relação ao tema. Ela deve descrever o propósito e as ideias da organização em algumas frases curtas e claras, de rápida leitura.
Em outras palavras, a declaração de missão deve indicar qual é a ambição da organização em relação à privacidade. Seria, assim, o estabelecimento de um objetivo a ser perseguido, por meio de ações concretas, de forma a criar uma relação de confiança com os titulares dos dados pessoais tratados pela organização.
Por fim, destaco que o programa de governança em privacidade também é necessário para os órgãos e entidades do setor público. E a declaração da missão de privacidade, que poderia estar dentro da Política de Privacidade, é fundamental para que seja criada uma cultura de privacidade e proteção de dados no setor público. Somente assim, o direito fundamental à proteção dos dados pessoais, agora presente na nossa Constituição (Emenda Constitucional nº 115, de 2022), será respeitado em todas as organizações, públicas ou privadas.
*Fábio Xavier é Diretor do Departamento de Tecnologia da Informação do Tribunal de Contas do Estado de São Paulo
