Governança Corporativa e Proteção de Dados – O diálogo entre Governança corporativa e a governança de dados no âmbito da Lei Geral de Proteção de Dados
Assim, teremos uma área de privacidade e proteção de dados norteada pelos princípios de tratamento de dados, alicerçada nas bases legais para tratamento dos dados, integrada as áreas de controles internos, processos e segurança da informação para garantir o Compliance da privacidade e proteção de dados dentro da organização.
1. Contextualização
O desenvolvimento do modelo de produção de um bem ou serviço esteve sempre ligado ao desenvolvimento tecnológico, desde um sistema mecanizado de produção tendo como fonte de energia carvão e vapor, passando pela produção em massa idealizada por Henry Ford, seguido da automatização da produção até chegarmos no modelo atual cujo objetivo é ofertar produtos e serviços personalizados de acordo com as necessidades e requisitos do cliente. Para ser possível ofertar produtos e serviços pensados para cada indivíduo é necessário primeiramente coletar alguns dados pessoais.
Com essas informações coletadas, as organizações conseguem realizar ações estratégicas, financeiras e de marketing, por meio de um banco de dados extremamente rico e repleto de informações valiosas que muitas das vezes interferem no direito à privacidade do titular dos dados.
Assim, como já dizia o Tio Ben do Homem Aranha “Com grandes poderes vem grandes responsabilidades”, o tratamento de dados requer a implementações de vários controles e mecanismos para assegurar a proteção dos dados coletados e garantir a transparência do processo de tratamento para o titular dos dados.
Em tempos em que dado pessoal é o novo petróleo, estabelecer um modelo de governança para tratar do ciclo de vida do dado pessoal é primordial para a sobrevivência da organização. Desta forma, recomendo que estabeleça como direcionador do modelo os princípios para tratamento dos dados.
2. Princípios para Tratamento dos Dados
É essencial ter mapeado para qual finalidade específica será realizado o tratamento e analisar se os dados que foram coletados estão de acordo com a finalidade definida. Uma vez que os dados foram coletados para um fim, a empresa deve garantir que os dados são utilizados exclusivamente para esta finalidade.
Além disso, a organização deve coletar o mínimo de dados necessários, sendo norteado pelos princípios de privacy by design e privacy by default, onde todo mecanismo tem como norteador a privacidade desde a concepção e por padrão. O titular dos dados deve ser informado de forma clara e objetiva, o motivo da coleta e como será usado os dados.
O quarto princípio assegura que o titular de dados tenha livre acesso para consultar, de forma simples e gratuita, todos os dados que a organização possua a seu respeito. Estes dados devem ser exatos, verdadeiros e atualizados para que a qualidade dos dados seja preservada e a finalidade do tratamento seja alcançada de forma a mitigar eventuais erros.
Portanto, é necessário estabelecer o processo mais transparente possível, todas as informações devem ser claras e verdadeiras e jamais podem ser compartilhadas para terceiros sem o consentimento do Titular dos dados.
Para garantir que não haja o compartilhamento de dados e incidentes de segurança, o sétimo princípio traz a responsabilidade da segurança dos dados para quem os coletou, a organização deve adotar mecanismos que garantam a proteção dos mesmos e deve implementar medidas para lidar com situações acidentais.
Alinhado ao princípio de preservação, deve ter procedimentos para adotar medidas prévias para evitar a ocorrência de danos em virtude do tratamento de dados pessoais.
O nono princípio reitera o artigo da Lei Geral de Proteção de Dados para tratamento de dados sensíveis, em hipótese alguma os dados pessoais podem ser utilizados para discriminar ou promover abusos contra os seus titulares.
E como último princípio temos a responsabilização e prestação de contas, a organização deve ter evidências de todas as medidas adotadas, para demonstrar a sua boa-fé e que está em conformidade com a LGPD.
Com esses princípios como direcionadores para o tratamento a empresa deverá ter como alicerce as bases legais para o tratamento. Assim, através da definição da base legal estabelecida que o ciclo de vida do dado poderá nascer na organização.
3. Bases Legais para Tratamento dos Dados
A primeira base legal é o consentimento, a mais arriscada, diga-se de passagem. Se a finalidade estiver embasada única e exclusivamente no consentimento do titular do dado, assumirá um risco de alto nível, uma vez que o titular de dados pode revogar a qualquer momento o consentimento para o tratamento do dado em questão.
Vale lembrar que será necessário dispor de um meio, que permita a exclusão dos dados após o pedido do titular e que mantenha uma trilha auditável dessa exclusão para fins de comprovação, caso seja solicitado.
A empresa pode coletar o dado sob afirmação de cumprimento de obrigação legal ou regulatória, esta base legal assegura que a LGPD não entre em conflito com nenhuma outra regulamentação ou legislação vigente no país, se houver alguma exigência legal ou regulatória para coleta do dado, a empresa estará autorizada a tratá-los.
A terceira base legal autoriza que a administração pública possa realizar o tratamento de dados exclusivamente para fins de segurança pública, defesa nacional, segurança do Estado ou atividades de investigação ou de repressão de infrações penais. Se a finalidade da coleta for para realização de estudos por órgãos de pesquisa, pode ser aplicada a quarta base legal.
Ressaltando que, sempre que possível, os dados devem ser anonimizados, a fim de assegurar a privacidade dos titulares e evitar incidentes de segurança.
Há também a possibilidade de realizar tratamento de dados baseado na execução de um contrato ou de procedimentos preliminares relacionadas a um contrato que o titular dos dados seja uma das partes. Esta base legal é bem parecida com o consentimento, mas com a salvaguarda que neste caso, o titular do dado não poderá revogar o seu fornecimento a qualquer momento.
A LGPD garante ainda que é possível utilizar o tratamento de dados para o exercício regular de direitos em processo judicial, administrativo ou arbitral, ou seja, viabiliza o direito de produção de provas de uma parte contra a outra em um processo judicial.
Outra base legal assegurada pela LGPD diz respeito a proteção à vida, ou a incolumidade física do titular dos dados ou de terceiros, ou seja, caso ocorra alguma situação em que exista algum risco à vida do titular dos dados, não é necessário o consentimento do titular para realizar o tratamento dos dados.
Assim sendo, a Lei de Proteção de Dados garante também o tratamento de dados para a tutela da saúde, desde que realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária.
A nona base legal diz respeito ao tratamento através do legítimo interesse da empresa, assim como o Consentimento, deve-se ter uma ressalva para a escolha desta base legal, devido às vulnerabilidades presentes neste requisito. A Lei determina que o legítimo interesse da organização somente poderá fundamentar tratamento de dados pessoais para finalidades legítimas.
A última base legal autoriza o tratamento para proteção ao crédito, de modo a evitar qualquer tipo de escape de cobrança de dívidas contraídas.
4. Áreas chaves para a implementação do Modelo de Governança
A área responsável pela implementação da LGPD tem a responsabilidade de disseminar os princípios direcionadores e os princípios embasadores para toda organização que realiza o processamento do dado pessoal.
Manter a conformidade com a LGPD está relacionado a organização entender corretamente o que deve fazer e por quê. Deste modo, as Diretorias, gerências e colaboradores que são agentes deste tema devem participar de treinamentos e conscientização. Assim, a comunicação interna eficaz com as partes interessadas e a equipe é essencial para o fortalecimento da cultura de proteção de dados.
Isto posto, para que haja a convergência deste modelo é necessário a sinergia entre 3 áreas que já existem na organização: Segurança da informação, Controles Internos e Processos, com a área de privacidade a ser estabelecida.
Estas áreas serão pontos focais para o estabelecimento do ciclo de vida do dado pessoal em conformidade com os requisitos da Lei, levantamento de especificidades sobre o tema, elaboração de análises estratégicas e operacionais para auxílio na tomada de decisão.
É comum encontrar nos organogramas das empresas, principalmente das maiores, uma área dedicada a identificação dos riscos, elaboração da matriz de riscos da companhia e implementação de controles eficazes de prevenção da materialização do risco.
Esta área deve adicionar entre os fatores de riscos já mapeados, o risco da proteção de dados, juntamente com as consequências para companhia deste risco se concretizar. É esta área que irá integrar o risco de privacidade de dados nas avaliações de risco. Para evitar uma exposição prejudicial a credibilidade, danos reputacionais e a gestão financeira da empresa.
Governança Corporativa e Proteção de Dados
A organização que realiza tratamento de dados pessoais deve em contrapartida possuir mecanismos para garantir a segurança dos dados. A área de Segurança da Informação deve pensar em como esse dado será protegido, embasada em 3 pilares:
Confidencialidade, o dado é acessível apenas a quem compete sua visualização e neste quesito é importante termos restrição de acesso e categorização do tipo de informação se é confidencial, restrita ou livre. Integridade, ou seja, garantir a qualidade dos dados e disponibilidade dos dados, garantido que sempre quando demandando pelo titular ou demais interlocutores, quando pertinente, a informação esteja acessível.
No mercado, temos a ISO 27001 como o padrão e a referência internacional para a gestão da Segurança da informação identificar padrões ou sistemas de gerenciamento que possam fornecer uma estrutura para conformidade. Caberá a área de Segurança da Informação escolher qual o modelo mais adequado a realidade da empresa e que mitigue qualquer incidente de segurança ou violação dos dados.
A partir do resultado do Gap Assessment onde terá refletido quais áreas da organização se enquadram no escopo da proteção de dados, é importante levantar quais processos existentes podem ser afetados. Quando a organização possui uma área de Processos estruturada, realizando a gestão dos normativos que rege a companhia, tendo estabelecido a responsabilidade sob a gestão de cada tema por área funcional da companhia, me atrevo a dizer que economiza uns 35% do trabalho.
A área de Processos possui mapeado todas as atividades pertinentes aos temas relevantes da companhia, e terá documentado as atividades que realizam tratamento de dados, seja através de diagramas, Instruções Operacionais informando como realizar determinada atividade, Regulamentos que ditam as regras de execução ou políticas com os direcionadores sobre o tema. Desta forma, esta área atuará como base de toda estruturação necessária para implementação da privacidade e proteção de dados.
Com esses normativos, a etapa de levantamento de informação torna-se mais específica e possibilita a realização do mapeamento do fluxo de dados mais assertivo e eficiente. Além disso, a Gerência de Processos, realizará a gestão e adequação das Políticas de Privacidade, Segurança da Informação, Termo de Uso e demais direcionadores do tema.
5. Principais Interlocutores sobre o tema
Governança Corporativa e Proteção de Dados
Os Principais Interlocutores da Governança de Proteção de Dados Pessoais são os agentes de tratamento e o Encarregado pelo tratamento dos dados. Cada um deles desempenhará um papel importante neste modelo de governança.
O Controlador é a figura central no que tange a proteção de dados, é ele quem definirá como os dados serão tratados, quais serão os meio e condições para tratamento. Ele tem a responsabilidade de garantir que o tratamento aplicado ao dado coletado está em conformidade com a Lei. Ele deverá indicar o Encarregado pelo tratamento de dados, que será responsável por realizar a comunicação com o titular dos dados, a ANPD e demais stakeholders do processo.
O Operador é responsável por processar os dados em nome do controlador dentro dos parâmetros estabelecidos por ele. Ele pode escolher qual sistema irá utilizar, como irá armazenar os dados, meios de transferência de dados, mas sempre alinhado com os requisitos do Controlador.
6. Agentes Reguladores
Governança Corporativa e Proteção de Dados
A criação da Autoridade Nacional de Proteção de Dados auxiliará no futuro com que o Brasil esteja em conformidade com o Regulamento Europeu de Proteção de Dados, possibilitando negociações comerciais com os países da União Européia.
A ANPD deverá zelar pela proteção dos dados pessoais, elaborar diretrizes para a Política Nacional de Proteção de Dados Pessoais e da Privacidade e aplicar sanções em caso de tratamento de dados realizado de forma irregular, ouso a dizer neste primeiro momento que a Autoridade desempenhará um papel educativo e não punitivo.
A ANPD atuará em conjunto com as Agências Reguladoras de cada setor, como por exemplo, a ANATEL, a SUSEP, Órgãos de Defesa do Consumidor e Ministério Público para assegurar ao cidadão o direito de proteção de dados pessoais.
Além dessas instituições temos a figura do próprio titular de dados, que hoje no Brasil representa 209 milhões de pessoas que poderão fiscalizar se seus direitos estão sendo respeitados.
7. Conclusão
Governança Corporativa e Proteção de Dados
Assim, teremos uma área de privacidade e proteção de dados norteada pelos princípios de tratamento de dados, alicerçada nas bases legais para tratamento dos dados, integrada as áreas de controles internos, processos e segurança da informação para garantir o Compliance da privacidade e proteção de dados dentro da organização.
Isto posto, acredito que este modelo com as devidas alterações para as especificidades de cada segmento empresarial atenda grande parte das organizações que irão implementar um modelo de Governança para Proteção de Dados.
Gabriela Berge é consultora em Privacidade, Proteção de Dados e Cibersegurança, Engenheira de produção graduada no Centro Federal de Educação Tecnológica Celso Sukow da Fonseca (RJ), com conhecimento em Gestão de Processos de Negócios pela Universidade do Estado do Rio de Janeiro. Com experiência profissional na área de gestão e governança de processos, projetos de adequação a LGPD e governança de segurança da informação. Certificada EXIN PDPE, ISFS (ISO/EIC 27001), PDPF, PDPP e DPO.
Governança Corporativa e Proteção de Dados