A Lei Geral de Proteção de Dados – LGPD, lei nº 13.709 de 2018, foi inspirada no Regulamento Europeu de Proteção de Dados Pessoais e dispõe sobre diversos aspectos referentes à privacidade de dados. O objetivo da LGPD é proteger os direitos fundamentais de liberdade, de privacidade, bem como, o livre desenvolvimento da personalidade da pessoa natural.
A LGPD entrou em vigor em setembro de 2020 após diversas tentativas de adiamento, porém as sanções administrativas previstas na lei indicada, apenas podem ser aplicadas a partir do dia 01 de agosto de 2021.
Sabemos que para se enquadrar na lei, muitas empresas vêm adotando programas de governança de dados e sabemos também que essa motivação é positiva, porém algumas considerações devem ser levadas em conta na hora de implantar programas de governança de dados.
Governança significa: ato de governar, administrar, e até mesmo “direcionar”, conforme a raiz grega do termo. O ato de administrar e direcionar ocorre por meio do estabelecimento de regras, práticas, processos (descrição de “o que” precisa ser feito), procedimentos (“como” a ação deve ser realizada), controles e tomada de decisão
A governança de dados é fundamental para garantir dados adequados no mundo do analytics e das novas tecnologias, e a adoção de um programa de governança adequado também é considerada um fator essencial para que as organizações estejam em conformidade com os requisitos da LGPD.
Na prática, a governança é responsável por definir e acompanhar o cumprimento de estratégias para gerir os dados da organização, incluindo a definição de políticas, diretrizes, papéis, responsabilidades e processos de gestão de dados.
Atua como uma entidade articuladora, identificando problemas, buscando oportunidades, propondo iniciativas, monitorando e orquestrando a execução das ações que visam a melhoria da maturidade no uso dos dados e o cumprimento do direcionamento estratégico estabelecido para eles.
Esse assunto ainda gera confusão e muitas iniciativas se perdem no alinhamento de alguns princípios básicos. O fato é que não existe a possibilidade de qualquer empresa estar totalmente aderente à LGPD sem um programa de governança de dados efetivo, porém não é possível implementar um programa desta magnitude baseado em “receitas de bolo” milagrosas.
Empresas possuem diferentes objetivos, processos e questões culturais. Desta forma, requerem soluções específicas. Adotar um modelo de governança de dados igual ao de outra empresa, não é garantia de sucesso, mas sim, um forte indício de que a iniciativa não possui um propósito e objetivos definidos.
A obrigação de estar aderente a uma regulamentação específica sobre segurança e privacidade dos dados ainda é algo relativamente novo, mas não pode ser por isso que devemos implementar programas de governança de dados de qualquer jeito, sem uma definição clara dos propósitos, seguindo uma espécie de efeito “manada” imposto pelo mercado, com a única preocupação de estar aderente aos requisitos de uma lei em uma data específica.
Segundo o Guia de Elaboração de Programa de Governança em Privacidade, o Programa de Governança deve ser estruturado nas seguintes etapas: iniciação e planejamento; construção e execução e monitoramento.
A etapa de Iniciação e Planejamento consiste na coleta da primeiras informações e os dados importantes que devem ser conhecidos: a nomeação do encarregado, o alinhamento de expectativas com a alta administração, o diagnóstico do atual estágio de adequação à LGPD, a análise e adoção de medidas de segurança (incluindo as diretrizes e a cultura interna) a estrutura organizacional para a governança e a gestão da proteção de dados pessoais, o inventário de dados pessoais e o levantamento dos contratos referentes a dados pessoais.
Na primeira etapa também deve ser criada uma estrutura organizacional para compor o conhecimento de dados pessoais na entidade ou órgão, para supervisionar as três etapas da ação para criar e manter o Programa de Governança em Privacidade.
A etapa de Construção e Execução deve considerar o gerenciamento de direitos individuais, o consentimento e o rastreamento de preferências e a redução de responsabilidade por violação.
Os marcos para serem alcançados nessa etapa são: as políticas e práticas para a proteção da privacidade do cidadão, a cultura de segurança e proteção de dados e Privacy by Design, o Relatório de Impacto à Proteção de Dados Pessoais – RIPD, a Política de Privacidade e Política de Segurança da Informação, a adequação de cláusulas contratuais e os termos de uso.
A etapa de monitoramento inclui: os indicadores de performance, a gestão de incidentes, a análise de resultados e o reporte de resultados.
Entre os indicadores de performance cabe apontar: os índices de serviços com dados pessoais inventariados, os índices de serviços com termos de uso elaborados, o índice de conscientização em segurança, entre outros.
A governança em privacidade é um programa que, além de promover o compliance e atuar na prevenção a sanções administrativas e judiciais, também (e principalmente) gera impactos positivos na operação da empresa e a valoriza.
Se você não está indo nesse caminho, nossa dica é que você repense a sua jornada, estabeleça um programa de governança efetivo e lembre-se que faltam poucos dias para a LGPD entrar em vigor. Além disso, é fundamental que o programa seja atualizado e revisado de forma contínua. Não tenha dúvida que um programa eficaz de governança de dados trará benefícios para toda a empresa.