Governança de dados deve estar em linha com as características de cada negócio

Não basta desenvolver métodos grandiosos se não possuem relação nenhuma com a cultura da empresa. Além disso, processo de privacidade precisa ser transparente para evitar riscos à imagem da empresa

De acordo com uma pesquisa recente, realizada pelo Comitê Privacy BR, são três os principais desafios na rotina dos Encarregados dos Dados (DPO). Em 1º está a conscientização da empresa e dos colaboradores sobre a importância da privacidade e proteção de dados pessoais com 49,4%. Em 2º o engajamento das demais áreas que dão suporte às atividades relacionadas ao tema com 48,2% e, por último, equipe reduzida com 47%.

A partir da análise dos dados, Patricia Peck Pinheiro, CEO e sócia fundadora do Peck Advogados, presidente do Instituto iStart de Ética Digital e palestrante no 1º Encontro de LGDP da ANEFAC, que aconteceu em 6 de julho, aponta que, a presença e a articulação dos responsáveis pela proteção dos dados, dentro da rotina das empresas, ainda estão distantes do ideal e o número de profissionais designados à função não ultrapassa três colaboradores. “A sensibilização pode ser crucial para o sucesso da implementação de um projeto de LGPD (Lei geral de proteção de dados pessoais), pois o fator humano é uma das maiores vulnerabilidades. Nomear o encarregado, realizar campanhas de capacitação e orientação das equipes estão entre as iniciativas mais importantes para fazer cumprir a nova regulamentação”, diz.

Ao complementar, Samara Schuch, sócia-diretora de Cybersecurity & Privacy na KPMG Brasil e palestrante no 1º Encontro de LGDP da ANEFAC, explica que, sem esquecer que os meios de governança de dados podem e devem se adaptar a cada modelo de negócio, o encarregado pela proteção dos dados pessoais deverá recomendar ao controlador a melhor forma de gerenciar as verificações de conformidade e assessment de riscos atrelados a alguns pilares que são indispensáveis de atenção, como por exemplo:

1 – Mapeamento na operação e criação do inventário do ciclo de vida dos dados pessoais; 2 – Criação/revisão de Políticas e Contratos com Titulares de Dados e Terceiros;  3 – Nomeação do DPO e estruturação das atividades, papéis e responsabilidades do time de privacidade; 4 – Identificação de necessidade e preenchimento do Relatório de Impacto à Proteção dos Dados Pessoais; 5 – Atendimento aos Direitos dos Titulares; 6 – Gestão de Riscos de Privacidade em Terceiros;  7 – Gestão de Incidentes de Privacidade; 8 – Definição e implementação de padrões mínimos de segurança da informação para a proteção de dados pessoais; 9 – Seleção de tecnologias para a governança automatizada (se necessário) e integração com o ambiente tecnológico; 10 – Avaliação de novos produtos e serviços por meio de metodologia de Privacy by Design; 11 – Avaliação de framework regulatório – nacional, incluindo legislação setorial, e internacional; e 12 – Conscientização e cultura.

De maneira simplificada, Pinheiro aponta que, especificamente esse framework consiste num esquema que estrutura e organiza conteúdos e ideias, para aplicar comandos e funcionalidades em prol de um objetivo, como aumentar a produtividade do projeto ou resolver um problema de segurança. É um conceito que vem da programação e deriva de um conjunto de códigos que facilita o trabalho no desenvolvimento de um site, por exemplo. É uma estruturação que pode ser aproveitada por profissionais que buscam a mesma padronização utilizada.

Para essa adequação, se fez necessário, primeiramente, mapear os dados pessoais tratados e verificar todo esse processo, desde a coleta até o eventual descarte. “Além disso, as empresas passaram a efetuar treinamentos aos seus colaboradores sobre o assunto, bem como a criar políticas visando regulamentar todo o tratamento dos dados pessoais processados, incluindo, mas não se limitando, a política de privacidade de dados de clientes e funcionários, de cookies, de descarte de dados, dentre outras”, salienta Eduardo Depassier, diretor jurídico da ANEFAC, sócio do Levi Depassier Advogados e responsável pela realização do evento.

 

Quanto mais transparente e ética o gerenciamento de dados, menores são os riscos reputacionais

Em tempos de transformação digital, a regulamentação, na visão de Patricia Peck Pinheiro, vem para harmonizar as relações e aumentar o grau de transparência, que é a base para fomentar a inovação, que precisa de regras claras e controles mínimos de segurança. O que se observa, segundo ela, desde que a lei entrou em vigor, há aproximadamente um ano, e agora com as sanções valendo desde agosto, é que a longa jornada de adequação à LGPD é feita em várias etapas, por vezes complexas, e que demandam dedicação e comprometimento de todos os envolvidos. A dificuldade em atingir a conscientização e o engajamento necessários é indicativo de risco e preocupação e, consequentemente, motivo de alerta para os titulares dos dados.

“O maior desafio das empresas é estabelecer quem será responsável pelo programa. É fundamental definir tanto a equipe de trabalho quanto a liderança, a escolha do Encarregado (DPO) está no topo da lista de prioridades. A partir disso, se inicia o mapeamento, o famoso “mapa da mina” ou “mapa dos dados pessoais”, utilizado como base na análise de riscos. Assim é possível recomendar as soluções técnicas que melhor vão atender o cenário de negócios e as necessidades do fluxo de dados pessoais daquela instituição”, ressalta Pinheiro. 

Elaborada com o objetivo de garantir a proteção dos direitos fundamentais de liberdade e de privacidade dos usuários, a legislação foi inspirada no modelo europeu do General Data Protection Regulation (GDPR) e trouxe importantes definições. “Daqui para a frente, devemos presenciar as consequências de quem não está em conformidade, já que falhas nesse sentido atingem em cheio a reputação, prejudicando o status no mercado e entre os clientes e consumidores. O efeito da crise de imagem pode ser muito mais devastador do que a aplicação da multa, ou mesmo o pagamento de algum tipo de indenização no âmbito judicial. Em breve presenciaremos o efeito direto nas relações de negócios, assim como na forma de avaliar a marca e ações financeiras. É um tipo de compliance relacionado diretamente à sustentabilidade e governança. Esta é uma legislação de efeito econômico”, chama atenção Pinheiro.

“Reputação e ética andam de mãos dadas, e refletem os costumes e hábitos de determinado tempo”, alerta Pinheiro. Em uma sociedade digital, onde as relações são baseadas em dados e informações, para ela, surge a cobrança por uma ética digital, que se traduz na prática em uma ética dos dados. “As relações são construídas sobre dados, e estas informações determinam os comportamentos, a ética aplicada ao seu tratamento vai impactar diretamente no seu modelo de confiabilidade, ou seja, na reputação. Pode-se falar então em uma “reputação de dados”, ou “qual a reputação de determinada empresa no uso dos dados que coleta?”, avalia.

De acordo com Samara Schuch, a LGPD busca devolver ao titular do dado o controle sobre os seus dados pessoais (autodeterminação informativa). “Os principais objetivos seriam permitir a tomada de decisão, por parte do titular, sobre quais dados seus podem ou não ser tratados, para quais finalidades, por qual período, incluindo o escopo de compartilhamento com terceiros. A garantia da transparência, prestação de contas e livre acesso, necessidade e adequação na operação, tratamento não discriminatório, responsabilização de agentes que violem as previsões legais, a garantia da segurança, da qualidade e a adoção de ações de prevenção de danos aos titulares dos dados em cada atividade de negócio que trate dados pessoais”, explica. 

Para que haja o cumprimento da nova regulamentação, Pinheiro aponta que, é necessário o dever da transparência, finalidade, adequação, necessidade, livre acesso, qualidade, prevenção, não discriminação, responsabilização e prestação de contas. “É um meio de aprimorar a governança dos dados pessoais pelas empresas, órgãos públicos e demais organizações, num conjunto de melhores práticas que impactam inclusive a imagem e a confiança das instituições nacionais perante o mercado exterior. O objetivo é proteger os direitos fundamentais de liberdade e de privacidade, ou seja, a defesa dos direitos humanos”, pondera.

Às empresas que ainda não se adequaram a lei os principais riscos são operacionais, reputacionais ou legais. Todavia Schuch acredita que, em caso de violação de direitos dos titulares dos dados, os maiores reflexos são legais e/ou reputacionais, principalmente à confiança, à credibilidade e ao valor da marca. “Consideramos que tão importante quanto a evidenciação de conformidade, é a capacidade de demonstrar planejamento, previsibilidade de investimento e implementação, diligência e boa-fé no direcionamento das ações de adequação dentro da capacidade estrutural e financeira de cada negócio”, pontua.

Os riscos de privacidade podem ser identificados, segundo ela, em todos os processos de governança, desde o mapeamento dos dados na operação (verificação de gaps e necessidade de ajustes de processos de negócio), relatórios de risco (preenchidos obrigatoriamente para situações de risco previstas em lei), verificação de conformidade de terceiros que tratam dados pessoais, incidentes de segurança da informação que envolvem dados pessoais, análise de adequação de produtos, serviços, aplicações e sistemas ao Privacy by Design, dentre outras operações diárias.

“Muitas vezes são inerentes à operação e sempre existirão, mas podem e devem ser direcionados a planos de ação que busquem mitigá-los. O mais importante é possuir um controle centralizado dos riscos identificados, para viabilizar a tomada de decisão sobre absorção ou não, provisionamento ou não do risco, bem como direcionar as ações adequadas para tratamento do tema pelas áreas de negócio. Em caso de autuação, a capacidade de demonstrar/evidenciar um bom assessment, controle e tratamento desses riscos, pode atenuar qualquer responsabilização”, explica Schuch.

 

Como irá atuar a ANPD?  

A ANPD (Autoridade Nacional de Proteção de Dados) possui uma série de responsabilidades atribuídas por lei, as quais podem ser consultadas com detalhe no canal de transparência da Autoridade. As principais funções são de fiscalizar o cumprimento da lei, construir cultura de privacidade e proteção de dados no país, emitir regulamentações e diretrizes de interpretação da lei, bem como aplicar sanções ou direcionar ações mitigadoras de danos eventualmente causados aos titulares dos dados pessoais.

As sanções aplicáveis são avaliadas de acordo com a gravidade do incidente, reincidência por parte do controlador dos dados, colaboração, boa-fé, evidenciação de diligência, obtenção de vantagem financeira por meio de potencial violação da lei, dentre outros fatores agravantes e atenuantes. Podem ser, advertência com indicação de prazo para a implementação de medidas de correção; multa de até 2% do faturamento anual do grupo econômico no exercício anterior, com teto de 50 milhões de reais por ato de infração; multa diária com o limite de valor anteriormente mencionado; publicação da infração e seus detalhes em veículos de grande circulação; suspensão do tratamento dos dados pessoais até a regularização da violação; ou eliminação dos dados pessoais tratados de forma irregular.

 

Os movimentos globais e a privacidade dos dados 

Em todo o mundo, são mais de 125 nações com regulamentações deste tipo. As leis aplicadas regular a coleta e o processamento de informações dos usuários, além de elevar a qualidade da proteção desse patrimônio. Na visão de Pinheiro, não é apenas uma questão de estar adequado às normas, é um assunto estratégico que deve ser prioridade da pauta dos gestores de entidades públicas e privadas.

• General Data Protection Regulation, regulamentação que trata da proteção de dados pessoais na União Europeia e que passou a valer desde maio de 2018.
  

• Lei de Privacidade do Consumidor da Califórnia, em vigor desde 2020, que deve estimular o debate e estabelecer os padrões de privacidade para todo o país. Grande avanço para a questão da privacidade dos dados mundial.

• Em 1999, o Chile se tornou o primeiro país da América Latina a dispor de uma lei geral sobre proteção da informação pessoal (16.628/1999), que limita o uso dos dados ao propósito informado no ato da coleta, com exceção de registros tornados públicos.

• Na sequência, em 2000, foi a vez da Argentina (25.326/2000). Regula bases de dados públicas e privadas, estabelecendo como princípio o uso limitado à finalidade para a qual foram obtidos.

• No Japão, a Act on the Protection of Personal Information (APPI) foi criada em 2003 e atualizada doze anos depois, com regras novas aplicadas a partir de 2017.
  

 

O 1º Encontro de LGPD trouxe aos participantes como governar efetivamente os riscos corporativos de privacidade, o conteúdo completo você assista abaixo. Confira também o conteúdo do 2º Encontro de LGPD, clicando aqui.