Opinião & Análise

LGPD

Implementando uma governança de proteção de dados pessoais sem uma ANPD

Ausência da ANPD traz desafios aos profissionais de privacidade que lideram programas de conformidade em proteção de dados

lgpd sem anpd ?
Crédito: Pexels

Implementar em uma organização uma governança de proteção de dados pessoais sem uma Autoridade Nacional de Proteção de Dados Pessoais (ANPD) em pleno funcionamento tem se mostrado desafio importante para os profissionais envolvidos com os projetos de adequação e conformidade.

Primeiro, porque existem inúmeros pontos da lei que precisam de regulamentação, a exemplo da delineação dos limites do instituto jurídico do legítimo interesse, que é uma das hipóteses legais de tratamento de dados pessoais, ou qual deveriam ser as características do encarregado de dados da organização, se a incumbência deveria ser atribuída a uma pessoa natural singular, desempenhada por um grupo de pessoas ou mesmo passível de ser destinada a uma empresa terceira especializada.

Diante dessa lacuna institucional, e, portanto, normativa, andam bem os profissionais que manejam adequadamente seus programas de conformidade tendo como norte os princípios da cautela, da transparência e da responsabilidade.

Sob a perspectiva do titular dos dados, ou seja, eu e você, espera-se que doravante empresas ou organizações de qualquer natureza apresentem amadurecimento a respeito da forma como lidam com as informações que nos identificam. Ao tratar dados pessoais, a organização precisa estar ciente de que sob seu controle encontram-se direitos fundamentais das pessoas, conexos a sua personalidade, e cuja violação pode provocar danos irreparáveis de ordem material e imaterial. Assim, uma governança de dados madura terá em sua estratégia o DNA da cautela em seus procedimentos e técnicas, algo possível apenas quando os encarregados pelo programa buscam de forma genuína estabelecer uma relação de empatia com os titulares.

Sob o signo da transparência, compete às organizações que desejem trilhar uma governança robusta conferir aos titulares dos dados a garantia de informações claras, precisas e facilmente acessíveis sobre a forma e as finalidades do tratamento. Isso requer dos profissionais envolvidos a capacidade de elaborar políticas claras, de fácil compreensão, sem contradições e coerentes, como forma de primar pela racionalidade do fluxo.

Envolvendo toda a concepção da governança está o meta-princípio da responsabilidade, ou seja, a política de dados pessoais da organização precisa evidenciar o fato de que a organização reconhece o seu papel, que o tratamento se dá sob contextos específicos e que há uma relação de diálogo contínuo com os titulares.

É claro, seguem-se a esses princípios outros, com especial ênfase a se dar aos princípios da finalidade, da necessidade e da adequação, ou seja, todo tratamento de dados pessoais deve se dar à luz de um propósito legítimo, especificado e informado ao titular. Ao mesmo tempo, o princípio da necessidade estabelece que a coleta das informações será na medida do necessário para se atingir à finalidade informada, requerendo das organizações uma postura de contenção e minimização.

Isso se dá não apenas como medida de proteção do titular, mas também como forma de reduzir os riscos à organização que passará a compreender melhor, findo o processo, que informações de fato fazem sentido. Pelo princípio da adequação busca-se estabelecer uma relação de proporcionalidade entre o tratamento do dado e a finalidade almejada. Essa compatibilidade deve ser vista com muita sensibilidade pela equipe envolvida na formulação da política e da governança de dados pessoais, demandando conhecimento acerca dos objetivos sociais da entidade e o contexto das linhas de tratamento de dados.

Além das molduras regulamentares acima descritas, uma governança de dados pessoais num contexto de ausência da ANPD precisa dialogar e estar aberta ao intercâmbio de boas práticas estrangeiras ou setoriais. Destacamos a grande quantidade de documentos orientativos editados no âmbito do sistema europeu de proteção de dados em nível comunitário, a exemplo das Guidelines on Data Protection Officers (‘DPOs’) da European Data Protection Board (EDPB), e, em nível nacional, as orientações expedidas pela Autoridade de Proteção de Dados Francesa (CNIL), o Information Commissioner’s Office (ICO), do Reino Unido, e até mesmo órgãos não governamentais como a Associação Internacional de Profissionais de Privacidade (IAPP).

Sob uma perspectiva interna, a implementação de uma estrutura de governança de dados pessoais requer elementos essenciais como é o caso de pessoas conscientizadas e engajadas. Reside aí a necessidade de capacitação via palestras, cursos e webinares e atualização periódica. Quando falamos de proteção de dados pessoais precisamos compreender que todas as pessoas da organização possuem sua parcela de responsabilidade.

Um processo de conformidade somente pode ser implementado e sua adequação monitorada com êxito caso a liderança esteja envolvida e reconheça a relevância do assunto, garantindo aos encarregados a autonomia necessária e as condições materiais para levar adiante o seu papel. Aqui é importante destacar que a atribuição de responsabilidades funcionais internas, de preferência com equipes multidisciplinares, dentro das grandes linhas de tratamento de dados pessoais da organização, passa a ser condição fundamental para o êxito do processo.

Outro ponto de atenção face a inexistência da ANPD é a questão da segurança da informação. Uma governança de proteção de dados possui como um de seus pilares a segurança dos dados. A LGPD usa a dicção “medidas técnicas e administrativas aptas a proteger os dados pessoais”. É fato que o grau de maturidade e também as condições financeiras das organizações variam muito. Uma ANPD atuante poderia definir critérios objetivos que preenchessem a norma aberta acima descrita.

Aqui, compete ao encarregado e aos demais envolvidos no programa de implementação, à luz dos princípios da cautela e da responsabilidade, lançar mão do uso das técnicas disponíveis no mercado diante da realidade e do contexto em que ocorre o tratamento de dados. É fato que o rigor recai sobre as organizações cujos dados tratados são de natureza sensível, a exemplo de informações de saúde, e também sobre aquelas que lidam com volume grande de informações. Independentemente desses elementos, já são acessíveis no mercado serviços de conexão e de aplicação dentro dos padrões e regulamentações de segurança da informação globalmente aceitáveis, a exemplo dos certificados da família ISO 27001.

Na forma do artigo 50 da LGPD, os agentes de tratamento de dados pessoais possuem amplo campo para formulação de regras de boas práticas e de governança que estabeleçam as condições de organização, o regime de funcionamento, os procedimentos, incluindo reclamações e petições de titulares, as normas de segurança, os padrões técnicos, as obrigações específicas para os diversos envolvidos no tratamento, as ações educativas, os mecanismos internos de supervisão e de mitigação de riscos e outros aspectos relacionados ao tratamento de dados pessoais.

Esse é o papel que profissionais de privacidade têm desempenhado no âmbito de grupos como o Grupo Temático de Trabalho de Governança de Dados da Brasscom ou o papel que a Abemd tem exercido na orientação de suas associadas sobre melhores práticas de cadastramento e marketing direto. Esse incentivo à autorregulação propiciado pela LGPD é especialmente importante no atual momento de ausência da ANPD. A cristalização de boas práticas no mercado pode servir de inspiração aos futuros Conselheiros Diretores e acelerar o processo de regulamentação da Lei.

Contudo, existem desafios de regulamentação da LGPD que são urgentes como é o caso do preenchimento do conteúdo do legítimo interesse, as características do encarregado, a forma como os titulares se legitimarão para poderem exercitar seus direitos face aos controladores e também colisões aparente de normas a respeito da guarda de dados pessoais, como é o caso de dados pessoais de natureza trabalhista e previdenciária e de natureza fiscal.

Por fim, um ponto que tem chamado atenção é o desafio da interação com os titulares. Não é razoável esperar que decorreria do espírito da LGPD transformar os controladores em guichês de atendimento em permanente plantão para atender os requerimentos dos titulares.

Há soluções para automatizar essas obrigações imputadas aos controladores, com softwares que permitem responder com rapidez pedidos, como, por exemplo, a confirmação da existência de tratamento, a correção de informações ou mesmo a eliminação dos dados. Contudo, nem todas as organizações estão em condições de avançar imediatamente num processo de automação ou sequer possuem perfil para tanto. Aqui, é a regulamentação futura que precisará guardar cautela e proporcionalidade, conformando-se sempre ao caso concreto enfrentado.

A ausência da ANPD funcional e operante traz desafios aos profissionais de privacidade que lideram programas de conformidade em proteção de dados pessoais nas organizações.

Enquanto a institucionalização do sistema de proteção de dados pessoais brasileiro não é concluída, será papel desses profissionais, vinculados às disposições em vigor da LGPD, erigirem arquiteturas de dados pessoais orientadas pelos princípios da cautela, da transparência e da responsabilidade. Enquanto amadurecem suas governanças, esses profissionais precisam zelar para que todo o tratamento de dados se dê em consonância estrita, na medida do possível, com os princípios intra legem da finalidade, necessidade e adequação, dentre outros.

Ao mesmo tempo, o intercambio de boas práticas, internacionais e locais, será diferencial relevante para aqueles profissionais que estejam abertos ao diálogo e à participação coletiva. A conclusão do processo de formação da ANPD reduzirá a insegurança jurídica, especialmente num contexto em que seu Conselho Diretor valorize as práticas que vêm sendo intensamente trabalhadas.


O voto de despedida do ministro Celso de Mello no STF e a mudança de regimento interno da Corte envolvendo julgamentos da Lava Jato são os assuntos discutidos no episódio 38 do podcast Sem Precedentes. Ouça:

 


Cadastre-se e leia 10 matérias/mês de graça e receba conteúdo especializado

Cadastro Gratuito