LGPDArtigosBlog

[LGPD] Boas Práticas de Governança em Privacidade e Proteção de Dados

A Lei Geral de Proteção de Dados (LGPD) traz à tona a importância de adoção de boas práticas de governança em privacidade e proteção de dados pessoais.

O artigo 46 da lei prevê que os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas para proteção dos dados pessoais de: i) acessos não autorizados; ii) situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.

Assim como a adoção reiterada e demonstrada de mecanismos e procedimentos internos capazes de minimizar o dano, voltados ao tratamento seguro e adequado de dados (artigo 52, §1º, VII), em consonância com o disposto no inciso II do § 2º do art. 48 desta Lei.

O parágrafo 2º do artigo 46 da LGPD afirma que essas medidas deverão ser observadas desde a fase de concepção do produto ou do serviço até a sua execução.

Já o artigo 49 da lei, prevê que os sistemas utilizados para o tratamento de dados pessoais devem ser estruturados de forma a atender: aos requisitos de segurança, aos padrões de boas práticas e de governança e aos princípios gerais previstos na LGPD e às demais normas regulamentares.

Mas afinal, quais seriam essas boas práticas?

A LGPD traz um referencial importante, sem, porém, apresentar um manual exato do que a organização deve fazer para demonstrar que atende aos requisitos da lei.

O artigo 50 da lei estabelece que os controladores e operadores poderão formular regras de boas práticas e de governança que estabeleçam:

a) as condições de organização, o regime de funcionamento, os procedimentos, incluindo reclamações e petições de titulares,
b) as normas de segurança e os padrões técnicos,
c) as obrigações específicas para os diversos envolvidos no tratamento,
d) as ações educativas,
e) os mecanismos internos de supervisão e de mitigação de riscos e outros aspectos relacionados ao tratamento de dados pessoais.

Também se extrai da lei que ao se estabelecer regras de boas práticas, o controlador e o operador devem levar em consideração, em relação ao tratamento dos dados: a natureza, o escopo e a finalidade, além dos riscos e benefícios decorrentes do tratamento dos dados.

E ainda, o controlador precisará implementar um programa de governança em privacidade que, no mínimo:

  1. demonstre o comprometimento do controlador em adotar processos e políticas internas que assegurem o cumprimento, de forma abrangente, de normas e boas práticas relativas à proteção de dados pessoais;
  2. seja aplicável a todo o conjunto de dados pessoais que estejam sob seu controle, independentemente do modo como se realizou sua coleta;
  3. seja adaptado à estrutura, à escala e ao volume de suas operações, bem como à sensibilidade dos dados tratados;
  4. estabeleça políticas e salvaguardas adequadas com base em processo de avaliação sistemática de impactos e riscos à privacidade;
  5. tenha o objetivo de estabelecer relação de confiança com o titular, por meio de atuação transparente e que assegure mecanismos de participação do titular;
  6. esteja integrado a sua estrutura geral de governança e estabeleça e aplique mecanismos de supervisão internos e externos;
  7. conte com planos de resposta a incidentes e remediação; e
  8. seja atualizado constantemente com base em informações obtidas a partir de monitoramento contínuo e avaliações periódicas;

Para completar, segundo Tarcísio Teixeira:

Como exemplo de boas práticas os agentes poderão adotar política de privacidade interna, instituir canais de denúncia para a proteção de dados, promover ações educativas e treinamentos, criar manuais para rotina de vazamento de dados, planos de vazamento de dados, de forma a engajar todos os setores de uma empresa para a política de proteção de dados pessoais. [1]

Também esclarece a Dra. Patrícia Peck que:

A instituição de medidas e regras de boas práticas e de governança é essencial para que todos os requisitos necessários à proteção de dados pessoais sejam efetivados.

Conforme os artigos 40,41,42 e 43, as medidas de boas práticas envolvem um sistema amplo e complexo de relações e previsões como instituição de mecanismo de educação e prevenção em face da segurança da informação, atuação de organismo de certificação e treinamento de equipes junto à atuação das autoridades supervisoras[2].

Como se pode extrair será imprescindível a adoção de boas práticas de governança em privacidade e proteção de dados pessoais para adoção de um programa de adequação à LGPD.


[1] Lei Geral de Proteção de Dados Pessoais: Comentada artigo por artigo/Tarcísio Teixeira; Ruth Maria Guerreiro da Fonseca Armelin – Salvador: Editora JusPodium, 2019.

[2] Proteção de Dados Pessoais: comentários à Lei n. 13.709/2018 (LGPD) / Patrícia Peck Pinheiro. – São Paulo: Saraiva Educação.2018

Botão Voltar ao topo