ESTRUTURANDO A PRIVACIDADE: DIRETRIZES E DESAFIOS SOB A LGPD NO BRASIL
A Lei Geral de Proteção de Dados Pessoais (LGPD) do Brasil, sob a Lei nº 13.709/18, estabelece diretrizes para o tratamento de dados pessoais. Uma das exigências mais significativas, encontrada no artigo 50 da LGPD, é a implementação de práticas de governança e boas práticas por parte dos agentes de tratamento de dados, incluindo tanto os controladores quanto os operadores. Este mandato legal abrange a criação de padrões técnicos, iniciativas educativas, supervisão rigorosa e medidas para minimizar os riscos associados ao tratamento de dados pessoais.
Aprofundando-se na seção 2 do mesmo artigo, a lei exige especificamente dos controladores a implementação de um programa de governança em privacidade. Este programa deve atender a requisitos essenciais, tais como:
(a) uma demonstração explícita do compromisso do controlador com a adoção de políticas e práticas que salvaguardem os dados pessoais;
(b) a inclusão de todos os dados pessoais sob seu domínio;
(c) adequação às dimensões e especificidades das operações da entidade e à sensibilidade dos dados processados;
(d) o estabelecimento de políticas e medidas de segurança baseadas em avaliações de risco;
(e) transparência para fomentar a confiança dos titulares dos dados;
(f) integração com a estrutura de governança corporativa, incluindo supervisão interna e externa;
(g) elaboração de um plano para responder e remediar incidentes de privacidade;
(h) atualização e aprimoramento contínuos, seguindo, por exemplo, o ciclo PDCA (planejar, fazer, verificar, agir).
Entretanto, mais do que cumprir uma obrigação legal, o programa de governança em privacidade visa incutir uma cultura robusta de proteção de dados dentro da organização. Isso implica em demonstrar para a sociedade que a instituição e sua alta administração estão verdadeiramente comprometidas com a privacidade, alinhando-se aos princípios de boa-fé, transparência, responsabilização e prestação de contas, conforme estipulado no art. 6º da LGPD.
O primeiro passo para implementar esse programa é a formulação de uma declaração de missão ou visão relativa à privacidade. Esta declaração deve comunicar de forma sucinta e clara o compromisso da organização com a privacidade. Ela deve servir como um guia e um elemento-chave para o estabelecimento de uma base sólida para um programa de privacidade que atenda às realidades e expectativas da organização, dos titulares de dados e de todas as partes interessadas.
A declaração de missão deve refletir o motivo pelo qual a privacidade é um valor fundamental para a organização, definindo sua postura em relação a este tema essencial. Esta declaração deve ser breve, clara e facilmente compreensível, descrevendo o propósito e os ideais da organização.
Em outras palavras, a declaração de missão deve articular a aspiração da organização em relação à privacidade. Ela deve estabelecer um objetivo claro, a ser alcançado através de ações concretas, que visem construir uma relação de confiança com os titulares dos dados pessoais.
Por fim, é importante destacar que o programa de governança em privacidade é igualmente necessário para entidades do setor público. A declaração da missão de privacidade, que pode ser parte integrante da Política de Privacidade, é vital para fomentar uma cultura de privacidade e proteção de dados no setor público. Somente assim, o direito fundamental à proteção de dados pessoais, agora assegurado na Constituição Brasileira pela Emenda Constitucional nº 115 de 2022, será efetivamente respeitado em todas as organizações, sejam elas públicas ou privadas.
