Fabíola Grimaldi*
A Lei Geral de Proteção de Dados não é uma norma seca com diretrizes a serem seguidas como qualquer outra lei. Ela é bem diferentona, no bom sentido é claro. Afinal, a LGPD traz uma seção completa sobre boas práticas e governança.
Desta forma, a LGPD, em seu artigo 50, incentiva as organizações à criação de sistema de governança em privacidade e proteção de dados. Os procedimentos e processos internos asseguram o cumprimento e continuidade da lei voltada para proteção de dados e prevenção de riscos.
O que diz o artigo 50 da LGPD?
Os controladores e operadores, no âmbito de suas competências, pelo tratamento de dados pessoais, individualmente ou por meio de associações, poderão formular regras de boas práticas e de governança que estabeleçam as condições de organização, o regime de funcionamento, os procedimentos, incluindo reclamações e petições de titulares, as normas de segurança, os padrões técnicos, as obrigações específicas para os diversos envolvidos no tratamento, as ações educativas, os mecanismos internos de supervisão e de mitigação de riscos e outros aspectos relacionados ao tratamento de dados pessoais.
Desta forma, a conformidade da LGPD não se atinge somente com a letra da lei, como falamos no mundo jurídico. A continuidade da LGPD e de sua adequação se dá, também, pela adoção de uma gestão contínua de monitoramento e avaliações periódicas pelas organizações.
Ou seja, a governança e monitoramento devem ser implantadas, não porque se trata de uma obrigação da normativa. Mas sim, porque dão vida e continuidade para o sistema de gestão de privacidade e proteção de dados dentro das organizações, o que aqui, para nós, é uma tarefa complexa.
Neste contexto, resta claro que é imprescindível a continuidade de todo trabalho da implementação da LGPD com a efetiva rodagem da governança da normativa. Desta forma, o objeto deste artigo é trazer a aplicabilidade de como manter a LGPD viva dentro da rotina empresarial.
O monitoramento contínuo pelas empresas que coletam e usam informações pessoais entra no conceito de responsabilidade demonstrável (accountability and compliant). Definição na qual a organização transparece comprometimento com sua responsabilidade através de procedimentos, políticas e mecanismos de desempenho para garantir o gerenciamento de dados pessoais.
Então, como garantir a continuidade da LGPD dentro das organizações?
1 – Auditorias Internas e Externas
Primeiramente, faz-se necessário entender que os mecanismos de supervisão internos e externos são importantes para manter a adequação à Lei Geral de Proteção de Dados. Esse é o primeiro caminho para garantir a vida ao programa de privacidade implantado.
A auditoria é uma ferramenta fundamental na gestão da proteção de dados e privacidade nas empresas, pois se trata de uma ferramenta para monitorar e verificar a eficácia da adequação e continuidade. Assim como, ela é uma parte essencial para avaliações de conformidade da LGPD na cadeia de fornecedores.
O programa de auditoria para Lei Geral de Proteção de Dados dependerá da complexidade de análise e verificação que a organização necessita em seu processo ou sistema implementado. Desta forma, as auditorias podem ter uma variedade de objetivos a depender da necessidade de monitoramento e atualização do programa de privacidade.
Ao serem submetidas periodicamente às verificações internas e externas, as organizações gerenciam o cumprimento dos seus procedimentos, políticas e requisitos exigidos pela normativa de proteção de dados.
2 – Due Diligence de Terceiros
Outro ponto fundamental para analisar e monitorar um sistema de gestão de proteção e dados são os mecanismos de supervisão. O controlador deve sujeitar os operadores envolvidos no tratamento de dados ao monitoramento contínuo, a fim de garantir a observância das suas instruções e do cumprimento e continuidade da LGPD.
Afinal, a LGPD estabelece a regra, com raras exceções, da responsabilização solidária entre os agentes de tratamento dos dados pessoais.
Ademais, ao delegar a atividade de tratamento de dados pessoais a terceiros, não se retira a responsabilidade civil do controlador.
A decisão de terceirizar a atividade de tratamento dos dados pessoais gera uma obrigação adicional ao controlador. Ou seja, a organização passa a responder pela contratação do terceiro, fato esse que demanda a efetividade de uma supervisão e monitoramento das ações do terceiro através das Due Diligences.
3 – Definir Indicadores de Monitoramento
A exigência legal pelo monitoramento e continuidade do sistema de gestão de proteção de dados está descrita no artigo 50, §2º, I, “h”. Assim, para alcançar gestão eficiente da LGPD e mitigar riscos, é extremamente importante que a organização eleja indicadores (KPIs) para aferição periódica das rotinas de privacidade.
Afinal, já diz o ditado, aquilo que não é medido não pode ser gerido. As métricas são os Maestros para o monitoramento, continuidade, tomadas de decisões e avanço da maturidade do sistema de gestão de proteção de dados da organização.
A partir da construção das métricas, será possível avaliar a eficácia e melhoria contínua dos procedimentos e políticas de privacidade para proteção de dados e mitigação dos riscos.
4 – Melhoria contínua
Por fim, a melhoria contínua ajuda ao sistema de gestão de proteção de dados a identificar falhas nos processos, com foco especial em identificar a melhor forma de eliminar a causa raiz dos problemas.
A melhoria contínua trata-se de uma análise constante para aperfeiçoar os processos que envolvem tratamento dos dados pessoais. Seu principal objetivo é aumentar a eficiência e prevenir não conformidades.
Essa etapa é fundamental para realizar análise crítica do sistema de gestão de proteção de dados por ser um processo, cujo objetivo é o monitoramento, medição, análise e avaliação, indicando possíveis ações corretivas e preventivas para o acompanhamento estratégico da garantia de privacidade e proteção de dados.
Como se vê, a adequação da Lei Geral de Proteção de Dados deve ser acompanhada do botão play de continuidade da LGPD. Assim, se faz necessário unir a adequação a um conjunto de esforços para manter o cumprimento da norma legal.
A mera observância da lei não atinge a conformidade e continuidade da proteção dos dados pessoais. É necessário implantar a governança baseada em monitoramento e melhoria contínua visando proteger o direito fundamental constitucional de proteção aos dados pessoais dos indivíduos.
Leia outros artigos da autora:
As campanhas de e-mail marketing com aplicação da LGPD
O passo a passo para elaborar Relatório de Impacto à Proteção de Dados – RIPD
Fabíola Grimaldi: Advogada e gestora especializada em consultoria empresarial, digital e proteção de dados para empresas, negócios digitais, e-commerce e Startups. Fundadora do portal de cursos direitotech.com.br