Mariana Sbaite*
Investir em um programa de privacidade tem sido um ponto importante para as organizações, não somente para cumprir as leis de privacidade vigentes e aplicáveis, bem como para facilitar negociações comerciais.
Mapear dados pessoais, implementar novos processos e documentos, revisar contratos, conscientizar todos os envolvidos em tratamento de dados pessoais são algumas ações essenciais do dia a dia. No entanto, como organizar as ações e evidenciá-las, em caso de auditoria ou fiscalização? Como conhecer os resultados e saber se estamos no caminho correto?
O inciso X, do artigo 6º da LGPD, traz o princípio de responsabilização e prestação de contas, ou seja: “demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas”. E aqui, as métricas serão de muita ajuda!
Mas o que são essas métricas?
Métricas são medidas quantificáveis usadas para analisar o resultado de um processo, ação ou estratégia específica. Essa unidade de avaliação deve ser o mais objetiva possível, demonstrando a realidade do cenário e agregando valor.
Um exemplo, para ilustrar, seria utilizar indicadores-chave de desempenho (KPIs) ao atender às demandas dos titulares de dados pessoais: quantas demandas recebemos por mês? Quantas foram respondidas? Em quanto tempo são respondidas? Quantos titulares ficaram satisfeitos?
Outro cenário pode ser considerado quando da conscientização dos colaboradores sobre o tema programa de privacidade: a meta de conscientização é de 100% até o mês de X.
Após o referido mês, verificaremos: quantos colaboradores foram conscientizados? Qual a porcentagem de presença nos treinamentos? Quantos receberam a cartilha de LGPD? Qual a porcentagem de feedbacks positivos?
Como as métricas ajudam no programa de compliance
O ponto é: sim, estamos nos adequando à Lei, estamos investindo em proteção de dados pessoais, estamos trazendo uma cultura de privacidade para a organização e conseguimos comprovar nossas práticas!
Claro que, realizar a adequação à LGPD, verificar processos, elaborar documentos, contratar especialistas, dentre outros pontos, é fundamental, mas tão essencial quanto é ter evidências e conseguir prestar contas sobre a maturidade do programa de privacidade e da evolução da empresa.
E não somente para efeito de fiscalizações, mas também, de due diligences para a criação de novas relações comerciais, tal como para demonstrar transparência com os titulares de dados pessoais e fortalecer a confiança dos clientes.
Ainda, é salutar compreender que as métricas devem ser adequadas de acordo com o público, com base nos interesses e experiências dos profissionais, bem como nos objetivos e metas da organização.
Leia outros artigos da autora:
O mal compreendido consentimento
A utilização de war room nos incidentes com dados pessoais
O contrato entre Controlador e Operador como forma de boa prática na preservação da privacidade
Mariana Sbaite Gonçalves: Líder do Núcleo de DPO do PG Advogados. Graduada em Direito pela Universidade Católica de Santos – UNISANTOS. MBA em SGI – Sistema de Gestão Integrada (Segurança do Trabalho – OHSAS 18001/Qualidade – I.S.O. 9001/Meio Ambiente – I.S.O. 14001 e Responsabilidade Social). MBA em Data Protection Officer (DPO) – IESB. Pós-Graduada em Direito e Processo do Trabalho (Damásio De Jesus). Pós-Graduada em Advocacia Empresarial (PUC/MINAS).
Pós-Graduada em Direito da Proteção e Uso dos Dados (PUC/Minas). LLM em Proteção de Dados: LGPD e GDPR (FMP e Faculdade de Direito da Universidade de Lisboa). Mestranda em Science in Legal Studies, pela Ambra Univertisity (Orlando/FL). DPO (Data Protection Officer) certificada pela EXIN. Information Security Officer (I.S.O.) certificada pela EXIN. Articulista do Encarregado.org. Coautora do artigo: The ISO 27000 Family and its Applicability in LGPD Adaptation Projects for Small and Medium- Sized Enterprises publicado pela Associação Internacional ISACA (Information Systems Audit e Control Association). Coautora do livro: LGPD e Cartórios – Implementação e Questões Práticas. Coautora do livro: “Mulheres na Tecnologia”. Membro da ANPPD (Associação Nacional dos Profissionais de Privacidade de Dados) e da ANADD (Associação Nacional da Advogadas (os) de Direito Digital).