Impacto da LGPD no ambiente corporativo na adoção de boas práticas e governança

A Lei Geral de Proteção de Dados (LGPD)[1] em seu capítulo VII, seção II, denominado “Das Boas Práticas e da Governança”, prevê nos artigos 50 e 51 a forma a ser adotada pelas entidades no estabelecimento de regras fundamentais para proteção de dados.

A formulação de regras de boas práticas não tem caráter mandatório, contudo a Lei Geral de Proteção de Dados (LGPD) nitidamente contribui com o estímulo ao estabelecimento de boas práticas e de um programa de governança em matéria de proteção de dados.

O caput do art. 50[2] estabelece em rol claramente exemplificativo conteúdo essencial visando as boas práticas e governança.

O parágrafo 1º do art. 50 dispõe que “ao estabelecer regras de boas práticas, o controlador e o operador levarão em consideração, em relação ao tratamento e aos dados, a natureza, o escopo, a finalidade e a probabilidade e a gravidade dos riscos e dos benefícios decorrentes de tratamento de dados do titular”.

São basilares para o estabelecimento de um programa de governança três princípios informadores para seu conteúdo: a boa-fé, a responsabilização e a prestação de contas.

A governança corporativa visa à alocação das melhores práticas dentro da empresa de modo a buscar constantemente a conformidade com as normas vigentes.

Nos termos do art. 50 da Lei Geral de Proteção de Dados (LGPD) o controlador poderá implementar programa de governança em privacidade que, no mínimo (inciso I):

a) demonstre o comprometimento do controlador em adotar processos e políticas internas que assegurem o cumprimento, de forma abrangente, de normas e boas práticas relativas à proteção de dados pessoais;

b) seja aplicável a todo o conjunto de dados pessoais que estejam sob seu controle, independentemente do modo como se realizou sua coleta;

c) seja adaptado à estrutura, à escala e ao volume de suas operações, bem como à sensibilidade dos dados tratados;

d) estabeleça políticas e salvaguardas adequadas com base em processo de avaliação sistemática de impactos e riscos à privacidade;

e) tenha o objetivo de estabelecer relação de confiança com o titular, por meio de atuação transparente e que assegure mecanismos de participação do titular;

f) esteja integrado a sua estrutura geral de governança e estabeleça e aplique mecanismos de supervisão internos e externos;

g) conte com planos de resposta a incidentes e remediação; e

h) seja atualizado constantemente com base em informações obtidas a partir de monitoramento contínuo e avaliações periódicas.

De acordo com o previsto no inciso II, do art. 50 da LGPD, cabe ao controlador demonstrar a efetividade do programa de governança em privacidade.

Boas práticas

As regras de boas práticas e de governança deverão ser publicadas e atualizadas periodicamente e poderão ser reconhecidas e divulgadas pela autoridade nacional, conforme previsão legal da LGPD em seu parágrafo 3º do art. 50.

A implementação de um efetivo programa de governança em privacidade de dados pessoais traz impacto altamente positivo no ambiente corporativo, o que denota a preocupação da entidade em criar um sistema que resguarde os interesses dos titulares, que tome medidas de prevenção que mitigue riscos e que garanta a devida transparência através de prestação de contas aos titulares e à autoridade nacional, no sentido de trazer “accountability ao tratamento de dados pessoais.

Boas práticas podem se resumir a um conjunto de ações coordenadas em métodos e procedimentos que visam assegurar a operação adequada do sistema de proteção de dados e privacidade defendido pela LGPD, conferindo os direitos aos titulares, e previsibilidade aos controladores e operadores. É por meio das boas práticas que as expectativas entre o transmissor e o receptor da informação/dado são niveladas (DIZ e SOLER[3], 2020).

Dessa forma, podemos inferir que a adoção de um programa estruturado de governança além de atender ao recomendado pela LGPD, traz um diferencial para a empresa que já adota e pratica governança em suas corporações, demonstrando a preocupação da entidade na manutenção da conformidade com as suas políticas.

É fundamental no exercício das boas práticas pelas organizações a adoção de métodos de conscientização de todos os seus membros das novas práticas e da importância da privacidade e proteção de dados.

Portanto, a conscientização de todos é fator determinante de sucesso para atingimento dos objetivos estabelecidos no programa de governança e privacidade da organização.

Em suma, princípios básicos são transformados em indicações objetivas quando da adoção de boas práticas e governança, visando a continuidade dos negócios de modo que as medidas tomadas para a manutenção da conformidade com as regras estabelecidas possam ser medidas para atender aos interesses dos titulares dos dados e seus players.

Nesse sentido, ao demonstrar respeito às regras no tratamento de dados pessoais a corporação otimiza o seu valor econômico obtendo repercussão de alto impacto positivo perante o mercado, como resultado, ganha confiança e credibilidade ante clientes, parceiros, fornecedores, colaboradores e quando for o caso, de acionistas e investidores.

Notas de fim

[1] Lei Geral de Proteção de Dados. Disponível em: <http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm>. Acesso em: 09.02.2021.

[2] Art. 50. Os controladores e operadores, no âmbito de suas competências, pelo tratamento de dados pessoais, individualmente ou por meio de associações, poderão formular regras de boas práticas e de governança que estabeleçam as condições de organização, o regime de funcionamento, os procedimentos, incluindo reclamações e petições de titulares, as normas de segurança, os padrões técnicos, as obrigações específicas para os diversos envolvidos no tratamento, as ações educativas, os mecanismos internos de supervisão e de mitigação de riscos e outros aspectos relacionados ao tratamento de dados pessoais.

[3] MONACO, Gustavo Ferraz de Campos; MARTINS, Amanda Cunha e Mello Smith; CAMARGO, Solano (Orgs.). Lei Geral de Proteção de Dados: Ensaios e Controvérsias da Lei 13.709/18. São Paulo: Quartier Latin, 2020, p. 414.