No âmbito da Lei Geral de Proteção de Dados (LGPD), o Programa de Governança em Privacidade (PGP) é uma boa prática consagrada no art. 50 § 2º, que aborda as características mínimas necessárias para esse programa e a necessidade de demonstrar sua efetividade. O PGP deve englobar requisitos de privacidade e segurança da informação com o objetivo de definir como os dados pessoais são tratados dentro de uma instituição, durante todo o seu ciclo de vida – processo que deve descrever o caminho dos dados pessoais dentro da instituição, desde a coleta até a sua eliminação, nos termos da LGPD.
Os requisitos mínimos de um PGP são as seguintes:
(I) demonstrar o comprometimento do controlador em adotar processos e políticas internas que assegurem o cumprimento, de forma abrangente, de normas e boas práticas relativas à proteção de dados pessoais;
(ii) ser aplicável a todo o conjunto de dados pessoais que estejam sob seu controle, independentemente do modo como se realizou sua coleta;
(iii) ser adaptado à estrutura, à escala e ao volume de suas operações, bem como à sensibilidade dos dados tratados;
(iv) estabelecer políticas e salvaguardas adequadas com base em processo de avaliação sistemática de impactos e riscos à privacidade;
(v) ter o objetivo de estabelecer relação de confiança com o titular, por meio de atuação transparente e que assegure mecanismos de participação do titular;
(vi) estar integrado a sua estrutura geral de governança e estabelecer e aplicar mecanismos de supervisão internos e externos;
(vii) contar com planos de resposta a incidentes e remediação;
(viii) ser atualizado constantemente com base em informações obtidas a partir de monitoramento contínuo e avaliações periódicas;
(ix) permitir que o controlador demonstre a efetividade do PGP quando apropriado e, em especial, a pedido da autoridade nacional ou de outra entidade responsável por promover o cumprimento de boas práticas ou códigos de conduta, os quais, de forma independente, promovam o cumprimento da LGPD.
Mas como construir um PGP efetivo, com esses requisitos, para atendimento à legislação e, principalmente, para garantir a privacidade e proteção dos dados pessoais tratados pelos agentes de tratamento?
Atores envolvidos
A Secretaria de Governo Digital do Ministério da Economia (SGD/ME) editou um Guia para orientar a elaboração de um Programa de Governança em Privacidade, definindo características e um processo para elaboração, que pode ser utilizado como referência para esse árduo trabalho. Neste texto, abordo os principais pontos desse guia.
Inicialmente, cabe destacar os atores envolvidos na elaboração do PGP. Naturalmente, o principal ator é o titular dos dados, que deve ser o foco principal do PGP, para que ele tenha seus dados pessoais adequadamente tratados e protegidos. O controlador, é o agente de tratamento que toma as decisões sobre como será feito o tratamento dos dados pessoais, durante todo o ciclo de vida desses dados. Assim, ele é o responsável principal pela implementação de um PGP efetivo. Porém, o controlador pode contar com a ajuda de um operador, que fará o tratamento dos dados em nome do controlador, seguindo estritamente suas orientações. Temos ainda o encarregado, que é o principal canal de comunicação entre o controlador, o titular e a Autoridade Nacional de Proteção de Dados, se tornando, assim, fundamental na construção do PGP. E, por fim, temos a ANPD, que tem a missão de fiscalizar, orientar e regular do tratamento de dados pessoais no território nacional.
Etapas para elaboração do PGP
Um programa é diferente de um projeto. Segundo o Project Management Institute (PMI), um projeto é um “esforço temporário empreendido para criar um produto, serviço ou resultado exclusivo”. Ou seja, é um processo que tem início, meio e fim, terminando quando o produto, serviço ou resultado exclusive estiver finalizado. Já um programa pode ser definido como um conjunto de projetos coordenados entre si de forma articulada e dinâmica e que visam objetivos comuns. Ou seja, um programa pode conter vários projetos para se atingir o objetivo proposto. No caso do PGP, o programa tem como objetivo o estabelecimento de uma metodologia para influenciar permanentemente os processos de tomada de decisão com base em riscos e melhorias contínuas na maturidade em relação à privacidade e proteção de dados pessoais.
O guia da SGD/ME desenvolveu uma metodologia baseada no ciclo PDCA (plan, do, check e act) e em várias normas ABNT. Dessa forma, a metodologia proposta possui três etapas, cada qual composta de várias atividades: (i) iniciação e planejamento; (ii) construção e execução; e (iii) monitoramento.
Etapa 1: Iniciação e Planejamento
O objetivo desta fase é identificar e compreender as informações e dados relevantes para a elaboração do PGP. As atividades dessa etapa são:
1. Designar o Encarregado pelo tratamento de dados pessoais, de acordo com o previsto no artigo 5º, inciso VII da LGPD, com a divulgação no site das informações de contato e seguindo as orientações tratadas em meu artigo “O encarregado de dados no setor público”;
2. Alinhar as expectativas com a Alta Administração da instituição, priorizando as ações, definindo uma estratégica de privacidade para a instituição e indicando projetos e unidades organizacionais que devem ser envolvidas no processo de criação do PGP. Assim, haverá um patrocinador forte e comprometido com a importância do programa, para que se tenha uma cultura de proteção de dados na instituição;
3. Analisar a maturidade da instituição, verificando práticas e procedimentos já adotados na instituição em relação à privacidade e proteção de dados, incluindo rastreabilidade dos dados, medidas técnicas e elaboração de políticas. A SGD/ME disponibiliza uma ferramenta para se medir essa maturidade, que pode ser obtida gratuitamente no site gov.br. Essa fase é importante pois para que se tenha sucesso na jornada de adequação é necessário identificar os gaps e traçar um plano de ação para se alcançar o nível de maturidade desejado;
4. Analisar as medidas de segurança implantadas e necessárias, com o objetivo de aprimorar as medidas tecnológicas e administrativas necessárias para a proteção dos dados pessoais;
5. Definir uma estrutura organizacional para Governança e Gestão da Proteção de Dados Pessoais, para dar suporte às atividades do encarregado de dados, definindo competências e recursos humanos, materiais, financeiros e de infraestrutura;
6. Realizar o inventário de dados pessoais, identificando, para cada tratamento realizado pelo agente de tratamento, no mínimo, o serviço/processo/sistema, os agentes de tratamento e o encarregado, a finalidade do tratamento, categorias de dados pessoais e de dados pessoais sensíveis, sua descrição, tempo e local de armazenamento, categorias dos titulares de dados, se há compartilhamento dos dados pessoais, medidas de segurança para garantir a privacidade e se há transferência internacional de dados. Esse inventário deve ser constantemente atualizado, para refletir a realidade da instituição;
7. Identificar contratos que envolvam dados pessoais, relacionando serviços e contratos, para possível adequação à LGPD.
Etapa 2: Construção e Execução
O objetivo desta fase é construir e implantar na instituição o Programa de Governança em Privacidade. As atividades dessa etapa são:
1. Elaborar Políticas e Práticas para proteção da privacidade do titular que têm como pré-requisito a identificação de todos os dados pessoais tratados pela instituição (finalização do inventário de dados), de forma a criar políticas adequadas e práticas administrativas e tecnológicas para proteção dos dados pessoais. Deve-se, também, definir papéis dos servidores e funcionários nas diversas fases do ciclo de vida dos dados dentro da instituição, desde a coleta até a eliminação;
2. Implantar uma cultura de proteção de dados e privacidade desde a concepção, que envolve 7 princípios, já tratados em outros artigos: (i) proativo, e não reativo; preventivo, e não corretivo; (ii) privacidade por padrão; (iii) privacidade incorporada ao projeto; (iv) funcionalidade total; (v) segurança ponta a ponta – proteção do ciclo de vida dos dados; (vi) visibilidade e transparência; e (vii) respeito pela privacidade do usuário.
Elaborar o Relatório de Impacto à Proteção de Dados Pessoais (RIPD), – também já tratado em outro artigo – um instrumento valioso que demonstra que a instituição está agindo com boa-fé e em conformidade com a LGPD;
3. Verificar as medidas e a Política de Segurança da Informação e criar a Política de Privacidade, incluindo se não dados pessoais em excesso (princípio da minimização de dados), eficiência dos controles de segurança. Deve-se, também, criar ou atualizar a Política de Segurança da Informação e a Política de Privacidade, incluindo o Termo de uso, primando pelos princípios previstos no art. 6º da LGPD: finalidade, adequação, necessidade, livre acesso, qualidade dos dados, transparência, segurança, prevenção, não discriminação e responsabilização e prestação de contas;
4. Adequar cláusulas contratuais, para atendimento à LGPD em contratos que envolvam o tratamento de dados pessoais, com o cuidado para definir claramente papéis e responsabilidades e necessidade de atendimento às medidas técnicas e administrativas necessárias para a proteção dos dados pessoais;
5. Elaborar o Termo de Uso, que reflita, de modo claro e preciso, as finalidades de coleta, uso, armazenamento, tratamento e proteção dos dados pessoais dos titulares.
6. O encarregado de dados tem papel fundamental nesta fase. Ele deve garantir a implementação das ações identificadas na etapa de Iniciação e Planejamento, monitorar e reportar o andamento as atividades para a alta administração e setores da instituição, avaliar e redefinir prioridades, documentar todos os trabalhos e atividades realizadas e definir um fluxo de comunicação interna, dando transparência e agilidade na troca de informações. O encarregado, assim, se torna um grande facilitador do processo de implementação do PGP.
Etapa 3: Monitoramento
1. Como abordado anteriormente, o PGP é uma atividade contínua que deve ser monitorada e atualizada constantemente. O objetivo desta fase é coletar informações e gerar análises e relatórios para se verificar a efetividade e resultados do programa. As atividades dessa etapa são:
2. Definir indicadores de performance para o PGP, que vão medir a eficiência do programa. Alguns indicadores poderiam ser: número de incidentes de violação de privacidade e segurança; índice de adequação à LGPD; percentual de conclusão do inventário de dados; percentual de RIPD finalizados; dentre outros;
3. Implantar um processo de Gestão de incidentes, registrando os incidentes de segurança, causas, sistemas e informações envolvidos, medidas e técnicas de proteção adotadas, análise de riscos e medidas tomadas para mitigação dos incidentes. Deve-se, também, definir um plano de ação para ser seguido em caso de incidente de segurança, incluindo um plano de comunicação aos stakeholders, titulares e ANPD, se for o caso;
Analisar e reportar resultados, demonstrando o valor do PGP para a alta administração da instituição.
Um trabalho intenso e contínuo
O Programa de Governança em Privacidade mostra claramente o engajamento da instituição na adequação à LGPD. O encarregado acaba tendo um papel fundamental em todas as etapas e um papel crucial na etapa de monitoramento. Nesta etapa, o encarregado deve se atentar às métricas e indicadores de performance, acompanhando de perto a efetividade do PGP e, seguindo a metodologia PDCA, fazer as alterações, adequações e repriorizações necessárias para que o PGP atinja seus objetivos. A divulgação dos resultados de forma ampla e irrestrita dentro da instituição é importante para garantir o comprometimento de todos os servidores e funcionários, de forma que a cultura de privacidade se torne um valor institucional. Para que tudo funcione adequadamente, a alta administração deve ter consciência da importância desse programa e dar o apoio necessário para o encarregado e para a equipe que trabalharão na construção do PGP.
No fim, todos – a instituição, os dirigentes, servidores, funcionários, titulares e a sociedade em geral – têm a responsabilidade por garantir a privacidade e proteção dos dados pessoais.
Este artigo foi produzido por Fabio Correa Xavier, Diretor do Departamento de Tecnologia da Informação do TCESP, Mestre em Ciência da Computação, Professor e colunista da MIT Technology Review Brasil.
Fabio Correa Xavier
