Estratégias e práticas na governança do departamento de privacidade para resultados tangíveis
Antes de abordarmos a governança de programas de privacidade, é essencial entender o cenário atual das empresas no Brasil. Com a promulgação da Lei Geral de Proteção de Dados Pessoais (LGPD) em 2018 e sua entrada em vigor em setembro de 2020, muitas empresas iniciaram um processo de adaptação de seus processos e documentos às novas diretrizes.
Em geral, essa jornada envolveu mapeamentos, diagnósticos, identificação e correção de falhas, desenvolvimento de políticas de privacidade e cláusulas contratuais de LGPD, além de uma série de esforços documentais e procedimentais.
Cinco anos após a publicação da LGPD, após todos os esforços realizados pelas empresas para se adequar às suas disposições, é comum encontrar empresas com mapeamentos desatualizados e documentos que existem teoricamente, mas que na prática não são aplicados. Parece que todo o esforço inicial para adequar as práticas e documentos da empresa acabou “na gaveta”.
Esse efeito é certamente reflexo da ausência de governança do Programa de Proteção de Dados da empresa. De fato, sem avançar para a fase de governança, a manutenção de um bom programa de proteção de dados fica comprometida.
Para estabelecer uma governança eficaz, consideramos essencial levar em consideração os seguintes pontos-chave:
(i) Identificar os patrocinadores do programa: É essencial entender quem são as pessoas a quem se deve prestar contas, quais são suas preocupações e interesses. Pense sobre o que essas pessoas esperam do programa de proteção de dados e como você pode garantir que elas obtenham o que desejam.
(ii) Definir metas: Compreenda quais são os principais desafios em termos de proteção de dados pessoais para a sua empresa e entenda como se organizar para mitigar o maior número de riscos possíveis.
(iii) Estabelecer canais de comunicação: Uma boa comunicação é essencial. É importante estabelecer uma frequência de diálogo para informar aos patrocinadores o progresso alcançado e os próximos passos, bem como relembrar os colaboradores da empresa sobre seu papel na proteção de dados pessoais.
(iv) Entender como os processos serão executados: É importante entender como cada processo é realizado dentro de sua empresa e como o programa de proteção de dados pessoais pode colaborar para tornar este processo mais adequado à legislação, evitando burocratizá-lo desnecessariamente.
Para avaliar o grau de maturidade da LGPD na sua empresa, adotamos uma metodologia que classifica a maturidade dos processos do programa de proteção de dados pessoais da empresa entre 0 e 5. Isso permite entender a situação atual e identificar gargalos, rupturas e oportunidades de melhoria.
A criação de processos traz benefícios significativos para o programa de proteção de dados da empresa, como a redução de erros e economia de recursos. Ao trabalhar com a otimização da governança, diversos temas acabam sendo explorados. Isso inclui compreender o objetivo da equipe de proteção de dados, delimitar o escopo material e geográfico do programa, verificar a documentação sob responsabilidade do programa, compreender o organograma da equipe responsável, registrar a criação/alteração/exclusão de novas atividades, revisar periodicamente o mapeamento de dados, gerenciar o relacionamento com contratantes e titulares, definir bem os modelos e responsáveis por preenchimentos de documentos, gerenciar incidentes, realizar auditorias e promover a cultura de privacidade.
Consequentemente, ao final deste processo, as empresas conseguem estabelecer uma governança robusta, garantindo que as práticas de proteção de dados pessoais não caiam no esquecimento e que os tratamentos de dados pessoais realizados sejam feitos de forma segura, em conformidade com as leis vigentes.
Em conclusão, a implementação efetiva da LGPD em qualquer organização vai além da simples adequação inicial às suas disposições. Requer um compromisso contínuo com a governança, garantindo que as práticas de proteção de dados pessoais sejam mantidas e aprimoradas ao longo do tempo.
Texto adaptado a partir da palestra ministrada pelo Dra. Iara Melo na 1ª Semana Internacional da Proteção de Dados, 3° dia.