
A palavra governança é citada oito vezes na Lei Geral de Proteção de Dados (LGPD), Lei nº 13.709/2018. Afinal, você sabe o que é Governança de TI?
A LGPD cita a governança e boas práticas nos capítulos VII e VIII, que falam sobre Segurança e Boas Práticas, e sobre a Fiscalização, respectivamente. Seus capítulos e seções que abordam o tema, são citados a seguir:
- Capítulo VII, Seção I – Da Segurança e do Sigilo de Dados, com destaque para o artigo 49;
- Capítulo VII, Seção II – Das Boas Práticas e Governança, com destaque para o artigo 50;
- Capítulo VIII, Seção I – Das Sanções Administrativas, com destas que para o artigo 52.
Ao contrário do que muitos imaginam, as chances da Autoridade Nacional de Proteção de Dados (ANPD) entrar no mérito, e publicar instrumentos normativos que ensinem como se implementa a governança e as boas práticas, são módicas. Ou seja, a probabilidade da ANPD ensinar os pormenores de governança e boas práticas, é praticamente nula. Sendo assim, como as organizações podem obter tais informações? Através de aprendizado tácito e informal, também conhecido como “learning by doing”? Ou através do desenvolvimento das habilidades humanas, de seus colaboradores, por meio de capacitação em boas práticas internacionais.
Entende-se por norma técnica:
[…] documento, estabelecido por consenso e aprovado por um organismo reconhecido que fornece para um uso comum e repetitivo regras, diretrizes ou características para atividades ou seus resultados, visando a obtenção de um grau ótimo de ordenação em um dado contexto.
ABNT NBR ISO/IEC Guia 2
As boas práticas internacionais são consolidadas através das normas técnicas, e a Agência de Conformidade e Proteção de Dados (ACPD) adotou as normas da ABNT, ISO e IEC para fundamentar seus produtos. A ACPD indica ao mercado o uso contínuo de tais normas, de forma que ao invés de confiar plenamente nas experiências empíricas de terceiros, muitas vezes, sem nenhuma base de boas práticas, e apenas com a interpretação dos textos dos instrumentos jurídicos normativos, este mesmo mercado fundamente seus processos, nas boas práticas. Com isso, em caso de fiscalização da ANPD, tornar-se-á mais fácil comprovar o esforço máximo em prol da privacidade e proteção de dados pessoais.
O que fala o artigo 49 da LGPD?
Art. 49. Os sistemas utilizados para o tratamento de dados pessoais devem ser estruturados de forma a atender aos requisitos de segurança, aos padrões de boas práticas e de governança e aos princípios gerais previstos nesta Lei e às demais normas regulamentares.
Lei nº 13.709/2018
E o artigo 50?
Art. 50. Os controladores e operadores, no âmbito de suas competências, pelo tratamento de dados pessoais, individualmente ou por meio de associações, poderão formular regras de boas práticas e de governança que estabeleçam as condições de organização, o regime de funcionamento, os procedimentos, incluindo reclamações e petições de titulares, as normas de segurança, os padrões técnicos, as obrigações específicas para os diversos envolvidos no tratamento, as ações educativas, os mecanismos internos de supervisão e de mitigação de riscos e outros aspectos relacionados ao tratamento de dados pessoais.
Já o artigo 52, explicita o seguinte:
Art. 52. Os agentes de tratamento de dados, em razão das infrações cometidas às normas previstas nesta Lei, ficam sujeitos às seguintes sanções administrativas aplicáveis pela autoridade nacional:
[…]
§ 1º As sanções serão aplicadas após procedimento administrativo que possibilite a oportunidade da ampla defesa, de forma gradativa, isolada ou cumulativa, de acordo com as peculiaridades do caso concreto e considerados os seguintes parâmetros e critérios:
[…]IX – a adoção de política de boas práticas e governança;
Lei nº 13.709/2018
Sobre a Governança de TI
A Governança de TI, pode ser definida como:
Sistema pelo qual o uso atual e futuro da TI são dirigidos e controlados. Significa avaliar e direcionar o uso da TI para dar suporte à organização e monitorar seu uso para realizar planos. Inclui a estratégia e as políticas de uso da TI dentro da organização.
ABNT NBR ISO/IEC 38500:2018
FERNANDES, A. Aragon (2014) sugere uma definição mais abrangente e define Governança de TI como “Ciclo da Governança de TI” , composto por quatro grandes etapas:
- alinhamento estratégico e compliance;
- decisão;
- estrutura e processos; e
- gestão do valor e do desempenho.
Cabe ressaltar que a Governança de TI está sob a Governança Corporativa de uma organização.
A figura, a seguir, ilustra os principais fatores que podem impactar a Governança de TI e as boas práticas relacionadas à ela:

A família de normas 27000 (ABNT/ISO) e normas relacionadas a esta família compõem um framework para privacidade e proteção de dados que é aplicável a todos os tipos e tamanhos de organizações, incluindo as companhias públicas e privadas, que são controladoras de dados pessoais e/ou operadoras de dados pessoais, com destaque para:
- ABNT NBR ISO/IEC 29100: Tecnologia da informação — Técnicas de segurança — Estrutura de Privacidade;
- ABNT NBR 27701: Técnicas de segurança — Extensão da ABNT NBR ISO/IEC 27001 e ABNT NBR ISO/IEC 27002 para gestão da privacidade da informação — Requisitos e diretrizes;
- ABNT NBR 27001: Tecnologia da informação — Técnicas de segurança — Sistemas de gestão da segurança da informação — Requisitos;
- ABNT NBR 27002: Tecnologia da informação — Técnicas de segurança — Código de prática para controles de segurança da informação.
Referências Bibliográficas
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. ABNT NBR 27001: Tecnologia da informação — Técnicas de segurança — Sistemas de gestão da segurançada informação — Requisitos. Rio de Janeiro: ABNT, 2013.
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. ABNT NBR 27002: Tecnologia da informação — Técnicas de segurança — Código de prática para controles de segurança da informação. Rio de Janeiro: ABNT, 2013.
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. ABNT NBR 27701: Técnicas de segurança — Extensão da ABNT NBR ISO/IEC 27001 e ABNT NBR ISO/IEC 27002 para gestão da privacidade da informação — Requisitos e diretrizes. Rio de Janeiro: ABNT, 2019.
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. ABNT NBR ISO/IEC 29100: Tecnologia da informação — Técnicas de segurança — Estrutura de Privacidade. Rio de Janeiro: ABNT, 2020.
BRASIL. Lei no 13.709, de 14 de agosto de 2018. Brasília, DF: Presidência da República, [2018]. Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2015-2018/ 2018/lei/L13709.htm. Acesso em: 28 abr. 2020.
FERNANDES, Aguinaldo Aragon. Implantando a Governança de TI: da Estratégia à Gestão de Processos e Serviços. 4ª ed: 2014.