+55 (21) 2505-9393
+55 (21) 99731-6528
contato@acpdbrasil.com

A Governança e as boas práticas, na LGPD

Conformidade, Proteção e Privacidade de Dados

A palavra governança é citada oito vezes na Lei Geral de Proteção de Dados (LGPD), Lei nº 13.709/2018. Afinal, você sabe o que é Governança de TI?

A LGPD cita a governança e boas práticas nos capítulos VII e VIII, que falam sobre Segurança e Boas Práticas, e sobre a Fiscalização, respectivamente. Seus capítulos e seções que abordam o tema, são citados a seguir:

  1. Capítulo VII, Seção I – Da Segurança e do Sigilo de Dados, com destaque para o artigo 49;
  2. Capítulo VII, Seção II – Das Boas Práticas e Governança, com destaque para o artigo 50;
  3. Capítulo VIII, Seção I – Das Sanções Administrativas, com destas que para o artigo 52.

Ao contrário do que muitos imaginam, as chances da Autoridade Nacional de Proteção de Dados (ANPD) entrar no mérito, e publicar instrumentos normativos que ensinem como se implementa a governança e as boas práticas, são módicas. Ou seja, a probabilidade da ANPD ensinar os pormenores de governança e boas práticas, é praticamente nula. Sendo assim, como as organizações podem obter tais informações? Através de aprendizado tácito e informal, também conhecido como “learning by doing”? Ou através do desenvolvimento das habilidades humanas, de seus colaboradores, por meio de capacitação em boas práticas internacionais.

Entende-se por norma técnica:

[…] documento, estabelecido por consenso e aprovado por um organismo reconhecido que fornece para um uso comum e repetitivo regras, diretrizes ou características para atividades ou seus resultados, visando a obtenção de um grau ótimo de ordenação em um dado contexto.

ABNT NBR ISO/IEC Guia 2

As boas práticas internacionais são consolidadas através das normas técnicas, e a Agência de Conformidade e Proteção de Dados (ACPD) adotou as normas da ABNT, ISO e IEC para fundamentar seus produtos. A ACPD indica ao mercado o uso contínuo de tais normas, de forma que ao invés de confiar plenamente nas experiências empíricas de terceiros, muitas vezes, sem nenhuma base de boas práticas, e apenas com a interpretação dos textos dos instrumentos jurídicos normativos, este mesmo mercado fundamente seus processos, nas boas práticas. Com isso, em caso de fiscalização da ANPD, tornar-se-á mais fácil comprovar o esforço máximo em prol da privacidade e proteção de dados pessoais.

O que fala o artigo 49 da LGPD?

Art. 49. Os sistemas utilizados para o tratamento de dados pessoais devem ser estruturados de forma a atender aos requisitos de segurança, aos padrões de boas práticas e de governança e aos princípios gerais previstos nesta Lei e às demais normas regulamentares.

Lei nº 13.709/2018

E o artigo 50?

Art. 50. Os controladores e operadores, no âmbito de suas competências, pelo tratamento de dados pessoais, individualmente ou por meio de associações, poderão formular regras de boas práticas e de governança que estabeleçam as condições de organização, o regime de funcionamento, os procedimentos, incluindo reclamações e petições de titulares, as normas de segurança, os padrões técnicos, as obrigações específicas para os diversos envolvidos no tratamento, as ações educativas, os mecanismos internos de supervisão e de mitigação de riscos e outros aspectos relacionados ao tratamento de dados pessoais.

Já o artigo 52, explicita o seguinte:

Art. 52. Os agentes de tratamento de dados, em razão das infrações cometidas às normas previstas nesta Lei, ficam sujeitos às seguintes sanções administrativas aplicáveis pela autoridade nacional:

[…]

§ 1º As sanções serão aplicadas após procedimento administrativo que possibilite a oportunidade da ampla defesa, de forma gradativa, isolada ou cumulativa, de acordo com as peculiaridades do caso concreto e considerados os seguintes parâmetros e critérios:

[…]

IX – a adoção de política de boas práticas e governança;

Lei nº 13.709/2018

Sobre a Governança de TI

A Governança de TI, pode ser definida como:

Sistema pelo qual o uso atual e futuro da TI são dirigidos e controlados. Significa avaliar e direcionar o uso da TI para dar suporte à organização e monitorar seu uso para realizar planos. Inclui a estratégia e as políticas de uso da TI dentro da organização.

ABNT NBR ISO/IEC 38500:2018

FERNANDES, A. Aragon (2014) sugere uma definição mais abrangente e define Governança de TI como  “Ciclo da Governança de TI” , composto por quatro grandes etapas:

  1. alinhamento estratégico e compliance;
  2. decisão;
  3. estrutura e processos; e
  4. gestão do valor e do desempenho.

Cabe ressaltar que a Governança de TI está sob a Governança Corporativa de uma organização.

A figura, a seguir, ilustra os principais fatores que podem impactar a Governança de TI e as boas práticas relacionadas à ela:

A família de normas 27000 (ABNT/ISO) e normas relacionadas a esta família compõem um framework para privacidade e proteção de dados que é aplicável a todos os tipos e tamanhos de organizações, incluindo as companhias públicas e privadas, que são controladoras de dados pessoais e/ou operadoras de dados pessoais, com destaque para:

  • ABNT NBR ISO/IEC 29100: Tecnologia da informação — Técnicas de segurança — Estrutura de Privacidade;
  • ABNT NBR 27701: Técnicas de segurança — Extensão da ABNT NBR ISO/IEC 27001 e ABNT NBR ISO/IEC 27002 para gestão da privacidade da informação — Requisitos e diretrizes;
  • ABNT NBR 27001: Tecnologia da informação — Técnicas de segurança — Sistemas de gestão da segurança da informação — Requisitos;
  • ABNT NBR 27002: Tecnologia da informação — Técnicas de segurança — Código de prática para controles de segurança da informação.

Referências Bibliográficas

ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. ABNT NBR 27001: Tecnologia da informação — Técnicas de segurança — Sistemas de gestão da segurançada informação — Requisitos. Rio de Janeiro: ABNT, 2013.

ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. ABNT NBR 27002: Tecnologia da informação — Técnicas de segurança — Código de prática para controles de segurança da informação. Rio de Janeiro: ABNT, 2013.

ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. ABNT NBR 27701: Técnicas de segurança — Extensão da ABNT NBR ISO/IEC 27001 e ABNT NBR ISO/IEC 27002 para gestão da privacidade da informação — Requisitos e diretrizes. Rio de Janeiro: ABNT, 2019.

ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. ABNT NBR ISO/IEC 29100: Tecnologia da informação — Técnicas de segurança — Estrutura de Privacidade. Rio de Janeiro: ABNT, 2020.

BRASIL. Lei no 13.709, de 14 de agosto de 2018. Brasília, DF: Presidência da República, [2018]. Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2015-2018/ 2018/lei/L13709.htm. Acesso em: 28 abr. 2020.

FERNANDES, Aguinaldo Aragon. Implantando a Governança de TI: da Estratégia à Gestão de Processos e Serviços. 4ª ed: 2014.

 

Deixe um comentário

O seu endereço de e-mail não será publicado.