+55 (21) 2505-9393
+55 (21) 99731-6528
contato@acpdbrasil.com

A importância da Governança Corporativa para a adequação à LGPD

Conformidade, Proteção e Privacidade de Dados

Governança Corporativa

Quando pensamos em normas técnicas da ABNT e da ISO, geralmente nos deparamos com cláusulas que falam da Alta Direção, de sua liderança, de seu comprometimento e de seu apoio para o estabelecimento de políticas e para assegurar que as responsabilidades e autoridades dos papéis relevantes sejam atribuídos e comunicados dentro da organização. Neste aspecto, entre os stakeholders, a Alta Direção desempenha o principal papel ativo quando comparada aos demais, e ela tem um papel fundamental no sucesso de uma adequação à Lei Geral de Proteção de Dados (LGPD), com base na Governança Corporativa.

Ao pensarmos em Governança de Organizações, também conhecida como Governança Corporativa e a LGPD, o comprometimento da Alta Direção continua a ser imprescindível.

No que se refere à Governança Corporativa, podemos recorrer à norma ABNT NBR ISO 37000:2022 – Governança de organizações, para nos fundamentarmos em uma definição técnica de Governança de organizações, que lá é definida como:

“Sistema de características humanas pelo qual uma organização é dirigida, supervisionada e responsabilizada pelo alcance do seu propósito definido”.

ABNT NBR ISO 37000:2022 – Governança de organizações

Ainda com base na norma NBR ISO 37000:2022, torna-se importante destacar o conceito de organização, já que, ao contrário do que muitos pensam, este conceito não está restrito a grupos de pessoas. Sendo assim, o termo pode ser utilizado para se referir a uma pessoa que tem suas próprias funções com responsabilidades, autoridades e relações para alcançar seus objetivos.

A Governança de Organizações também pode ser definida como um conjunto de princípios e práticas que visam garantir a transparência, a eficiência e a responsabilidade na gestão das organizações. E convém que seja através dela que as organizações, de direito público ou privado, iniciem suas adequações à Lei Geral de Proteção de Dados Pessoais (LGPD), Lei nº 13.709/2018.

A governança corporativa é importante para a adequação à LGPD por vários motivos, já que ela ajuda a:

  1. garantir que a organização tenha uma estrutura clara e responsável para o tratamento de dados pessoais e dados pessoais sensíveis;
  2. garantir que a organização esteja em conformidade com as leis e regulamentos aplicáveis;
  3. proteger a organização de riscos relacionados à privacidade e segurança de dados corporativos, incluindo os pessoais e pessoais sensíveis.

Todas as partes interessadas esperam que as organizações, especialmente aquelas que impactam diretamente em suas vidas, sejam bem governadas. Isso resulta na necessidade de desenvolver uma compreensão comum do que constitui a governança das organizações em todas as jurisdições. Portanto, é necessária uma abordagem global baseada no consenso.

A governança é exercida em toda a organização por grupos de governança, incluindo:

  • partes interessadas;
  • órgão de governança;
  • gestores;
  • outras funções internas da organização.

O órgão de governança é responsabilizado por estabelecer e manter uma estrutura organizacional integrada de governança em toda a organização que coordena essas atividades de governança, de tal forma que a organização realize desempenho efetivo, administração responsável e comportamento ético. Desta forma, convém que essa estrutura organizacional de governança assegure que os tomadores de decisão tenham autoridade, competência e recursos apropriados para as responsabilidades que lhes são dadas. A delegação eficaz e a tomada de decisão transparente empoderam os colaboradores para agirem apropriadamente, resultando em uma organização mais resiliente e ágil.

Neste cenário de tomadores de decisão, autoridade, competência e recursos apropriados para as responsabilidades, entra o papel do Encarregado pelo Tratamento de Dados Pessoais, parte interessada obrigatória para organizações de direito público e facultativa a algumas organizações de direito privado, dependendo do tipo de tratamento de dados pessoais e dados pessoais que realizam.

Em seu Art. 41, a LGPD determina que as organizações que tomam decisões referentes ao tratamento de dados pessoais, definidas nesta Lei como agentes de tratamento, e que tenham obrigações de indicar um Encarregado pelo Tratamento de Dados Pessoais considerem, ao menos as seguintes atribuições para este profissional:

  1. aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;
  2. receber comunicações da Autoridade Nacional de Proteção de Dados (ANPD) e adotar providências;
  3. orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à privacidade e a proteção de dados pessoais e dados pessoais sensíveis; e
  4. executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.

Além das atribuições legais, o Encarregado pelo Tratamento de Dados Pessoais deve gerenciar e acompanhar a implementação das exigências da Lei, bem como garantir a conformidade em todo o período de sua vigência. Para tanto, convém que implemente um Sistema de Gestão da Governança, Privacidade e Segurança da Informação, elabore plano de gestão de riscos à proteção de dados pessoais e dados pessoais sensíveis, gerencie os incidentes que os envolvam, administre todo o ciclo de vida destes dados pessoais e dados pessoais sensíveis, além de outras atividades correlatas.

Com base no exposto, convém que o Encarregado pelo Tratamento de Dados Pessoais, nas pessoas jurídicas, de direito público ou privado, tenha amplo acesso à estrutura organizacional; pronto apoio das unidades administrativas; acompanhe os níveis de conformidade dos departamentos; instrua os gestores sobre os riscos a corrigir, a fim de que sejam mitigados; tenha amplo apoio da Alta Direção; dialogue com as autoridades competentes; e por fim, conte com autonomia e independência funcional.

A fim de nos distanciarmos de qualquer mal-entendido, “Governança” e “gestão” são atividades distintas, necessárias e complementares que interagem e influenciam umas às outras. A governança envolve definir e ser responsabilizado pelo cumprimento pela organização de seu propósito dentro dos parâmetros estabelecidos para a organização, enquanto a gestão trata de cumprir os objetivos associados, fazendo escolhas dentro desses parâmetros. Deste modo, convém que o órgão de governança assegure a clareza dos papéis e das responsabilidades de todos os envolvidos e responsabilize aqueles a quem delega.

A Governança de Organizações tem papel fundamental na mudança cultural de uma organização, a fim de que o tema privacidade e segurança da informação tenha um engajamento mais eficaz de seus colaboradores.

A cultura de privacidade e segurança da informação é a percepção que os colaboradores têm sobre a importância esses temas. Uma cultura de privacidade e segurança da informação forte é essencial para a adequação à LGPD, pois ajuda a garantir que os colaboradores daquela determinada organização estejam cientes de suas responsabilidades em relação ao tratamento de dados pessoais e dados pessoais sensíveis. A organização deve promover uma cultura de privacidade e segurança da informação por meio de treinamentos, campanhas de conscientização e outras ações.

Ao estabelecer uma cultura de privacidade e segurança da informação em uma organização, esta garante que todos os colaboradores estejam cientes das leis e regulamentos relacionados à privacidade e segurança da informação e devem se esforçar para cumpri-las. A Governança de Organizações pode ajudar a estabelecer essa cultura por meio de políticas e procedimentos claros, treinamento e comunicação.

A seguir, algumas ações específicas que a Governança de Organizações pode tomar para auxiliar uma organização em sua mudança cultural, a fim de que o tema privacidade e segurança da informação tenha um engajamento mais eficaz de seus colaboradores:

  • Estabelecer uma política de privacidade e segurança da informação que seja clara, concisa e de fácil entendimento;
  • Oferecer capacitação sobre privacidade e segurança da informação a todos os colaboradores, ou seja, em todos os níveis, considerando o operacional, o tático e o estratégico;
  • Promover um ambiente colaborativo dos colaboradores e a equipe de privacidade e segurança da informação, liderada pelo Encarregado pelo Tratamento de Dados Pessoais.

Para que a Governança Corporativa seja eficaz, é fundamental que todos os colaboradores estejam cientes das suas responsabilidades em relação à Governança, à Privacidade e à Segurança da Informação. Isso significa que eles devem entender as leis e regulamentos aplicáveis, as políticas e procedimentos da organização e as consequências de suas ações.

Gostou do conteúdo? Comente, curta e compartilhe!

Referências:

ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. ABNT NBR ISO/IEC 27001:2022 – Segurança da informação, segurança cibernética e proteção à privacidade – Sistemas de gestão da segurança da informação — Requisitos. Acesso em: 17 jan. 2024.

ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. ABNT NBR ISO 37000:2022 – Governança de organizações — Orientações. Acesso em: 17 jan. 2024.

BRASIL. Lei no 13.709, de 14 de agosto de 2018. Brasília, DF: Presidência da República, [2018]. Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2015-2018/ 2018/lei/L13709.htm. Acesso em: 17 jan. 2020.

 

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *