A Lei Geral de Proteção de Dados Pessoais (LGPD), por meio do artigo 50, estabelece que controladores e operadores podem implementar regras de boas práticas e de governança voltadas à proteção de dados pessoais. Embora o verbo “poder” seja utilizado, o contexto da legislação, especialmente em relação à responsabilização e prestação de contas, impõe uma obrigação prática àqueles que desejam demonstrar conformidade.
Neste artigo, explico o que é o Programa de Governança em Privacidade, detalhando os requisitos mínimos definidos no § 2º do art. 50 da LGPD, e oferecendo orientações práticas de implementação para cada item.
Pois bem, o Programa de Governança em Privacidade (PGP) é um conjunto estruturado de políticas, procedimentos, controles e práticas que têm como objetivo assegurar a conformidade com a LGPD e demais normas de proteção de dados, de forma contínua, proativa e auditável. Mais do que um conjunto documental, o programa deve ser parte integrante da governança corporativa da organização, envolvendo todas as áreas do negócio e promovendo uma cultura organizacional orientada à privacidade.
O artigo 50 descreve que o PGP deve incluir:
- Regras de boas práticas e governança;
- Procedimentos para reclamações e petições dos titulares;
- Normas de segurança e padrões técnicos;
- Avaliação de riscos e impactos;
- Mecanismos de supervisão e mitigação de riscos;
- Ações educativas;
Transparência e participação dos titulares;
Além disso, o §2º, inciso I, lista os requisitos mínimos que um programa deve atender. A seguir, detalho cada um, com exemplos de como implementar, na prática, cada um destes requisitos:
a) Comprometimento do controlador com normas e boas práticas
Publicar uma Política de Proteção de Dados Pessoais aprovada pela alta administração; nomear formalmente o Encarregado pelo Tratamento de Dados (DPO); estabelecer canais de comunicação com titulares e com a ANPD; e incluir metas de conformidade no planejamento estratégico e em comitês de governança.
b) Aplicabilidade a todos os dados sob controle
Realizar um mapeamento de dados (data mapping); incluir dados de todas as origens (formulários físicos, sistemas legados, apps, e-mails etc.); implementar um Inventário de Dados Pessoais com responsáveis, finalidades e bases legais.
c) Adaptação à estrutura, escala, volume e sensibilidade dos dados
Realizar um diagnóstico de maturidade em privacidade; avaliar o porte da organização, as áreas de maior risco e os tipos de dados tratados; personalizar políticas, controles e treinamentos de acordo com o nível de risco identificado.
d) Políticas e salvaguardas com base em avaliação de riscos e impactos
Elaborar e manter atualizado o Relatório de Impacto à Proteção de Dados (RIPD); criar planos de mitigação e medidas de segurança; avaliar riscos em projetos por meio de Privacy by Design e Privacy by Default.
e) Relação de confiança com o titular, transparência e participação
Disponibilizar uma Política de Privacidade clara, acessível e atualizada; garantir a efetividade dos canais de atendimento aos titulares; realizar ações de comunicação e educação com os titulares.
f) Integração à governança e supervisão interna/externa
Incluir o tema privacidade na estrutura de governança corporativa; criar um Comitê de Privacidade e Proteção de Dados com representantes das áreas-chave; adotar auditorias internas periódicas e, quando possível, verificações independentes.
g) Planos de resposta a incidentes e remediação
Estabelecer um Plano de Resposta a Incidentes com papéis e responsabilidades definidos; criar fluxo de comunicação com a ANPD e titulares; documentar todos os incidentes e medidas corretivas adotadas, testar os processos de resposta a incidentes.
h) Atualização constante com base em monitoramento e avaliação
Criar um ciclo de monitoramento contínuo com indicadores de desempenho; avaliar periodicamente os processos e políticas; estabelecer um cronograma de revisão documental, com controles de versionamento e realizar treinamentos periódicos.
Ainda, além de implementar todas estas ações, a organização deve estar preparada para demonstrar a efetividade do programa (Art. 50, §2º, II), especialmente perante a ANPD ou outras entidades fiscalizadoras. Isso inclui manter evidências documentais, registros de auditorias, RIPDs, indicadores de desempenho, atas de comitês e registros de tratamento.
Por fim, a implementação de um Programa de Governança em Privacidade é mais do que uma exigência legal, pois trata-se de uma vantagem competitiva, a qual demonstra maturidade, responsabilidade e respeito aos direitos dos titulares. Com base nos requisitos da LGPD, é possível estruturar um programa robusto, adaptável e eficiente, capaz de proteger não apenas dados, mas também a reputação, a sustentabilidade e a perpetuidade do negócio.
