Onde estamos

Al. Joaquim Eugênio de Lima, 680 - 1º andar - Jardim Paulista, São Paulo - SP

Entre em contato
Fonte: Rony Vainzof via Linkedin
Fonte: Rony Vainzof via Linkedin
Indubitavelmente mapear o registro de atividades de tratamento de dados é relevante para qualquer empresa que busque iniciar a jornada de conformidade com a LGPD, pois usualmente gera uma visão, antes potencialmente opaca, do ciclo de vida dos dados pessoais existentes, nas mais diversas áreas, para as mais distintas finalidades; viabiliza revisar e chancelar bases legais para os respectivos tratamentos; aparar arestas mediante a avaliação dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do seu tratamento de dados; além de cumprir com o requisito legal do dever de manutenção do registro de operações de dados existentes.
Porém, tal mapeamento gera tão somente um retrato das operações dos tratamentos existentes, que, concomitantemente ao processo em questão, se desatualiza em razão da dinamicidade intrínseca ao fluxo informacional.

Por tal motivo, o ponto principal de qualquer jornada de conformidade à LGPD é o desenvolvimento, implantação e manutenção perene da estrutura de Governança em Privacidade e Proteção aos Dados Pessoais.

A LGPD prevê que os controladores e operadores, no âmbito de suas competências, poderão formular regras de boas práticas e de governança que estabeleçam as condições de organização, o regime de funcionamento, os procedimentos, incluindo:
Reclamações e petições de titulares;Normas de segurança e os padrões técnicos;As obrigações específicas para os diversos envolvidos no tratamento;As ações educativas;Os mecanismos internos de supervisão e de mitigação de riscos.
Devem levar em consideração, para o desenvolvimento de tais regras, a natureza, o escopo, a finalidade, a probabilidade e a gravidade dos riscos e dos benefícios decorrentes de tratamento de dados do titular.
Ainda, para aplicação do princípio da segurança (utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão) e prevenção (adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais), é imprescindível o estabelecimento de um programa de governança.

Mas não há como desenvolver tal programa sem a criação e o chancelamento da estrutura interna que cuidará do tema privacidade e proteção de dados pessoais nas empresas.

A LGPD pecou ao ser extremamente rasa justamente na figura central da governança, o Encarregado (Data Protection Officer – DPO), que deverá ser indicado pela empresa, com identidade e informações de contato divulgadas publicamente, de forma clara e objetiva, preferencialmente em seu sítio eletrônico, com as seguintes responsabilidades, previstas em Lei:
Aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;Receber comunicações da autoridade nacional e adotar providências;Orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; eExecutar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.
O GDPR, de forma muita mais densa, em razão da importância do cargo, prevê que o DPO é designado com base nas suas qualidades profissionais e, em especial, no seu conhecimento jurídico especializado e das práticas de proteção de dados, bem como na sua capacidade para desempenhar as seguintes funções:
Informar e aconselhar a empresa e seus colaboradores que tratem dados pessoais a respeito das suas obrigações;Controlar a conformidade com o GDPR e demais normas aplicáveis, incluindo o compartilhamento de responsabilidades, a sensibilização e formação dos profissionais que sejam competentes por operações de tratamento de dados;Avaliar e aconselhar, quando pertinente, acerca dos relatórios de impacto;Cooperar e ser o ponto de contato com as autoridades competentes.

A figura do DPO, conforme o GDPR, é tão relevante que deve contar com autonomia e independência, sendo vedada cumulação de funções que resultem em conflito de interesses.

São deveres dos agentes de tratamento, de acordo com o GDPR:
Fornecer os recursos necessários ao desempenho de suas funções e à manutenção do seu conhecimento;Franquear acesso aos dados pessoais e às operações de tratamento;Não interferir no exercício de suas funções;Não demitir ou penalizar o DPO no exercício regular de suas funções;Garantir que o DPO reporte e responsa diretamente a direção no seu mais alto nível.
IAPP-EY Annual Privacy Governance Report 2019
Justamente buscando demonstrar a realidade das empresas na UE e nos EUA, em termos de Governança, depois de mais de um ano de eficácia plena do GDPR (desde maio de 2018), o International Association of Privacy Professionals – IAPP , em conjunto com a EY, publicou o riquíssimo  Privacy Governance Report (2019), mediante entrevista com profissionais de mais de 370 empresas, de diversos portes.
Justamente buscando demonstrar a realidade das empresas na UE e nos EUA, em termos de Governança, depois de mais de um ano de eficácia plena do GDPR (desde maio de 2018), o International Association of Privacy Professionals – IAPP , em conjunto com a EY, publicou o riquíssimo  Privacy Governance Report (2019), mediante entrevista com profissionais de mais de 370 empresas, de diversos portes.
Alguns dos principais objetivos do referido Relatório foram:
Compreender as estruturas do programa de privacidade (por exemplo, orçamento, profissionais, desenvolvimento de carreira) em várias organizações;Medir a conformidade com o GDPR, com especial atenção aos pedidos dos titulares de dados e transferências; eIdentificar tendências recentes nas rotinas diárias de privacidade e dos profissionais de proteção de dados.

Vejamos alguns resultados de suma importância para a discussão em tela:

É elevado o número de empresas que já nomearam o seu DPO (72%), algumas inclusive contando com mais de um diante da sua estratégia de proteção de dados considerando a sua complexidade interna:
Quem é o líder de privacidade?
O líder de privacidade usualmente eleito é o Chief Privacy Officer (CPO) ou o próprio DPO.
Em 10% das empresas o Chief Information Security Officer (CISO) é também o líder de privacidade.
Em 4% das empresas, em que pese o potencial conflito de interesse com a posição, o Chief Technical Officer, exerce o cargo de líder de privacidade.
Para quem os líderes de privacidade reportam?
A maioria dos líderes de privacidade reportam, tanto nos EUA, como na UE, ao Conselho Geral ou à Diretoria. Em menor percentual, aos CEOs.
Share: