Programa de Governança em Privacidade para a Administração Pública

A Lei Geral de Proteção de Dados Pessoais (“LGPD”), registra como uma boa prática na aplicação dos seus termos a criação de um programa de governança em privacidade de dados. A lei não se utiliza da imperatividade para obrigar os agentes de tratamento a estruturar um programa baseado em suas regras, entretanto, orienta/indica/aconselha sua criação, visto que o programa de governança em privacidade de dados seria uma forma de demonstrar a conformidade às regras de privacidade e proteção de dados, comprovando a adequação à LGPD, em especial, quando solicitado pela autoridade nacional ou por outra entidade responsável por promover o cumprimento de boas práticas, ou códigos de conduta.

O art. 50 da LGPD trouxe a referida previsão:

Art. 50. Os controladores e operadores, no âmbito de suas competências, pelo tratamento de dados pessoais, individualmente ou por meio de associações, poderão formular regras de boas práticas e de governança que estabeleçam as condições de organização, o regime de funcionamento, os procedimentos, incluindo reclamações e petições de titulares, as normas de segurança, os padrões técnicos, as obrigações específicas para os diversos envolvidos no tratamento, as ações educativas, os mecanismos internos de supervisão e de mitigação de riscos e outros aspectos relacionados ao tratamento de dados pessoais.

§ 1º Ao estabelecer regras de boas práticas, o controlador e o operador levarão em consideração, em relação ao tratamento e aos dados, a natureza, o escopo, a finalidade e a probabilidade e a gravidade dos riscos e dos benefícios decorrentes de tratamento de dados do titular.

§ 2º Na aplicação dos princípios indicados nos incisos VII e VIII do caput do art. 6º desta Lei, o controlador, observados a estrutura, a escala e o volume de suas operações, bem como a sensibilidade dos dados tratados e a probabilidade e a gravidade dos danos para os titulares dos dados, poderá:

I – implementar programa de governança em privacidade que, no mínimo:

a) demonstre o comprometimento do controlador em adotar processos e políticas internas que assegurem o cumprimento, de forma abrangente, de normas e boas práticas relativas à proteção de dados pessoais;

b) seja aplicável a todo o conjunto de dados pessoais que estejam sob seu controle, independentemente do modo como se realizou sua coleta;

c) seja adaptado à estrutura, à escala e ao volume de suas operações, bem como à sensibilidade dos dados tratados;

d) estabeleça políticas e salvaguardas adequadas com base em processo de avaliação sistemática de impactos e riscos à privacidade;

e) tenha o objetivo de estabelecer relação de confiança com o titular, por meio de atuação transparente e que assegure mecanismos de participação do titular;

f) esteja integrado a sua estrutura geral de governança e estabeleça e aplique mecanismos de supervisão internos e externos;

g) conte com planos de resposta a incidentes e remediação; e

h) seja atualizado constantemente com base em informações obtidas a partir de monitoramento contínuo e avaliações periódicas;

II – demonstrar a efetividade de seu programa de governança em privacidade quando apropriado e, em especial, a pedido da autoridade nacional ou de outra entidade responsável por promover o cumprimento de boas práticas ou códigos de conduta, os quais, de forma independente, promovam o cumprimento desta Lei.

Nesse contexto, diante da complexidade dos processos administrativos instituídos em âmbito público, em especial, aqueles exigidos por lei, a implementação de programa de governança em privacidade de dados na Administração Pública é fundamental para racionalização dos processos internos e eficiência na proteção de ponta a ponta durante o ciclo de vida de tratamento dos dados pessoais.

WeCreativez WhatsApp Support
Nossos especialistas estão aqui para responder suas dúvidas!
Olá, como posso ajudar?