Hoje republicamos o segundo artigo da série: "Artigo 50: Governança não é Gestão" de 22 de março de 2022. Uma observação: na época estava vigente a versão 5 do "Código das Melhores Práticas de Governança Corporativa" do IBGC, esta semana também republicaremos o artigo que comenta a versão 6. Em 2022 ainda não usávamos o DALL-E para gerar as imagens, eu fazia uns Post-it, assim pedi uma sugestão ao ChatGPT para a imagem de hoje.
Hoje iniciaremos a abordagem ao tema governança em privacidade (proteção de dados pessoais).
O artigo 50 da LGPD recomenda que o controlador implemente um programa de governança em privacidade. Ainda não há uma definição ou um framework consensual sobre como implementá-la. Há uns 15 anos quando ministrava aulas de governança corporativa, antes do bom dia, para conquistar a atenção da turma, eu sempre falava: "pessoal, governança não é gestão", e distribuía post-its para cada aluno escrever seu entendimento sobre o termo governança; na maior parte das vezes colecionávamos adaptações de definição de gestão.
Entendo até hoje que um bom começo para entender ou estruturar modelos de governança é necessário diferenciá-la da gestão. Na maior parte das vezes, o termo governança é usado como um sinônimo chique de gestão.
No Brasil o IBGC - Instituto Brasileiro de Governança Corporativa publica o Código das Melhores Práticas de Governança Corporativa 5a edição, que define o conceito didaticamente ao adotar um desenho clássico em forma de ampulheta: o triângulo com o vértice para baixo representa a governança e o triângulo com o vértice para cima corresponde à gestão:
Este entendimento promovido pelo IBGC é adotado pelas empresas brasileiras (no mundo há diversos modelos semelhantes), o conselho de administração e os diretores de sua empresa conhecem este desenho. Na esfera governamental, o Tribunal de Contas da União publica ótimos documentos sobre governança pública e adota um modelo bem semelhante.
O desenho da ampulheta é um bom caminho para pensarmos no modelo de governança em privacidade alinhado à 'gestão da privacidade'. Se na governança corporativa a interseção entre os triângulos tem o presidente e a diretoria, no caso da proteção de dados e privacidade, o Encarregado (DPO) seria o ocupante natural desta posição.
Governança em Privacidade é um tema essencial para implementar a proteção de dados e privacidade alinhada com os negócios, e existem diversos documentos que podem apoiar, publicados pelo Governo Federal, IAPP - International Association of Privacy Professionals, o Privacy Guide do CIS - Center for Internet Security, o Privacy Framework do NIST - National Institute of Standards and Technology, e muitos outros que trataremos por aqui.
Boa semana.
Obrigado,
Abraço,
FNery
Descrição da imagem no Dall-e: "An educational-style illustration showing an hourglass design where the lower triangle represents privacy governance and the upper triangle symbolizes management, highlighting the distinction and integration between governance and management in the context of personal data protection"
