Hoje republico, com pequenas revisões, um dos primeiros artigos de nossa newsletter que tratou sobre o tema governança em privacidade (proteção de dados pessoais).
O artigo 50 da LGPD recomenda que os controladores o operadores implementem um programa de governança em privacidade.
Art. 50. Os controladores e operadores, ... poderão formular regras de boas práticas e de governança
I - implementar programa de governança em privacidade que ...
Ainda não há uma definição ou um framework consensual sobre como implementar o programa de governança em privacidade. Há uns 15 anos quando eu ministrava aulas de governança corporativa, antes do bom dia, para conquistar a atenção da turma, eu sempre falava: "pessoal, governança não é gestão", e distribuía post-its para cada aluno escrever seu entendimento sobre o termo governança; na maior parte das vezes colecionávamos adaptações de definição de gestão.
Entendo até hoje que um bom começo para entender ou estruturar modelos de governança é necessário diferenciá-la da gestão. Na maior parte das vezes, o termo governança é usado como um sinônimo chique de gestão.
No Brasil há mais de 20 anos, o IBGC - Instituto Brasileiro de Governança Corporativa publica o Código das Melhores Práticas de Governança Corporativa 5a edição, que define o conceito didaticamente ao adotar o desenho clássico em forma de ampulheta: o triângulo com o vértice para baixo representa a governança e o triângulo com o vértice para cima corresponde à gestão:
Este entendimento promovido pelo IBGC é adotado pela CVM, TCU, Banco Central, Governo Federal e por várias empresas brasileiras (no mundo há diversos modelos semelhantes), o conselho de administração e os diretores de sua empresa conhecem este desenho. Na esfera governamental, o Tribunal de Contas da União publica ótimos documentos sobre governança pública e adota um modelo bem semelhante.
O desenho da ampulheta é um bom caminho para pensarmos no modelo de governança em privacidade alinhado à 'gestão da privacidade'. Se na governança corporativa a interseção entre os triângulos tem o presidente e a diretoria, no caso da proteção de dados e privacidade, o Encarregado (DPO) seria o ocupante natural desta posição.
Na LGPD há a orientação para que o programa de governança em privacidade seja integrado ao programa de governança corporativa e demais atividades de apoio à governança:
I - implementar programa de governança em privacidade que, no mínimo: ...
f) esteja integrado a sua estrutura geral de governança e estabeleça e aplique mecanismos de supervisão internos e externos;
A expressão 'mecanismos de supervisão internos e externos' significa: gestão de riscos, auditoria interna e externa, compliance, segurança, ...
Governança em Privacidade é um tema essencial para implementar a proteção de dados e privacidade alinhada com os negócios, e existem diversos documentos que podem apoiar, publicados pelo Governo Federal, IAPP - International Association of Privacy Professionals, o Privacy Guide do CIS - Center for Internet Security, o Privacy Framework do NIST - National Institute of Standards and Technology, a ISO 27701 e muitos outros que tratamos em artigos anteriores e retornaremos no futuro.
Quer saber mais? Realizamos algumas lives sobre o tema:
Governança em Privacidade - Live completa - 24/03 (youtube.com)
Governança em Segurança - Live completa - 31/03 - YouTube
Governança em Privacidade e o Escritório do DPO - Live completa - 12/05 (youtube.com)
Obrigado,
Abraço,
Até a próxima,
FNery
