Participei da Live sobre "Governança em Privacidade e o Escritório do DPO", onde apresentei 31 dicas de boas práticas sobre o tema. Este número 31 foi escolhido propositalmente para referenciar a família ISO 31000 de normas de gestão de riscos.
Neste artigo, apresento um resumo das 5 primeiras e as 3 últimas escolhidas. Aproveitem, compartilhem:
#boapratica01 utilizar linguagem comum
Como boa prática inicial, utilizar linguagem comum, com termos e definições padronizados na organização. A começar pela sua própria definição:
"boa prática: expressão derivada do inglês best practice, que denomina técnicas identificadas como as melhores para realizar determinada tarefa. Em diversas profissões têm sido criadas normas de boas práticas que definem a forma correta de atuar dos respectivos profissionais." Wikipedia
#boapratica02 fazer referência à LGPD
Muitos são os documentos e frameworks internacionais que tratam de privacidade e proteção de dados pessoais, mas no Brasil, é fundamental priorizar e atender os requisitos da LGPD, Lei Geral de Proteção de Dados Pessoais. É lei, o artigo 50 é claro quanto a necessidade de as organizações definirem regras de boas práticas e governança, incluindo obrigações e responsabilidades.
Art. 50. Os controladores e operadores, no âmbito de suas competências, pelo tratamento de dados pessoais, individualmente ou por meio de associações, poderão formular regras de boas práticas e de governança que estabeleçam as condições de organização, o regime de funcionamento, os procedimentos, incluindo reclamações e petições de titulares, as normas de segurança, os padrões técnicos, as obrigações específicas para os diversos envolvidos no tratamento, as ações educativas, os mecanismos internos de supervisão e de mitigação de riscos e outros aspectos relacionados ao tratamento de dados pessoais.
#boapratica03 implementar gestão de riscos
Ainda sobre o artigo 50 da LGPD, o parágrafo § 1º requer que as regras de boas práticas considerem a probabilidade e o impacto dos riscos no tratamento de dados pessoais, e também o parágrafo § 2º, inciso I, alínea d, requer a avaliação de riscos dos possíveis danos para os titulares.
§ 2º Na aplicação dos princípios indicados nos incisos VII e VIII do caput do art. 6º desta Lei, o controlador, observados a estrutura, a escala e o volume de suas operações, bem como a sensibilidade dos dados tratados e a probabilidade e a gravidade dos danos para os titulares dos dados, poderá:
I - implementar programa de governança em privacidade que, no mínimo:
...
d) estabeleça políticas e salvaguardas adequadas com base em processo de avaliação sistemática de impactos e riscos à privacidade;
#boapratica04 adotar mentalidade de riscos
Seguindo a orientação do que a ISO chama de "mentalidade de risco" (risk based thinking) incorporada nas suas principais normas de gestão (ISO 9000, 14000, 27001, 22301, ...), as organizações devem adotar métodos e práticas de gestão de riscos para apoiar a tomada de decisão em todos os níveis. Como definido na ISO 31000, risco é o efeito da incerteza nos objetivos. No caso da LGPD, são os objetivos relacionados à privacidade e proteção de dados pessoais dos titulares.
#boapratica05 buscar orientações das autoridades
CAPÍTULO IX - DA AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS (ANPD) E DO CONSELHO NACIONAL DE PROTEÇÃO DE DADOS PESSOAIS E DA PRIVACIDADE
Seção I - Da Autoridade Nacional de Proteção de Dados (ANPD)
...
Art. 55-J. Compete à ANPD:
...
III - elaborar diretrizes para a Política Nacional de Proteção de Dados Pessoais e da Privacidade;
...
VIII - estimular a adoção de padrões para serviços e produtos que facilitem o exercício de controle dos titulares sobre seus dados pessoais, os quais deverão levar em consideração as especificidades das atividades e o porte dos responsáveis;
...
XVIII - editar normas, orientações e procedimentos simplificados e diferenciados, inclusive quanto aos prazos, para que microempresas e empresas de pequeno porte, bem como iniciativas empresariais de caráter incremental ou disruptivo que se autodeclarem startups ou empresas de inovação, possam adequar-se a esta Lei;
...
Outro documento que merece destaque é o Guia de Boas Práticas LGPD para Implementação na Administração Pública Federal que fornece orientações de boas práticas para as operações de tratamento de dados pessoais. O guia reforça ainda que a adequação à LGPD envolve uma transformação cultural, nos níveis estratégico, tático e operacional das organizações, de forma que considerem a privacidade dos dados pessoais do cidadão desde a fase de concepção dos serviços ou produtos até sua execução (Privacy by Design); e que também promovam ações de conscientização de todo corpo funcional para incorporar o respeito à privacidade dos dados pessoais nas atividades institucionais cotidianas.
Finalmente, as 3 últimas dicas de boas práticas de maneira bem objetiva:
#boapratica29 assinar a newsletter Cybersecurity
#boapratica30 dicas e experiências na newsletter Bom Dia LGPD
#boapratica31 acessar amplo acervo de conteúdo disponível
Para mais detalhes e acessar toda a lista de dicas de boas práticas, assista a gravação completa da Live Governança em Privacidade e o Escritório do DPO, neste evento também Fernando Nery fala sobre Ferramentas para gestão de privacidade no contexto da Governança Corporativa e Dr. Gilberto Martins apresenta o conceito de Plataforma Documental e a importância das políticas corporativas em decisões judiciais recentes.
Boa semana, espero que aproveitem, compartilhem as dicas com sua equipe!
Alberto.
