Proteção de dados: a LGPD e a governança em privacidade
Você sabe a diferença entre governança de dados e governança em privacidade? Muitas vezes usada, incorretamente, como estrutura equivalente à proteção de dados pessoais, a governança de dados dialoga com a governança em privacidade. Entenda!
O cumprimento legal dos preceitos estabelecidos na Lei Geral de Proteção de Dados – a LGPD (Lei 13.709/18) já deveria ser uma realidade consolidada nos ambientes de negócio. Afinal, desde agosto de 2021, empresas e instituições públicas que coletam e/ou tratam dados pessoais estão sujeitas a penalidades administrativas por inadequação à norma.
É bem verdade que muitas organizações conseguiram implementar consideráveis avanços em relação à privacidade e à proteção de dados pessoais desde a promulgação da LGPD. Entretanto, para que as corporações atinjam níveis satisfatórios de maturidade nesse campo, é indispensável a correta compreensão de conceitos fundamentais associados ao trabalho de adequação à proteção de dados pessoais.
LGPD x governança de dados
“Esta Lei dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural” – Artigo 1º da Lei Geral de Proteção de Dados (LGPD)
Não à toa, o primeiro artigo da LGPD foi aqui destacado. Ainda é relativamente comum utilizar o conceito de governança de dados como sinônimo de adequação à LGPD. A correlação é equivocada, visto que a lei brasileira tem por objetivo regular a proteção dos dados pessoais de todo cidadão que esteja no Brasil.
São considerados dados pessoais qualquer informação que possa identificar, direta ou indiretamente, uma pessoa viva, tais como: RG, CPF, gênero, data e local de nascimento, filiação, telefone, endereço residencial, cartão ou dados bancários, localização via GPS, retrato em fotografia, prontuário de saúde, hábitos de consumo, endereço de IP (protocolo da internet) e cookies.
A governança de dados, por sua vez, diz respeito ao gerenciamento de todos os dados utilizados por uma organização, tanto os dados considerados pessoais como os não pessoais. De acordo com o guia DAMA-DMBOK v2, a governança de dados é definida como o exercício de autoridade e controle (planejamento, monitoramento e execução) sobre o gerenciamento de ativos de dados. O objetivo central é justamente esse: permitir que os dados (tanto os pessoais quanto os não pessoais) sejam tratados como ativos operacionais e estratégicos.
Mas e a governança em privacidade?
O artigo 50, § 2º, inciso I, da LGPD recomenda a implementação de um programa de governança em privacidade. Empresas e instituições públicas, em função da coleta e do tratamento de dados pessoais, são aconselhadas a instituir um programa que assegure os princípios da segurança e da prevenção preconizados na legislação federal.
A norma traz diretrizes mínimas para tanto. Ao todo, são oito orientações, a exemplo da alínea “b” do referido inciso: “implementar um programa de governança em privacidade que, no mínimo: seja aplicável a todo o conjunto de dados pessoais que estejam sob o seu controle, independentemente do modo como se realizou a coleta”.
Estar adequado a uma regulamentação sobre privacidade e proteção de dados pessoais é um dos pilares da governança de dados. Portanto, a governança em privacidade elencada na LGPD está intrinsecamente associada à governança de dados.
Promover a privacidade e a proteção de dados pessoais não é apenas manter o compliance com a LGPD. A governança em privacidade vai além. Ela deve ser entendida como uma área estratégica dos negócios, que tende a gerar impactos positivos nas atividades das instituições e a agregar valor às marcas, contribuindo na gestão e na longevidade das organizações.