A palavra “governança” se faz cada vez mais presente no meio de advogados atuantes na área de proteção de dados. A disseminação do termo no meio jurídico deu-se, em grande parte, devido ao artigo 50, § 2º, inciso I, da lei 13.709/18 (Lei Geral de Proteção de Dados, ou “LGPD”), que recomenda a implementação de um “programa de governança em privacidade”. Além desse registro, a palavra “governança” ainda é citada mais sete vezes no texto legal ? inclusive, dentro da lista de “parâmetros e critérios” a serem levados em consideração na definição da gravidade de sanções a serem aplicadas (art. 52, § 1º, inciso IX, LGPD).
Todavia, ao mesmo tempo em que a popularização desse conceito é um tanto desejável, tal fenômeno deveria ser acompanhado de maior compreensão em relação às suas ramificações, cada qual com suas particularidades e funções dentro do ecossistema de uma organização. Dentre essas ramificações, deve-se atentar, de forma especial, para as diferenças entre “governança corporativa”, “governança de dados” e “governança em privacidade”. O objetivo deste artigo é, portanto, esclarecer cada um desses conceitos e contribuir para seu adequado emprego nos trabalhos de adequação à LGPD.
“Governança” significa ato de governar, administrar, e até mesmo “direcionar”, conforme a raiz grega do termo. O ato de administrar e direcionar ocorre por meio do estabelecimento de regras, práticas, processos (descrição de “o que” precisa ser feito), procedimentos (“como” a ação deve ser realizada), controles e tomada de decisão. Já a “governança corporativa” é definida pelo Instituto Brasileiro de Governança Corporativa como um sistema que dirige, monitora e incentiva as organizações (“corporações”) por meio de boas práticas que “convertem princípios básicos em recomendações objetivas, alinhando interesses com a finalidade de preservar e otimizar o valor econômico de longo prazo da organização, facilitando seu acesso a recursos e contribuindo para a qualidade da gestão da organização, sua longevidade e o bem comum”. Em outras palavras, a governança corporativa é um sistema composto por “regras, práticas, processos, procedimentos e controles” que viabiliza o crescimento da empresa de forma organizada e sustentável, alinhando qualidade de gestão, legislação aplicável, regulamentações setoriais, objetivos da diretoria, acionistas e demais partes interessadas, bem como quaisquer outros fatores relevantes para a organização. Finalmente, debaixo do guarda-chuva da governança corporativa, encontram-se a “governança de dados” e a “governança em privacidade”.
Neste ponto, é importante destacar que, muitas vezes, e de forma equivocada, fala-se em “governança de dados” como sinônimo de estrutura jurídico-regulatória relacionada ao tema de proteção de dados. No entanto, de acordo com o DAMA Data Maturity Body of Knowledge (DMBOK, 2ª edição, 2017, tradução livre), a governança de dados é “o exercício de autoridade e controle (planejamento, monitoramento e execução) sobre o gerenciamento de ativos de dados” (p.67), e “fornece orientação e supervisão para o gerenciamento de dados, estabelecendo um sistema de direitos de decisão sobre dados que atenda às necessidades da empresa” (p.45). Vale ressaltar que os “dados” referidos englobam tanto os considerados “pessoais” como “não pessoais”, como dados estratégicos da empresa e dados de pessoas jurídicas. Os objetivos da governança de dados são três (p.69):
I.Permitir que uma organização gerencie seus dados como um ativo.
II.Definir, aprovar, comunicar e implementar princípios, políticas, procedimentos, métricas, ferramentas e responsabilidades para gerenciamento de dados.
III.Monitorar e orientar atividades de conformidade com políticas, uso de dados e gerenciamento.
Ainda segundo o DMBOK (p.68), para atingir esses objetivos, um programa de Governança de Dados deve envolver a elaboração de políticas e procedimentos, o cultivo de práticas de administração de dados em vários níveis da organização e envolvimento nos esforços de gerenciamento de mudanças organizacionais. A equipe de compliance e os profissionais de dados são apenas dois dos vários tipos de participantes do programa, e, nesse programa, o pilar a conformidade com normas relacionadas a dados é apenas uma parte dessa grande estrutura, devendo, inclusive, dialogar com a estratégia, políticas internas, padrões de qualidade adotados, mecanismos de controle e supervisão, projetos, avaliação de ativos, e gerenciamento de problemas relacionados, por exemplo, à propriedade, padrões ou terminologia dos dados, dentre outros.
A “governança em privacidade”, por sua vez, é voltada somente para os dados considerados “pessoais” pela legislação de proteção de dados, tem como base um direito humano fundamental, a privacidade, e está alinhada com o objetivo de contribuir para o “bem comum”, intrínseco ao conceito de “governança” mencionado anteriormente. A conformidade normativa tem um papel fundamental, mas as atividades de um programa de governança em privacidade não se resumem ao simples cumprimento do “mínimo” disposto no art. 50, § 2º, inciso I, LGPD ? vão além dele. Não basta atender aos preceitos legais e ter comprovação disso, mas deve-se explorar todos os princípios e fundamentos da lei e traduzi-los em estratégia e em atividades que irão agregar valor à organização, quase como um ativo à parte. Esse novo “ativo” gerado pela governança em privacidade pode ser identificado, por exemplo, em processos de due dilligence. É cada vez mais comum as empresas que passam por rodadas de investimento serem auditadas em matéria de proteção de dados e privacidade.
Nesse processo, quando as empresas demonstram ir além do cumprimento legal em matéria de proteção de dados e privacidade, sendo proativas no reforço à transparência, boa-fé, segurança dos dados e não discriminação no uso dos dados pessoais, por exemplo, ao mesmo tempo em que promovem a inovação, a autodeterminação informativa, o livre desenvolvimento da personalidade e o respeito à privacidade, esse conjunto todo acaba por valorizá-la ainda mais aos olhos dos investidores. Segundo o relatório “From Privacy to Profit: Achieving Positive Returns on Privacy Investments”, resultado de um levantamento realizado pela CISCO com empresas de 13 países e publicado no início deste ano, 73% das empresas entrevistadas reconheceram que, após investirem em privacidade, sua organização se tornou mais atraente aos olhos dos investidores.
A governança em privacidade é, portanto, um programa que, além de promover o compliance e atuar na prevenção a sanções administrativas e judiciais, também (e principalmente) gera impactos positivos na operação da empresa e a valoriza. Como a governança de dados tem como um de seus pilares o compliance em matéria de privacidade e proteção de dados pessoais, acaba apresentando uma intersecção com a governança em privacidade. Ambas estão debaixo do guarda-chuva da governança corporativa, um sistema que dirige a organização por meio de boas práticas que contribuem para sua gestão e longevidade, bem como para o bem comum.
_________
*Daniela M. Monte Serrat Cabella é advogada especialista em Proteção de Dados e Privacidade. Bacharel em Direito pela USP. Pós-graduada em Gestão da Inovação, Direito Digital e como Data Protection Officer (DPO).
*Raíssa Moura Ferreira é head of Data Privacy na In Loco. LL.M. em Direito Corporativo. Bacharel em Direito pela UNICAP. Certificada em Proteção de Dados (LGPD) e em Privacy and Data Protection Essentials. Instrutora em Proteção de Dados e Cyber Segurança.
*Gisele Shinozaki Kauer é advogada especialista em Direito Digital, Inovação, Proteção de Dados e Segurança da Informação. Bacharel em Direito pela Faculdade de Direito de São Bernardo do Campo. Professora convidada na Associação Brasileira de Propriedade Intelectual (ABPI).
*Manoel Silvino Kauer é gerente de projetos na TDW BI Consulting, atuou como Cientista de Dados no Itaú. Possui MBA em Tecnologia e é certificado como Project Management Professional e Cyber Hacking.