O que deve ser considerado quando tratamos de estabelecer a governança da privacidade dos dados pessoais e a arquitetura de segurança da informação de uma organização?
Devemos considerar as diretrizes e princípios trazidos pela LGPD, especialmente atuando nessa ordem:
1 – identificar o princípio a ser adotado no contexto das atividades de tratamento dos dados pessoais pela organização
2 – sugerir as medidas para aplicar os princípios identificados
3 – sugerir modelos adequadamente elaborados para evidenciar a aplicabilidade prática dos princípios da LGPD.
No entanto, não adianta à organização manter nenhum texto tecnicamente perfeito se a cultura da empresa não é a de respeitar os princípios da privacidade na prática.
Afinal, a LGPD se cumpre com a combinação do conjunto de preceitos: lei, governança, proteção e dados.
Então, pela ordem, podemos analisar um dos princípios enumerados no artigo 6º. Da lei 13.709/2018: a boa-fé.
Para evidenciarmos que a implementação da LGPD em uma organização foi eficiente e atingiu níveis de conformidade, toda a documentação e planejamento, bom como todo o projeto de governança da privacidade deve ser pautado obrigatoriamente na boa-fé e também respeitar os quesitos principiológicos atrelados a esta.
Mas como demonstrar em documentos a evidência de cumprimento prático deste princípio?
A boa-fé não se demonstra com documentos formais e não efetivamente válidos.
Páginas escritas e não praticadas não atendem à LGPD, pois as evidencias de aplicabilidade das práticas escolhidas devem estar presentes em todo o conjunto da obra que se quer evidenciar: na teoria e na prática.
O contexto da atividade de tratamento vai trazer a evidência dos elementos objetivos que dão a visão da boa fé aos órgão fiscalizadores.
As evidências de boa-fé numa implementação adequada são claras quando a prática reflete o que foi escrito numa política ou documento destinado a segurança da informação. Ou seja:
1 - todos planos, programas e projetos da organização priorizam a atenção ao privacy by design (previsto no art. 46, §2º da LGPD) em toda a arquitetura de Segurança da Informação;
2 – todas políticas de privacidade são efetivas e instituídas na organização;
3 - o Código de conduta da organização realmente funciona;
4 - o termo de uso condiz com a realidade e é praticado pela empresa.
Quando o princípio da boa-fé está em uso é fácil ver a implementação de medidas que correspondam aos documentos que se referem a determinado contexto.
O apoio jurídico nesse momento deve estar sempre presente, vez que interpretar princípios legais em atividades de tratamento é atividade essencialmente jurídica. E o apoio da equipe de segurança da informação é o que dá suporte prático a esta interpretação da lei para o contexto da empresa ou organização.
Mas como obter constatações e evidências objetivas de que a organização está aplicando o princípio da boa fé no tratamento dos dados pessoais?
Incluir no plano de ação do programa de segurança da informação as auditorias específicas com o objetivo de:
1- Verificar o teor de documentos que possuem diretrizes de segurança da informação e sua aplicabilidade no ambiente da empresa;
2- Realizar observação das atividades da organização, analisando registros, entrevistando partes interessadas, inclusive titulares de dados pessoais cujas informações se encontram em tratamento na organização;
3- Coletar evidências de que a boa fé escrita está sendo praticada.
4- Identificar pontos de melhoria contínua e medidas mais efetivas na prática da boa fé objetiva e subjetiva.
Assim, com atenção a este princípio, os demais enumerados no artigo 6º. da LGPD se tornarão mais fáceis de serem cumpridos e assimilados pela organização.
O titular de dados pessoais sempre espera que o agente de tratamento respeite seus direitos e cumpra o que promete em suas politicas e termos relativos ao compromisso de cuidar bem das informações coletadas.
Afinal, a boa-fé é o ponto de partida em qualquer operação de tratamento de dados pessoais e será um dos primeiros itens a verificar num procedimento fiscalizatório, sendo inclusive atenuante em casos de incidentes de segurança da informação:
Art. 52. Os agentes de tratamento de dados, em razão das infrações cometidas às normas previstas nesta Lei, ficam sujeitos às seguintes sanções administrativas aplicáveis pela autoridade nacional:
§ 1º As sanções serão aplicadas após procedimento administrativo que possibilite a oportunidade da ampla defesa, de forma gradativa, isolada ou cumulativa, de acordo com as peculiaridades do caso concreto e considerados os seguintes parâmetros e critérios:
II - a boa-fé do infrator;
Portanto, é essencial que a organização evidencie o cumprimento da LGPD priorizando a prática do princípio da boa fé em seu ambiente de tratamento de dados pessoais, envolvendo não somente o corpo jurídico, o time de segurança e tecnologia da informação, mas também todos os colaboradores envolvidos nas atividades desenvolvidas para que possa ter condições de prestar um atendimento correto ao titular dos dados pessoais e aos agentes de fiscalização, no exercício de suas atividades.