No primeiro momento, construir um programa de boas práticas e de governança em dados pessoais se apresenta como mais uma das sugestões da Lei n.º 13.709/2018 (LGPD) de garantir o cumprimento das normas de proteção de dados pessoais. Isto que se reforça pela utilização da expressão "(...) poderão formular regras de boas práticas..." no caput do art. 50 do referido diploma.

Para além de uma simples sugestão, tal dispositivo pode e deve ser visto como um mandamento. Seguindo a leitura, no §2º do art. 50, a formulação de um programa de privacidade se mostra essencial para garantir e comprovar, perante a Autoridade Nacional de Proteção de Dados Pessoais (ANPD), titulares e parceiros comerciais, o cumprimento com os princípios de segurança e prevenção (artigo 6º, VII e VIII, da LGPD). Além disso, mais ainda necessário quando se verificar significativa probabilidade de incidentes de segurança e gravidade de danos aos direitos dos titulares de dados pessoais tutelados pela instituição.

Em um sentido macro, o programa de governança em dados pessoais pode ser entendido como a estratégia de segurança da informação (aspecto técnico da área de segurança TI) e de privacidade (aspecto jurídico), com foco em implementar e adaptar os mecanismos de proteção da confidencialidade, integridade, disponibilidade e transparência dos sistemas e processos de coleta, utilização, armazenamento e compartilhamento de informações pessoais.

A depender da estrutura, escala e volume de operações em que envolvam dados pessoais de uma instituição, construir e realizar um programa de boas práticas efetivo pode representar uma criteriosa alocação de tempo, cooperação e de recursos. Será necessário levar ao Encarregado, ou responsável pelo projeto, entendimento suficiente de como os sistemas, redes e processos de negócio da instituição funcionam. Também, cada instituição precisa entender esta premente necessidade para destinar orçamento específico para a mitigação de riscos de segurança e privacidade.

Por conseguinte, a fim de cumprir com o escopo mínimo de um programa corporativo de boas práticas e de governança em dados pessoais efetivo (art. 50, §2º, I, da LGPD), necessário se faz que a instituição, inicialmente, entenda o seu nível atual de maturidade em segurança e privacidade.

O nível de maturidade em segurança e privacidade pode ser exposto por meio de um Relatório de Impacto à Lei Geral de Proteção de Dados, devendo, em sua elaboração, contemplar a descrição dos tratamentos e os dados pessoais, a natureza, o escopo, a finalidade, a probabilidade e a gravidade dos riscos e dos benefícios decorrentes de tratamento de dados do titular. A partir deste verdadeiro "raio-x" e identificados eventuais "gaps", a instituição poderá melhor alinhar estrategicamente os esforços necessários para aplicar os controles necessários a fim de mitigar os riscos de segurança e de privacidade.

*Daniel Cerveira e Lucas Souza dos Anjos, integrantes do "Cerveira Tech", programa de tecnologia e inovação da banca Cerveira, Bloch, Goettems, Hansen & Longo Advogados Associados