+55 (21) 2505-9393
+55 (21) 99731-6528
contato@acpdbrasil.com

Qual é a sua estratégia de privacidade e proteção de dados?

Conformidade, Proteção e Privacidade de Dados

   Boas Práticas Gestão de Riscos Proteção de dados    julho 16, 2024  |  0

O cenário global de privacidade e proteção de dados foi radicalmente transformado nos últimos cinco anos, especialmente com a entrada em vigor do General Data Protection Regulation (GDPR), da União Europeia (UE), em 2018. E, por aqui, em terras tupiniquins, com a promulgação da Lei Geral de Proteção de Dados (LGPD), a Lei n.º 13.709/ 2018. O ambiente tem visto um foco crescente em:

  • Níveis de demandas de tratamento de dados transfronteiriço;
  • Requisitos de dados pessoais de novas e emergentes tecnologias;
  • Variação no uso ou adoção de tecnologias;
  • Aumento de relatos de violações de privacidade e proteção de dados pessoais;
  • Respostas legislativas e regulatórias de várias jurisdições ao redor do mundo.

É imperativo que cada organização compreenda a natureza do processo para desenvolver uma estratégia de privacidade e proteção de dados que permita a adoção de normas técnicas, frameworks e práticas rigorosas para fortalecer suas iniciativas de privacidade.

Este estado dinâmico da privacidade e da proteção de dados pessoais tem causado demandas crescentes sobre os Encarregados pelo Tratamento de Dados Pessoais, às vezes, equivalentemente, também conhecidos como Data Protection Officers (DPOs). De maneira mais abrangente, notam-se casos de pessoas não nomeadas em cargos equivalentes, mas que também gerenciam programas de privacidade em suas organizações. As crescentes demandas de privacidade criaram uma necessidade crítica de clareza e estrutura no gerenciamento dos programas de privacidade organizacionais para atender à complexa gama de requisitos de conformidade, que, para algumas organizações, abrangem múltiplas jurisdições e leis.

Pode-se argumentar que uma estratégia de privacidade robusta é fundamental para determinar os programas e iniciativas de conformidade de privacidade de maneira coordenada e ajuda a alcançar o sucesso. A estratégia de privacidade não é uma abordagem one-size-fits-all, ou seja, única para todos. Cada organização provavelmente está em diferentes estágios de uma jornada de conformidade ou enfrenta diferentes requisitos. Por exemplo, em uma organização multinacional há a necessidade de uma compreensão completa dos requisitos legais e regulatórios de cada país de sua operação e de como as leis, normas técnicas e frameworks, nesses países de operação, afetam a organização nos níveis global e doméstico.

Independentemente do tipo de indústria ou do tamanho da organização, desenvolver uma estratégia de privacidade é um processo complexo e intricado. É imperativo que cada organização compreenda a natureza dos seus processos e dos processos que se relacionam no seu contexto externo para desenvolver uma estratégia de privacidade e adote normas técnicas, frameworks e práticas rigorosas para fortalecer suas iniciativas de privacidade.

Algumas organizações tendem a concluir que há poucas razões convincentes para que elas incorporem considerações profundas e mais amplas de privacidade em suas estratégias organizacionais. E este é um ponto relevante que pode corroborar para a prática do Privacy Washing, já abordada. Agora, as organizações enfrentam um risco maior para os temas privacidade e proteção de dados e, como tal, criar uma estratégia nestes temas, focada e alinhada com a estratégia de negócios da organização, sem dúvida gerará melhores resultados. Portanto, a privacidade e a proteção dos dados pessoais deve ser um componente crítico do processo de gestão estratégica da organização, que pode ser claramente articulado por meio da visão, missão, valores e políticas da organização, isto é, alinhados com a governança institucional.

Uma estratégia é geralmente definida como um plano de ação projetado para alcançar um objetivo organizacional ou de longo prazo. Portanto, a estratégia de privacidade e proteção de dados deve ser um plano de ação claro, projetado para garantir a conformidade com as normas técnicas, frameworks, regras e compliance com leis de privacidade e proteção de dados estabelecidas.

A estratégia de privacidade deve delinear como os princípios de privacidade definidos pelas respectivas leis são aplicados ou adotados na organização. Por exemplo, de acordo com o Artigo 5 do GDPR, o controlador tem a obrigação de demonstrar conformidade com os princípios relativos ao tratamento de dados pessoais. Já o US State of California Consumer Privacy Act (CCPA), dos EUA, por exemplo, determina que uma organização sob essa respectiva jurisdição deve implementar medidas apropriadas para demonstrar conformidade. A nossa LGPD, em seu Artigo 6.º, exige que as atividades de tratamento de dados pessoais deverão observar a boa-fé e alguns princípios, com destaque para o de responsabilização e prestação de contas1.

Essas respectivas obrigações de privacidade, provavelmente, afetarão todas as áreas das operações de uma organização. Para garantir a conformidade, estas organizações devem considerar:

  • Os sistemas e serviços envolvidos no tratamento de dados pessoais;
  • Os usuários desses sistemas e serviços;
  • As políticas, processos e procedimentos adotados para permitir a execução adequada das obrigações legais.

Esses fatores ressaltam a importância da supervisão estratégica e a necessidade de ter uma compreensão holística dos parâmetros de privacidade da organização. Portanto, desenvolver uma estratégia de privacidade requer uma compreensão integrada e completa da organização:

  • Leis, normas técnicas e frameworks de privacidade aplicáveis;
  • Dados pessoais e dados pessoais sensíveis que estão sendo processados;
  • Pessoas que podem tratar os dados pessoais e dados pessoais sensíveis;
  • As diversas formas de tratamento realizadas pela organização;
  • Processos de negócios necessários para facilitar o tratamento dos dados;
  • Ferramentas e tecnologias usadas para tratar tais dados pessoais.

Não há uma maneira única correta de elaborar uma estratégia de privacidade.

No entanto, aqui é apresentada uma abordagem de perspectiva estratégica para criar uma estratégia de privacidade adequada. Um componente-chave ou insumo no processo de estratégia de privacidade é entender e confirmar os requisitos de conformidade de privacidade da organização. Um passo inicial envolve avaliar as leis e demais exigências de privacidade e proteção de dados aplicáveis à organização. Além disso, é importante determinar as necessidades específicas de privacidade da organização. Esta avaliação ajuda a determinar os objetivos, escopo e prioridades da estratégia de privacidade. Seis etapas são identificadas como cruciais para preparar o cenário para uma política de privacidade eficaz, compartilhadas, a seguir:

  • Estabeleça a estrutura. Quais são os princípios orientadores necessários para gerenciar a privacidade e a proteção de dados na sua organização?
  • Crie a visão. Qual é o objetivo da organização para a gestão da privacidade?
  • Concorde com o escopo. Quais são os limites ou parâmetros desta estratégia de privacidade?
  • Desenvolva os objetivos estratégicos. Quais são os resultados almejados pela organização relacionados à privacidade e proteção de dados?
  • Concorde com as ações. Quais atividades são necessárias para alcançar os objetivos estratégicos?
  • Proporcione uma boa governança. O que a organização deve fazer para garantir o sucesso ao criar a estratégia?

Conclusão

Conclusão

A gestão da privacidade é um desafio contemporâneo para os negócios. Muitas organizações ao redor do mundo estão enfrentando dificuldades com suas respectivas leis locais de privacidade e leis internacionais aplicáveis. Para as organizações superarem esse desafio, elas devem navegar por uma complexa gama de tarefas que envolvem preocupações diversas de diferentes partes interessadas. Desenvolver uma estratégia de privacidade clara e robusta é um dos primeiros passos críticos necessários para uma organização estabelecer uma estrutura sólida para seus programas de privacidade.

Adote uma perspectiva estratégica de cinco lentes: dados pessoais, pessoas, processos, tecnologia e regras, combinada com considerações gerais de estratégia de privacidade e proteção de dados, são ferramentas úteis para a implementação. Essa visão permite que uma organização identifique as considerações-chave necessárias para criar uma estratégia de privacidade e proteção de dados eficaz e garantir a execução bem-sucedida dos programas de privacidade para uma maior conformidade.

Garantir que esses elementos importantes sejam incorporados ao processo de estratégia pode ajudar uma organização a alcançar sua visão de privacidade, compliance com as leis e conformidades com normas técnicas de proteção de dados e privacidade aplicáveis ao negócio. Em outras palavras, cada organização, após confirmar as leis e normas técnicas de privacidade relevantes aos quais deve aderir, deve garantir o alinhamento de sua estratégia de privacidade às leis e regulamentos de privacidade aplicáveis por meio da adoção consistente dos elementos discutidos. Uma estrutura simples para desenvolver uma estratégia de privacidade robusta, que esteja alinhada à estratégia de negócios da organização é essencial para o sucesso.

Notas de Rodapé

  1. Responsabilização e Prestação de Contas: demonstração, pelo agente de tratamento, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas. ↩︎

 

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Próximos Eventos

BUSCAR POR MÊS
BUSCAR POR CATEGORIA

© 2024 ACPD Brasil. Desenvolvido por: Support Brasil.

Open chat
Powered by Joinchat
Olá 👋
Como podemos te ajudar?