Governança de dados: a importância dos comitês de governança e proteção

Por Marcelo Mendes Santos, gerente de TI CISO da NEO

A Lei Geral de Proteção de Dados (LGPD), como disposto em seu artigo 5º, determina a necessidade de se deixar claro para qual finalidade uma pessoa natural ou jurídica, de direito público ou privado, utilizará dados pessoais. Em qualquer situação, é necessário solicitar o consentimento de seus titulares e realizar o devido tratamento dos dados. Por isso, entender e classificar corretamente os dados se torna um processo importante para estar em conformidade com a Lei e, por consequência, requer a implementação de políticas, processos e programas apropriados para gerenciar a forma de coletar, processar, analisar, armazenar, compartilhar, reutilizar e eliminar esses dados.

Com o intuito de preservar e dar continuidade às adequações nas empresas, recomenda-se a instauração de um Comitê de Governança e Proteção como uma estrutura permanente e que siga as boas práticas das ISOs 27001 e 27701, que tratam do tema de segurança da informação e privacidade. Muito embora a criação de um Comitê de Privacidade e Proteção de Dados Pessoais não constitua uma obrigação legal, trata-se, sem dúvida, de importante instrumento facilitador da promoção de uma cultura de proteção aos dados pessoais dentro da instituição.

Ao estabelecer um Sistema de Gestão de Segurança da Informação (SGSI), faz-se necessário definir os papéis e responsabilidades deste Comitê, cabendo sempre a possibilidade de inclusão ou de exclusão de integrantes. Os membros são verdadeiros embaixadores da cultura de proteção de dados pessoais dentro das organizações, sendo importantes aliados na governança dos dados pessoais. E a tarefa de adequação à LGPD é uma responsabilidade que deve ser assumida pela organização como um todo, contribuindo o Comitê de forma especial nesse processo de adequação e readequação constante às normas aplicáveis de proteção de dados pessoais.

A periodicidade de encontro deste Comitê deve ser prevista em um normativo de Privacidade e Proteção de Dados Pessoais, que poderá ser revisado à medida que seus membros entendam que o Programa de Manutenção está sendo executado a contento. E, neste contexto, é preciso incorporar ao negócio a Gestão do Ciclo de Vida dos Dados, considerando a finalidade do fornecimento de seus bens e serviços, devendo considerar os seguintes pontos:

1. A coleta de dados pessoais deve obedecer aos princípios da necessidade e da finalidade. A coleta de dados pessoais é realizada, principalmente, por meio das atividades RH, marketing, portais digitais, projetos e eventos, onde a necessidade e finalidade de coleta devem estar formalizadas de maneira clara e transparente para os titulares dos dados. Em relação ao site, precisam ser realizados ajustes em observância à Lei, para que a coleta ocorra de forma segura e transparente. Como medidas técnicas, é necessário proteger os dados coletados por meio de acesso controlado (por usuário e senha) e criptografar  as informações em seu ciclo de tratamento. 
2. A retenção do armazenamento de dados pessoais, independentemente do meio utilizado (documento em papel, documento eletrônico ou banco de dados) deve ser efetuada por prazos definidos até que sua finalidade seja alcançada - ou que a guarda deixe de ser necessária. Os tempos de retenção devem ser definidos com base no preenchimento do Registro de Tratamento de Dados Pessoais, que respeita as particularidades da Legislação abrangente para cada área. 
3. O processamento deve ocorrer garantindo a segurança dos dados com as técnicas de controle de acesso, anonimização ou criptografia dos dados, com  revisão constante do acesso aos sistemas e arquivos que contenham dados pessoais.
4. O compartilhamento dos dados com entidades externas, como parceiros, fornecedores ou processos de transferência internacional, precisa ser informado aos titulares dos dados e requer o legítimo consentimento. Para adequação à Lei, é importante revisar as  cláusulas contratuais com essas entidades externas, a fim de garantir a conformidade. Adicionalmente, faz-se necessário implementar um Checklist de Segurança de Informação voltado aos fornecedores, de modo a garantir que seus parceiros considerem as boas práticas de Segurança da Informação.
5. A reutilização dos dados pessoais só pode ser feita se devidamente acompanhada de um novo consentimento, principalmente se houver  mudança de finalidade. Na reutilização, é importante evitar a duplicidade dos dados, garantindo a sua acessibilidade, respeitando a necessidade de acesso e mantendo toda a sua rastreabilidade e todo o ciclo de vida destes dados. 
6. A eliminação dos dados pessoais deve respeitar o término do tratamento. Para tanto, após o uso destes dados, é imperativo um descarte seguro, que siga diretrizes bem estabelecidas para a eliminação dessas informações.

O impacto das regras sobre a proteção de dados pessoais é o equilíbrio das assimetrias de poder sobre os dados pessoais existentes entre o titular dos dados pessoais e aqueles que os utilizam e compartilham. Por isso, educar sobre a privacidade e proteção de dados, e tornar isso um exemplo para todas as instituições ajudará a propagar o uso das boas práticas, transformando empresas, organizações e a sociedade como um todo em um ambiente mais seguro para o tratamento de dados pessoais.