Elaboração e Governança do Programa de Privacidade e Segurança da Informação (PPSI) e a Resolução ANPD Nº 18 de 2024 sobre o DPO

A expansão do uso de tecnologias digitais, incluindo o uso da IA, tem transformado o segmento de proteção de dados pessoais, tornando indispensável a criação de Programas de Privacidade e Segurança da Informação (PPSI) robustos e eficazes, que não apenas promovem a conformidade com normas como a Lei Geral de Proteção de Dados (LGPD), mas também fortalecem a confiança de cidadãos, clientes e stakeholders, demonstrando compromisso ético e responsabilidade no uso de informações sensíveis.

O PPSI busca alinhar operações organizacionais a padrões internacionais, como os estabelecidos pela ISO 27001 e 27701 e pelo NIST, ao mesmo tempo em que atende regulamentações nacionais, aonde um destaque relevante no Brasil é a recente Resolução CD/ANPD Nº 18/2024, que regulamenta a atuação do encarregado pelo tratamento de dados pessoais e reforça a necessidade de supervisão rigorosa e contínua sobre as práticas de proteção de dados.

Essa resolução é um pilar fundamental para a governança em privacidade, estabelecendo regras claras sobre a nomeação, atribuições e responsabilidades do Encarregado (DPO), além de fornecer diretrizes para gestão de riscos, medidas de segurança e comunicação com a Autoridade Nacional de Proteção de Dados (ANPD). Por meio dessas normas o PPSI promove não apenas a conformidade legal, mas também uma melhoria contínua em processos e práticas organizacionais, consolidando uma cultura de privacidade integrada à gestão estratégica da empresa.

• Programa de Governança em Privacidade:

O Programa de Governança em Privacidade (PGP) é uma metodologia abrangente e contínua que visa assegurar a conformidade com a LGPD e outras regulamentações aplicáveis, ao mesmo tempo em que promove a gestão eficiente e segura do ciclo de vida dos dados pessoais. Ele não é apenas um conjunto de iniciativas isoladas, mas um esforço estratégico que se torna parte integrante da operação organizacional, influenciando permanentemente os processos de tomada de decisão e gestão de riscos.

A Resolução CD/ANPD Nº 18/2024 desempenha um papel central na estruturação do PGP, estabelecendo critérios detalhados para a nomeação e atuação do Encarregado (DPO), em que especifica que o encarregado deve ser formalmente designado por meio de um ato administrativo ou contratual, garantindo sua legitimidade perante a organização e a ANPD. A nomeação deve considerar habilidades técnicas, experiência em privacidade e proteção de dados e, preferencialmente, evitar conflitos de interesse que possam comprometer a autonomia do profissional. Além disso a resolução destaca que o encarregado deve ter acesso direto à alta administração e dispor de recursos suficientes para o desempenho de suas funções, incluindo estrutura organizacional, ferramentas tecnológicas e tempo dedicado.

Entre as principais atribuições do encarregado, a resolução destaca a comunicação eficiente entre os agentes de tratamento e a ANPD, a orientação sobre medidas de conformidade, a supervisão de incidentes de segurança e a elaboração de Relatórios de Impacto à Proteção de Dados (RIPD). Essas responsabilidades abrangem desde a detecção e mitigação de riscos até o monitoramento contínuo das operações de tratamento de dados. A resolução também enfatiza a importância de que o encarregado atue de forma independente, com autonomia técnica e organizacional, garantindo imparcialidade na condução de suas funções.

Outro ponto de destaque da resolução é a necessidade de gestão rigorosa de conflitos de interesse, aonde o encarregado deve declarar qualquer situação que possa comprometer sua independência e, em casos de impedimento temporário ou vacância, a organização deve garantir que suas funções sejam assumidas por um substituto designado formalmente. Além disso a resolução reforça que o encarregado é responsável por implementar e supervisionar medidas internas de mitigação de riscos, incluindo revisão de contratos, políticas de privacidade e controles de segurança.

A estrutura do PGP é baseada no ciclo PDCA (Planejar, Fazer, Checar, Agir), que promove a melhoria contínua das práticas organizacionais. Na fase de planejamento, o programa se concentra na identificação de riscos e na definição de políticas e objetivos claros. Durante a execução, medidas práticas, como treinamentos e implementação de políticas, são colocadas em prática. O monitoramento envolve o uso de indicadores de desempenho (KPIs) para avaliar a eficácia das ações, enquanto a fase de melhoria contínua busca ajustar processos com base em novas exigências legais ou mudanças no ambiente operacional.

O papel do PGP, aliado às diretrizes detalhadas da Resolução CD/ANPD Nº 18/2024, é essencial para garantir que as organizações estejam não apenas em conformidade com as exigências legais, mas também preparadas para responder proativamente a novos desafios em privacidade e segurança de dados. Ao adotar essas práticas, as empresas fortalecem sua governança, protegem os direitos dos titulares e promovem a confiança no ambiente digital.

• Etapas do Programa de Governança em Privacidade:

As etapas do Programa de Governança em Privacidade (PGP) são fundamentais para estruturar, implementar e manter um programa robusto e eficaz. Elas abrangem desde o planejamento inicial até o monitoramento contínuo, assegurando que todas as ações relacionadas à proteção de dados pessoais estejam alinhadas com a Lei Geral de Proteção de Dados (LGPD) e com as melhores práticas globais de governança em privacidade. Essas etapas seguem um modelo estruturado, baseado no ciclo PDCA (Planejar, Fazer, Checar, Agir), para garantir melhoria contínua e evolução estratégica.

- Iniciação e Planejamento:

A fase de Iniciação e Planejamento estabelece as bases do PGP, criando as condições necessárias para que o programa seja executado de forma eficiente e sustentável. É nessa etapa que os fundamentos do programa são definidos, incluindo a designação de papéis, a criação de inventários e o alinhamento estratégico com a alta administração.

Nomeação do Encarregado (DPO): A Resolução CD/ANPD Nº 18/2024 exige a nomeação formal de um encarregado pelo tratamento de dados, também conhecido como Data Protection Officer (DPO). Esse profissional deve atuar como elo de comunicação entre o controlador, os titulares de dados e a Autoridade Nacional de Proteção de Dados (ANPD). O encarregado deve ter conhecimento técnico, habilidades de comunicação e independência para desempenhar suas funções de forma eficaz. Ele também é responsável por supervisionar a conformidade com a LGPD, oferecer orientações sobre mitigação de riscos e gerenciar incidentes de segurança de dados. A autonomia do encarregado é essencial, e ele deve ter acesso direto à alta administração e aos recursos necessários.

Alinhamento com a Alta Administração: O sucesso do PGP depende do suporte ativo da alta administração. Durante o planejamento, é crucial alinhar expectativas, definir objetivos claros e obter o compromisso dos gestores em relação à importância da privacidade e da segurança da informação. Esse alinhamento assegura que o programa seja uma prioridade estratégica e não apenas uma obrigação regulatória.

Inventário de Dados Pessoais: Essa etapa inclui o mapeamento detalhado dos dados pessoais tratados pela organização. O inventário identifica quais informações são coletadas, onde são armazenadas, como são processadas e por quanto tempo são retidas. Ele é essencial para a análise de riscos e para garantir que os dados sejam tratados de forma lícita e transparente.

Levantamento de Contratos: Um levantamento de contratos relacionados ao tratamento de dados pessoais é realizado para identificar cláusulas que precisam ser revisadas ou ajustadas. A conformidade contratual é indispensável para assegurar que os operadores e terceiros envolvidos no tratamento de dados estejam alinhados às exigências da LGPD.

- Construção e Execução:

A etapa de Construção e Execução transforma os planos em ações concretas. Aqui, são implementadas políticas, processos e controles para assegurar a proteção de dados pessoais e o cumprimento das normativas legais.

Políticas e Práticas para a Proteção de Dados: São desenvolvidas políticas internas que detalham os procedimentos de coleta, tratamento, armazenamento e exclusão de dados. Essas políticas devem ser comunicadas de forma clara a todos os colaboradores, fornecedores e parceiros, promovendo uma cultura de conformidade.

Privacy by Design: Este conceito fundamental estabelece que a privacidade deve ser considerada desde a concepção de qualquer sistema, processo ou projeto. Ele prevê a adoção de medidas preventivas que garantam que os dados pessoais sejam protegidos automaticamente, sem a necessidade de intervenção dos titulares. Isso inclui limitar a coleta ao mínimo necessário, anonimizar dados sempre que possível e incorporar proteções robustas em cada etapa do ciclo de vida do dado.

Relatório de Impacto à Proteção de Dados (RIPD): O RIPD é um documento que avalia os riscos associados ao tratamento de dados pessoais e propõe medidas de mitigação. Ele é particularmente relevante para operações de alto risco, como transferência internacional de dados ou uso de tecnologias emergentes.

Medidas de Segurança e Políticas de Privacidade: Nesta etapa, são implementadas diretrizes específicas para proteger os dados pessoais contra acessos não autorizados, perdas ou alterações acidentais. A criação de políticas de segurança e privacidade claras e detalhadas é fundamental para evitar incidentes e para demonstrar conformidade com a LGPD.

Adequação de Contratos e Cláusulas: Os contratos firmados com terceiros que tratam dados pessoais precisam incluir cláusulas que garantam o cumprimento da LGPD. Essas cláusulas devem abordar responsabilidades, medidas de segurança, direito de auditoria e mecanismos para lidar com violações de dados.

Termos de Uso e Política de Privacidade: A criação ou revisão de termos de uso e políticas de privacidade assegura que os titulares de dados sejam informados de forma transparente sobre como suas informações serão utilizadas. Esses documentos são cruciais para promover confiança e evitar litígios.

- Monitoramento:

O Monitoramento é uma etapa contínua que garante que o PGP permaneça eficaz ao longo do tempo. Ele inclui a medição de desempenho, a análise de incidentes e a melhoria de processos.

Indicadores de Performance (KPIs): O monitoramento do programa requer o uso de indicadores específicos, como índices de conformidade, número de incidentes reportados, percentual de serviços com relatórios de impacto elaborados e taxa de conscientização dos colaboradores. Esses indicadores fornecem insights valiosos sobre a eficácia do programa e ajudam a identificar áreas que precisam de melhorias.

Gestão de Incidentes: É necessário implementar um processo robusto para identificar, registrar e responder a incidentes de segurança e privacidade. Esse processo deve incluir a notificação de violações à ANPD e a comunicação transparente com os titulares afetados, conforme exigido pela LGPD.

Análise e Reporte: Relatórios regulares à alta administração são essenciais para demonstrar a evolução do programa e destacar os benefícios tangíveis da governança em privacidade. Esses relatórios também reforçam a importância da privacidade como um valor organizacional.

O Papel do Encarregado: Na etapa de monitoramento, o encarregado desempenha um papel estratégico ao supervisionar as atividades do programa, acompanhar os indicadores de desempenho e garantir que os riscos sejam gerenciados de forma eficaz. Ele também é responsável por revisar continuamente as políticas e processos, ajustando-os conforme necessário para atender a novas demandas regulatórias ou mudanças no ambiente operacional.