Evidenciando o princípio da boa fé na governança da privacidade de dados pessoais

O que deve ser considerado quando tratamos de estabelecer a governança da privacidade dos dados pessoais e a arquitetura de segurança da informação de uma organização?

Devemos considerar as diretrizes e princípios trazidos pela LGPD, especialmente atuando nessa ordem:

1 - identificar o princípio a ser adotado no contexto das atividades de tratamento dos dados pessoais pela organização

2 - sugerir as medidas para aplicar os princípios identificados

3 - sugerir modelos adequadamente elaborados para evidenciar a aplicabilidade prática dos princípios da LGPD.

No entanto, não adianta à organização manter nenhum texto tecnicamente perfeito se a cultura da empresa não é a de respeitar os princípios da privacidade na prática.

Afinal, a LGPD se cumpre com a combinação do conjunto de preceitos: lei, governança, proteção e dados.

Então, pela ordem, podemos analisar um dos princípios enumerados no artigo 6º. Da lei 13.709/2018: a boa-fé.

Para evidenciarmos que a implementação da LGPD em uma organização foi eficiente e atingiu níveis de conformidade, toda a documentação e planejamento, bom como todo o projeto de governança da privacidade deve ser pautado obrigatoriamente na boa-fé e também respeitar os quesitos principiológicos atrelados a esta.

Mas como demonstrar em documentos a evidência de cumprimento prático deste princípio?

A boa-fé não se demonstra com documentos formais e não efetivamente válidos.

Páginas escritas e não praticadas não atendem à LGPD, pois as evidencias de aplicabilidade das práticas escolhidas devem estar presentes em todo o conjunto da obra que se quer evidenciar: na teoria e na prática.

O contexto da atividade de tratamento vai trazer a evidência dos elementos objetivos que dão a visão da boa fé aos órgão fiscalizadores.

As evidências de boa-fé numa implementação adequada são claras quando a prática reflete o que foi escrito numa política ou documento destinado a segurança da informação. Ou seja:

1 - todos planos, programas e projetos da organização priorizam a atenção ao privacy by design (previsto no art. 46, §2º da LGPD) em toda a arquitetura de Segurança da Informação;

2 - todas políticas de privacidade são efetivas e instituídas na organização;

3 - o Código de conduta da organização realmente funciona;

4 - o termo de uso condiz com a realidade e é praticado pela empresa.

Quando o princípio da boa-fé está em uso é fácil ver a implementação de medidas que correspondam aos documentos que se referem a determinado contexto.

O apoio jurídico nesse momento deve estar sempre presente, vez que interpretar princípios legais em atividades de tratamento é atividade essencialmente jurídica. E o apoio da equipe de segurança da informação é o que dá suporte prático a esta interpretação da lei para o contexto da empresa ou organização.

Mas como obter constatações e evidências objetivas de que a organização está aplicando o princípio da boa fé no tratamento dos dados pessoais?

Incluir no plano de ação do programa de segurança da informação as auditorias específicas com o objetivo de:

1- Verificar o teor de documentos que possuem diretrizes de segurança da informação e sua aplicabilidade no ambiente da empresa;

2- Realizar observação das atividades da organização, analisando registros, entrevistando partes interessadas, inclusive titulares de dados pessoais cujas informações se encontram em tratamento na organização;

3- Coletar evidências de que a boa fé escrita está sendo praticada.

4- Identificar pontos de melhoria contínua e medidas mais efetivas na prática da boa fé objetiva e subjetiva.

Assim, com atenção a este princípio, os demais enumerados no artigo 6º. da LGPD se tornarão mais fáceis de serem cumpridos e assimilados pela organização.

O titular de dados pessoais sempre espera que o agente de tratamento respeite seus direitos e cumpra o que promete em suas politicas e termos relativos ao compromisso de cuidar bem das informações coletadas.

Afinal, a boa-fé é o ponto de partida em qualquer operação de tratamento de dados pessoais e será um dos primeiros itens a verificar num procedimento fiscalizatório, sendo inclusive atenuante em casos de incidentes de segurança da informação:

Art. 52. Os agentes de tratamento de dados, em razão das infrações cometidas às normas previstas nesta Lei, ficam sujeitos às seguintes sanções administrativas aplicáveis pela autoridade nacional: 

§ 1º As sanções serão aplicadas após procedimento administrativo que possibilite a oportunidade da ampla defesa, de forma gradativa, isolada ou cumulativa, de acordo com as peculiaridades do caso concreto e considerados os seguintes parâmetros e critérios:

II - a boa-fé do infrator; 

Portanto, é essencial que a organização evidencie o cumprimento da LGPD priorizando a prática do princípio da boa fé em seu ambiente de tratamento de dados pessoais, envolvendo não somente o corpo jurídico, o time de segurança e tecnologia da informação, mas também todos os colaboradores envolvidos nas atividades desenvolvidas para que possa ter condições de prestar um atendimento correto ao titular dos dados pessoais e aos agentes de fiscalização, no exercício de suas atividades.