Artigos
A importância do Comitê de Privacidade e Proteção de Dados Pessoais na governança dos dados pessoais

Muito embora a criação de um Comitê de Privacidade e Proteção de Dados Pessoais não constitua uma obrigação legal, trata-se, sem dúvida, de importante instrumento facilitador da promoção de uma cultura de proteção aos dados pessoais dentro da instituição.

Com o General Data Protection Regulation, na União Europeia, e agora, no Brasil, com a Lei Geral de Proteção de Dados Pessoais, lei 13.709/18 – LGPD, viu-se relevante movimento das empresas no sentido da criação de um Comitê de Privacidade e Proteção de Dados Pessoais para auxílio na adoção e fiscalização de medidas de compliance a normas referentes à proteção da privacidade e dados pessoais.

Nesse contexto, seria obrigatória a criação de um Comitê de Privacidade e Proteção de Dados Pessoais? Quem deve participar do indicado Comitê? Quais as funções do Comitê? Essas são as perguntas mais frequentes daqueles que estão empenhando esforços para adequar-se aos desafios impostos pela novel legislação brasileira de proteção aos dados pessoais.

Muito embora a criação de um Comitê de Privacidade e Proteção de Dados Pessoais não constitua uma obrigação legal, trata-se, sem dúvida, de importante instrumento facilitador da promoção de uma cultura de proteção aos dados pessoais dentro da instituição, ao mesmo tempo em que contribui para a tomada de decisão de forma centralizada, com a minimização, inclusive, de eventuais conflitos de interesse que possam existir.

Sabe-se que a LGPD impõe ao controlador e ao operador a obrigação de manutenção dos registros das operações de tratamento de dados pessoais, de modo que o controlador e operador devem não só cumprir a lei, mas sobretudo demonstrar a adoção de medidas técnicas e organizacionais disponíveis e necessárias para o adequado cumprimento desta. Desse modo, a constituição de um Comitê de Privacidade e Proteção de Dados Pessoais pode representar um importante passo no cumprimento de tal exigência. Afinal, o Comitê será, em síntese, uma representação corpórea da visão empresarial sobre proteção de dados pessoais, (i) propondo políticas e sendo o porta-voz da necessidade de seu cumprimento e conscientização de todos os agentes internos envolvidos com tratamento de dados pessoais, (ii) gerenciando atividades relativas ao tratamento de dados, e, entre outros, (iii) fiscalizando processos que envolvem tratamento de dados pessoais.

Não por acaso, talvez, em julho deste ano, exigiu-se, por meio de acordo firmado com o Federal Trade Comission (“FTC”), que o Facebook criasse um Comitê de Privacidade independente de seu Conselho Diretor. Isso porque, enxergou o FTC com a criação do aludido Comitê um importante aliado no fortalecimento da estruturação e implantação de práticas transparentes de tratamento de dados pessoais1.

Dito isso, cumpre notar que os escolhidos para compor o Comitê de Privacidade e Proteção de Dados Pessoais devem ser, preferencialmente, pessoas envolvidas diretamente nos processos/atividades empresariais mais afetados pela nova legislação e/ou que tenham amplo conhecimento dos principais processos empresariais relevantes para fins da legislação em referência (eg. Jurídico, Compliance, Marketing, SAC, RH, etc), tenham ampla aderência aos valores da empresa, tenham interesse quanto ao tema e de se aprofundar nele, bem como sejam dotadas de soft skills.

Finalmente, quanto às principais atividades do Comitê de Privacidade e Proteção de Dados Pessoais, estão, de acordo com relatório elaborado em parceria pela IAPP e Ernest Young – “IAPP-EY Annual Privacy Governance Report 20192”, a criação de políticas de privacidade, governança de dados e de processos de tratamento, atividades de engajamento e treinamento, endereçamento de problemas envolvendo produtos e serviços (no que se refere o tratamento de dados), acompanhamento de legislações sobre o tema, investigações, elaboração de inventário e mapeamento de dados, bem como de relatórios de impacto.

Os membros do Comitê de Privacidade e Proteção de Dados são, pois, verdadeiros embaixadores da cultura de proteção de dados pessoais dentro das organizações, sendo importantes aliados na governança dos dados pessoais. A tarefa de adequação à LGPD é responsabilidade que deve ser assumida pela instituição como um todo, ou seja, por todas as pessoas que fazem dela parte, contribuindo o Comitê de forma especial nesse processo de adequação e readequação constante às normas aplicáveis de proteção de dados pessoais.

__________

1 “To prevent Facebook from deceiving its users about privacy in the future, the FTC’s new 20-year settlement order overhauls the way the company makes privacy decisions by boosting the transparency of decision making and holding Facebook accountable via overlapping channels of compliance.

The order creates greater accountability at the board of directors level. It establishes an independent privacy committee of Facebook’s board of directors, removing unfettered control by Facebook’s CEO Mark Zuckerberg over decisions affecting user privacy”. (“FTC Imposes $5 Billion Penalty and Sweeping New Privacy Restrictions on Facebook”. Disponível aqui. Acesso em 18/11/19).

2 “IAPP-EY Annual Governance Report 2019”. Disponível aqui. Acesso em 16/12/19. Pgs. 42/43.

Créditos: Mariana Zanardo Dessotti