Brasília, 11/2/2021
Prosseguindo a série sobre Governança, precisamos abordar o elefante na sala, sim, a Governança de Dados sob a realidade apresentada pela Lei Geral de Proteção de Dados Pessoais (“LGPD”), ponto que ainda encontra resistência nas empresas.
Esse tema vem sendo o pesadelo de alguns empresários, que precisam reestruturar as suas empresas para se adequar às exigências legais. Em pesquisa elaborada pela Harvard Business Review, apenas 3% das empresas acham que atingem níveis de qualidade satisfatórios na governança de dados[1].
Portanto, qual o melhor caminho para estabelecer uma adequada Governança de Dados e qual a sua importância?
Bom, quanto a primeira parte da pergunta, é necessário se guiar pela própria LGPD e pelas diretrizes a serem futuramente elaboradas pela Autoridade Nacional de Proteção de Dados (“ANPD”), que já publicou a sua agenda regulatória para o biênio 2021/2022. Por enquanto, pela leitura da LGPD e da agenda regulatória, podemos presumir que a elaboração da Governança de Dados deverá levar em consideração o tamanho da empresa e os riscos que a sua atividade atinge em relação aos dados tratados[2]. Dentro dessa ideia, deverá ser elaborado um Plano de Ação, que minimamente contemple:
GOVERNANÇA DE DADOS[3]
|
Itens para análise |
Descrição |
|
Objetivos e Resultados do tratamento de dados |
Detalhar as razões para o tratamento dos dados, de modo que fique claro por meio de políticas e diretrizes internas o que se busca com os dados recolhidos. |
|
EGD – Escritório de Governança de Dados |
Constituir uma área da empresa para tratar exclusivamente sobre os dados. Esse grupo será o responsável pela Governança de Dados, sendo liderado pelo Encarregado (“DPO”). |
|
Dados Críticos do Negócio |
Descrever o escopo do negócio, de modo a identificar quais dados são valiosos para o prosseguimento da atividade empresarial. |
|
Catálogo de Dados |
Organizar todos os dados coletados para que a análise e tratamento sejam feitos de forma mais eficiente. |
|
Linhagem de Dados |
Traçar o caminho que os dados percorrem, da coleta até o compartilhamento. |
|
Normas, Padrões e Procedimentos |
Organizar em um documento, a partir de todas as informações coletadas, “padrões para modelagem e arquitetura, procedimentos para armazenamento e descarte, qualidade, segurança”. É nesse momento que o Plano de Ação da empresa deve ser traçado. |
|
Camada de acesso ou compartilhamento de dados |
Tornar acessível os dados aos titulares dos dados[4], de modo que devem ser considerados diferentes formas de acesso para atender a diversas camada de clientes. |
|
Qualidade de Dados |
Estabelecer, para melhor análise, compartilhamento e utilização, um padrão de qualidade dos dados. |
| Segurança e Privacidade |
Constituir ambiente seguro para o tratamento dos dados, de modo a evitar vazamentos. |
Logicamente, os itens expostos acima não são obrigatórios, devendo passar por uma análise de riscos e da profundidade de tratamento dos dados na empresa para saber a necessidade da aplicação de cada um.
Já quanto à segunda parte da pergunta: qual a importância da Governança de dados? De início, cumpre destacar os aspectos mais óbvios, dados mal tratados podem gerar aumento de custos, decisões e estratégias mal colocadas, sem contar problemas com clientes.[5]
Além desses aspectos, com a publicação da LGPD um novo risco se apresenta, as sanções judiciais e administrativas. Em relação às sanções administrativas pela Autoridade Nacional de Proteção de Dados, essas ainda não apresentam um risco imediato, tendo em vista que a Autoridade ainda está estruturando o seu sistema regulatório, bem como essas sanções só terão aplicação, de fato, a partir de 1º de agosto de 2021. Contudo, o mesmo não pode ser dito em relação às ações judiciais, já que existem diversas demandas em face de empresas, de modo a interromper, principalmente, o compartilhamento e comercialização dos dados.
Sob essa ótica, uma das primeiras decisões que se tem notícia foi proferida pelo Tribunal de Justiça de São Paulo, em que uma empresa do ramo imobiliário foi condenada a pagar R$ 10.000,00 para um consumidor que teve informações pessoais compartilhadas com outras empresas.[6]
Já no Tribunal de Justiça do Distrito Federal e Territórios, por exemplo, o juiz da 17ª Vara Cível de Brasília determinou que uma empresa interrompa a disponibilização de dados pessoais, sob pena de multa de R$ 2.000,00 por operação, bem como que o Mercado Livre suspenda os anúncios da referida empresa em seu site.[7]
Sem as diretrizes da ANPD, observa-se que os casos que vêm gerando maior atenção judicial são aqueles mais grosseiros de venda e compartilhamento de dados. Porém a regra é que, cada vez mais, a LGPD seja aplicada em sua integralidade, afinal, a lei já pegou!
[1] Only 3% of Companies’ Data Meets Basic Quality Standards. Disponível em: <https://hbr.org/2017/09/only-3-of-companies-data-meets-basic-quality-standards>. Acesso em: 10 fev. 2021.
[2] Art. 55-J. Compete à ANPD: XVIII – editar normas, orientações e procedimentos simplificados e diferenciados, inclusive quanto aos prazos, para que microempresas e empresas de pequeno porte, bem como iniciativas empresariais de caráter incremental ou disruptivo que se autodeclarem startups ou empresas de inovação, possam adequar-se a esta Lei;
[3] ALBERTO, C. 10 Coisas sobre a Governança de Dados que você precisa saber| by Carlos Alberto Rocha Cardoso | DATA ENGINEER BR | Medium | DATA ENGINEER BR. Disponível em: <https://medium.com/dataengineerbr/10-coisas-que-voc%C3%AA-precisa-saber-sobre-a-governan%C3%A7a-de-dados-a0ca85fb607c>. Acesso em: 10 fev. 2021.
[4] Art. 9º O titular tem direito ao acesso facilitado às informações sobre o tratamento de seus dados, que deverão ser disponibilizadas de forma clara, adequada e ostensiva acerca de, entre outras características previstas em regulamentação para o atendimento do princípio do livre acesso: I – finalidade específica do tratamento; II – forma e duração do tratamento, observados os segredos comercial e industrial; III – identificação do controlador; IV – informações de contato do controlador; V – informações acerca do uso compartilhado de dados pelo controlador e a finalidade; VI – responsabilidades dos agentes que realizarão o tratamento; e VII – direitos do titular, com menção explícita aos direitos contidos no art. 18 desta Lei.
[5] Only 3% of Companies’ Data Meets Basic Quality Standards. Disponível em: <https://hbr.org/2017/09/only-3-of-companies-data-meets-basic-quality-standards>. Acesso em: 10 fev. 2021.
[6] ANGELO, T. Juíza aplica LGPD e condena construtora que não protegeu dados de cliente. Disponível em: <https://www.conjur.com.br/2020-set-30/compartilhar-dados-consumidor-terceiros-gera-indenizacao>. Acesso em: 10 fev. 2021.
[7] LGPD: Justiça determina que site suspenda anúncio de venda de banco de dados cadastrais. Disponível em: <https://www.tjdft.jus.br/institucional/imprensa/noticias/2020/outubro/justica-determina-que-site-suspenda-anuncio-de-venda-de-banco-de-dados-cadastrais>. Acesso em: 10 fev. 2021.
