Na sequência da série de artigos elaborados para especificar, de maneira prática, os direcionamentos apresentados pelo TCU no acórdão TC nº 1384/2022 para que os órgãos públicos adequem sua atuação à proteção dos dados pessoais, a análise agora diz respeito à dimensão da liderança.
Trazendo novamente à tona a necessidade do tone at the top no programa de compliance de dados pessoais, o TCU reforça a exigência de que a alta direção efetivamente se envolva na implantação e implementação do processo de conformação da atividade do órgão público à proteção de dados pessoais, devendo demonstrar liderança e comprometimento com a iniciativa. Nesta terceira dimensão de adequação, em especial, os seguintes pontos foram levantados:
(i) Política de Segurança da Informação: a segurança da informação, um dos elementos essenciais para viabilizar a proteção dos dados pessoais, visa salvaguardar a informação do órgão público contra eventuais ameaças relacionadas à quebra de sua confidencialidade, integridade, disponibilidade e autenticidade. A Política de Segurança da Informação, por sua vez, é o documento (ou conjunto de documentos) que reúne ações, medidas, técnicas ou boas práticas que serão utilizadas pelo órgão para garantir o uso seguro de suas informações, traduzindo as regras e as diretrizes que devem ser observadas para se atingir os objetivos de segurança da informação.
Cumpre recordar que a LGPD prevê, em seu art. 46, a necessidade de que todos os agentes de tratamento adotem medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito. Além disso, no âmbito da administração pública federal, o Decreto nº 9.637/2018 determina a elaboração, por cada órgão ou ente, de sua política de segurança da informação e de suas normas internas de segurança da informação, observadas as normas editadas pelo Gabinete de Segurança Institucional da Presidência da República.
É parte essencial, pois, do programa de compliance de dados pessoais do órgão público ter uma Política de Segurança da Informação que esteja de acordo com a sua atividade e com as normas que lhe são aplicáveis. Ressalta-se que, em outras oportunidades, inclusive, o TCU já sinalizou aspectos mínimos que deveriam estar englobados nos controles de segurança da informação, como a nomeação de um responsável pela segurança da informação no órgão, a criação de comitê para coordenar os assuntos de segurança da informação, a definição de processo de gestão de riscos de segurança da informação, a definição de processo de elaboração de inventário de ativos e a definição de processo de classificação da informação (veja-se Acórdão nº 1.233/2012), reforçando a obrigatoriedade de os órgãos implantarem os controles gerais de segurança da informação, sob pena de multa.
(ii) Política de Classificação da Informação: o processo de classificar a informação visa garantir o nível adequado de proteção a determinado dado de acordo com sua sensibilidade (considerando-se o valor, a criticidade e os requisitos legais que envolvem tal informação), o que possibilita, pois, que os dados pessoais sejam identificados e tratados de forma adequada. A Política de Classificação da Informação é o documento que define as diretrizes para garantir que a informação receba o nível adequado de proteção de acordo com sua importância.
Assim, também faz parte do programa de compliance de dados do órgão público ter uma Política de Classificação da Informação especificamente conformada para abranger as diretrizes de classificação de dados pessoais.
Importa lembrar que a própria LGPD traz diretrizes para que se proceda a esta classificação das informações quanto à proteção de dados pessoais, demandando, de forma especial, a adoção de cuidados específicos para o tratamento de dados pessoais sensíveis (nos termos do art. 5º, inciso II e do art. 11) assim como para o tratamento de dados pessoais de crianças e adolescentes (nos termos do art. 14). De fato, ambas as categorias de dados reclamam a adoção de controles mais rigorosos, de forma que a Política de Classificação da Informação do órgão deve conter critérios e orientações para a identificação desses dados.
(iii) Política de Proteção de Dados Pessoais: trata-se do documento que vai fornecer as diretrizes para garantir que os órgãos atuem em conformidade com os normativos específicos de proteção de dados pessoais.
É indiscutível, pois, que também deve fazer parte do programa de compliance de dados do órgão público a sua Política de Proteção de Dados Pessoais, elaborada em consonância com a sua Política de Segurança da Informação e com a sua Política de Classificação da Informação (o que reforça a importância destas políticas no contexto geral de conformação da atuação administrativa à proteção de dados pessoais). A referida Política de Proteção de Dados Pessoais visa, pois, orientar a atuação do órgão público adequando-a à proteção de dados pessoais e, com isso, demonstrar o comprometimento daquele ente em cumprir os normativos referentes à proteção de dados pessoais que lhe forem aplicáveis.
(iv) Encarregado: segundo a LGPD, o encarregado é a pessoa indicada pelo controlador para atuar como canal de comunicação entre o controlador, os titulares de dados pessoais e a ANPD (art. 5º, inciso VIII), cumprindo relevante papel na adequação da atividade do órgão, no fomento e na disseminação da cultura de proteção de dados pessoais na organização.
Dessa forma, também é ação esperada no programa de compliance de dados dos órgãos públicos a nomeação de um agente responsável pelo cargo de encarregado de dados, cuja identidade e informações de contato devem ser divulgadas ampla e publicamente, de preferência no sítio eletrônico da organização. Além do domínio da LGPD, é recomendável que este agente também conheça sobre outros temas relacionados à proteção de dados pessoais como: Direito, governança corporativa, gestão de riscos, tecnologia da informação e segurança da informação. Calha lembrar, entretanto, que a ANPD poderá editar normas complementares quanto à definição e às atribuições do encarregado, as quais, podem, inclusive, englobar de forma mais específica o perfil do profissional que se deve buscar para essa função.
É importante notar que nos quatro pontos aqui apresentados a atuação da alta administração é essencial para garantir a correta indicação dos caminhos que devem ser seguidos pelo órgão público e, em última análise, para o sucesso da implantação e da manutenção do programa de compliance de dados pessoais. Com efeito, todas as políticas que fazem parte do programa de compliance de dados do órgão ou ente público devem ser aprovadas e efetivamente apoiadas pela alta administração. Assim, deve a alta administração garantir os recursos financeiros, materiais e humanos necessários para que as referidas políticas sejam colocadas em prática, além de enfatizar junto a todos os agentes públicos a imprescindibilidade de sua observância. Além disso, a alta administração deve garantir que o encarregado atue com independência e que tenha liberdade para se reportar ao nível gerencial apropriado para assegurar a efetiva gestão de riscos de privacidade — de preferência, deve se garantir ao encarregado total liberdade de acesso à alta administração.
Daí a importância da dimensão da liderança no processo de conformação da atividade dos órgãos públicos: é o comprometimento da alta administração com o programa de compliance de dados pessoais em todos os seus aspectos que confere o suporte necessário para o seu desenvolvimento e evolução prática reforçando e impulsionando a aderência de todos os demais agentes, cenário essencial para garantir o sucesso almejado.
Fonte: JOTA. Leia matéria completa.