Artigo no MIT Technology Review – 1º Jun 2022
No âmbito da Lei Geral de Proteção de Dados (LGPD), o Programa de Governança em Privacidade (PGP) é uma boa prática consagrada no art. 50 § 2º, que aborda as características mínimas necessárias para esse programa e a necessidade de demonstrar sua efetividade. O PGP deve englobar requisitos de privacidade e segurança da informação com o objetivo de definir como os dados pessoais são tratados dentro de uma instituição, durante todo o seu ciclo de vida – processo que deve descrever o caminho dos dados pessoais dentro da instituição, desde a coleta até a sua eliminação, nos termos da LGPD.
Os requisitos mínimos de um PGP são as seguintes:
(I) demonstrar o comprometimento do controlador em adotar processos e políticas internas que assegurem o cumprimento, de forma abrangente, de normas e boas práticas relativas à proteção de dados pessoais;
(ii) ser aplicável a todo o conjunto de dados pessoais que estejam sob seu controle, independentemente do modo como se realizou sua coleta;
(iii) ser adaptado à estrutura, à escala e ao volume de suas operações, bem como à sensibilidade dos dados tratados;
(iv) estabelecer políticas e salvaguardas adequadas com base em processo de avaliação sistemática de impactos e riscos à privacidade;
(v) ter o objetivo de estabelecer relação de confiança com o titular, por meio de atuação transparente e que assegure mecanismos de participação do titular;
(vi) estar integrado a sua estrutura geral de governança e estabelecer e aplicar mecanismos de supervisão internos e externos;
(vii) contar com planos de resposta a incidentes e remediação;
(viii) ser atualizado constantemente com base em informações obtidas a partir de monitoramento contínuo e avaliações periódicas;
(ix) permitir que o controlador demonstre a efetividade do PGP quando apropriado e, em especial, a pedido da autoridade nacional ou de outra entidade responsável por promover o cumprimento de boas práticas ou códigos de conduta, os quais, de forma independente, promovam o cumprimento da LGPD.