Por Max Rabello Madsen* 

A Lei Geral de Proteção de Dados Pessoais (LGPD) visa reforçar a necessidade de um projeto de cumprimento e adequação que considere os desafios específicos da área de atuação. A ideia de que apenas empresas de grande porte seriam capazes de estar em conformidade regulatória é rechaçada. 

A aplicação das boas práticas da LGPD, além de gerar benefícios diretos aos gestores dos dados, causa o efeito socioeducativo nas comunidades em que atuam. Sendo assim, a proteção de dados passa a ser reconhecida como algo fundamental para as relações entre organizações - públicas e privadas - parceiros comerciais, fornecedores e consumidores. 

Entes privados e públicos, e a população como um todo, já compreendem a importância da proteção de dados. As necessidades de fomento à cultura de proteção e incentivo para adoção de boas práticas de governança estão em consonância com os anseios de todos os agentes envolvidos, com a lógica de atuação responsiva avançando cada vez mais nas diversas organizações. Vemos a melhora das relações com o público e a garantia de um futuro mais seguro e confiável para todos. 

Sobre a LGPD
O Brasil teve em 2018 um momento histórico para cidadãos e instituições: a promulgação da LGPD. Ela dispõe sobre o tratamento de dados por empresas e pessoas físicas, inclusive nos meios digitais, definindo parâmetros claros para proteção de direitos fundamentais como liberdade e privacidade. 

A legislação é complexa, mas moderna e abrangente. Ela indica, na Seção II, o que provavelmente é o conjunto mais relevante de orientações legais, abordando as regras de boas práticas e de governança. 

Lá estão definidas as condições de organização, o regime de funcionamento, os procedimentos, incluindo reclamações e petições de titulares. Além disso, demonstra as normas de segurança, os padrões técnicos, as obrigações específicas para os diversos envolvidos no tratamento, as ações educativas, mecanismos internos de supervisão e de mitigação de riscos, entre outros aspectos relacionados ao tratamento de dados pessoais. 

No contexto individual, centrado na realidade de tratamento de dados de uma determinada organização, são destacadas boas práticas como programas de compliance, projetos de adequação e iniciativas direcionadas estabelecidas por essa organização. 

Já em uma perspectiva coletiva, as regras destacadas têm como objetivo estabelecer as boas práticas setoriais, com foco em organizações que poderão determinar regras específicas a sua área de atuação. Isso inclui códigos de conduta das diversas especialidades da saúde ou guias de melhores práticas jornalísticas, por exemplo. 

Cultura de proteção de privacidade
Apesar de não possuir caráter mandatório, as regras de boas práticas buscam o estímulo ao diálogo entre os agentes envolvidos na governança dos dados pessoais, incitando o espírito proativo dos encarregados. Com isso, há maior garantia da aplicação de uma lógica de regulação responsiva e da cultura de comprometimento integral às políticas e práticas criadas com base nos princípios e direitos previstos na LGPD. 

Considerando a natureza inédita da legislação, além do caráter tutelar de gestão de dados pessoais, é imenso o desafio de fomentar uma cultura de proteção e privacidade de dados no país, mas longe de ser impraticável. Minha experiência profissional, inclusive na MD2, me faz pensar que a criação de regulamentos de boas práticas tem papel central em todo esse processo, facilitando a disseminação dessa cultura. 

Setores e atividades específicas têm diferentes níveis de complexidade no que diz respeito a atuação no tratamento de dados. Por isso um guia de boas práticas de governança é excelente aliado dos agentes responsáveis pela identificação de riscos e cumprimento da LGPD. 

Seguindo a lógica de responsabilização, a LGPD prevê ainda que cabe ao gestor dos dados demonstrar a efetiva aplicação do programa de governança em privacidade. Isso ocorre por meio de uma série de requisitos para sua adequada implementação. 

Devem ser observadas as especificidades da organização em questão, como estrutura, escala e volume de operações, sensibilidade dos dados tratados, probabilidade e gravidade de possíveis danos aos titulares dos dados geridos pela empresa.