Ter um programa de privacidade não significa que ele funcione

Artigos, novidades e notícias

A recente atuação da Agência Nacional de Proteção de Dados (ANPD) traz um alerta importante para todas as organizações que tratam dados pessoais no Brasil.

O resultado do mais recente ciclo de monitoramento realizado pela ANPD revela uma realidade que merece atenção: muitas organizações possuem estruturas formais de privacidade, mas nem todas possuem programas capazes de funcionar efetivamente na prática.

A fiscalização analisou 56 agentes de tratamento, entre órgãos públicos e empresas privadas, verificando o cumprimento de obrigações fundamentais previstas na Lei Geral de Proteção de Dados Pessoais (LGPD).

Não estamos falando de requisitos complexos.

Estamos falando da base de qualquer programa de privacidade.

 

O que motivou a fiscalização da ANPD?

A atuação da Agência Nacional de Proteção de Dados teve como objetivo verificar se as organizações estavam cumprindo obrigações essenciais relacionadas à transparência, ao atendimento dos direitos dos titulares e à governança interna de proteção de dados.

A análise considerou três dispositivos centrais da LGPD.

O artigo 9º, que estabelece o dever de garantir aos titulares informações claras, adequadas e acessíveis sobre como seus dados pessoais são tratados.

O artigo 18, que assegura aos titulares uma série de direitos, incluindo a confirmação da existência de tratamento, o acesso aos dados pessoais, a correção de informações incompletas ou incorretas, a eliminação de dados desnecessários, a portabilidade e a revogação do consentimento.

E o artigo 41, que determina a indicação de um Encarregado pelo Tratamento de Dados Pessoais, profissional responsável por atuar como elo entre a organização, os titulares e a própria ANPD.

A lógica desses dispositivos é simples: direitos previstos na LGPD precisam ser exercidos na prática.

Para isso, não basta que a organização reconheça esses direitos em documentos internos. É necessário possuir canais eficientes de comunicação, processos definidos e responsáveis capazes de responder adequadamente às demandas dos titulares.

Mesmo com as flexibilizações previstas para determinados agentes de pequeno porte pela regulamentação da ANPD, a indicação de um Encarregado e a existência de mecanismos mínimos de governança continuam sendo importantes indicadores de maturidade em privacidade.

 

O resultado do monitoramento

Durante o ciclo de fiscalização, a ANPD identificou três cenários distintos:

• 27 organizações regularizaram sua situação após a atuação da Agência;

• 8 organizações ainda apresentaram pendências;

• 21 organizações sequer responderam às solicitações encaminhadas.

Os casos sem resposta poderão ser encaminhados para análise da área responsável pela fiscalização e aplicação de sanções, com possibilidade de abertura de processos administrativos.

Mas o ponto mais relevante desse movimento não está apenas nos números.

Está na mensagem regulatória.

A ANPD demonstra que espera das organizações não apenas documentos de conformidade, mas uma postura colaborativa, transparente e efetiva durante suas atividades fiscalizatórias.

 

O problema não é a ausência de programas

Se essas organizações fossem questionadas, antes da fiscalização, sobre a existência de um programa de privacidade, é bastante provável que muitas responderiam positivamente.

E provavelmente não estariam mentindo.

O problema é outro:

Ter um programa de privacidade não significa ter um programa funcional.

Programas de privacidade envelhecem.

Processos deixam de refletir a operação real. Sistemas mudam. Novos tratamentos de dados surgem. Responsabilidades são alteradas. Documentos permanecem desatualizados.

O resultado é um programa que continua existindo formalmente, mas perdeu sua capacidade de proteger a organização e os titulares.

 

É nesse cenário que surgem situações como:

• canais de atendimento aos titulares que não funcionam adequadamente;

• Encarregados indicados apenas formalmente, sem participação efetiva;

• políticas de privacidade que não refletem o tratamento real realizado pela organização;

• registros internos que não acompanham a evolução da operação.

No papel, existe conformidade.

Na prática, existe exposição.

 

A fiscalização revelou um problema de maturidade

Um dos principais aprendizados desse ciclo é que a ANPD não necessariamente encontrou organizações sem qualquer estrutura de privacidade.

Ela encontrou organizações cujas estruturas não demonstraram efetividade.

Essa diferença é fundamental.

Um programa de privacidade não é avaliado apenas pela existência de políticas, registros ou nomeações.

Ele é avaliado pela capacidade de funcionar quando necessário.

A fiscalização não busca apenas saber se a empresa possui um Encarregado.

Ela quer verificar se esse profissional é acessível, se exerce suas atribuições e se consegue atuar como verdadeiro ponto de conexão entre organização, titulares e agência reguladora.

Não basta existir um canal para titulares.

É necessário que ele permita o exercício real dos direitos previstos na LGPD.

Não basta possuir documentos.

É necessário que eles correspondam à realidade operacional.

 

A fiscalização tende a se tornar mais sofisticada

A transformação da ANPD em agência reguladora reforça uma tendência de amadurecimento institucional e aumento da capacidade fiscalizatória.

Com estruturas mais robustas e maior capacidade operacional, a expectativa é de fiscalizações cada vez mais orientadas à análise da efetividade dos programas de governança.

A pergunta regulatória está mudando.

Antes, muitas organizações buscavam responder:

“Temos um programa de privacidade?”

Agora, a pergunta será:

“Nosso programa funciona quando colocado à prova?”

 

Programa de vitrine não passa por fiscalização

Uma política de privacidade bem escrita não garante conformidade.

Um documento de nomeação de Encarregado não garante governança.

Um canal publicado no site não garante atendimento adequado.

A fiscalização revela exatamente essa diferença entre aparência e efetividade.

A maturidade de um programa de privacidade está na sua capacidade de acompanhar a operação, responder aos titulares, orientar decisões internas e demonstrar evidências de funcionamento.

 

Revalidar não é burocracia. É gestão de risco.

Programas de privacidade precisam ser revisados continuamente.

Não para atualizar datas em documentos.

Mas para verificar se ainda refletem a realidade da organização.

Se os responsáveis continuam exercendo suas funções.

Se os canais funcionam.

Se os processos internos estão alinhados com o tratamento de dados realizado.

Porque, no final, conformidade não é aquilo que está escrito.

É aquilo que continua funcionando quando a fiscalização chega.

Gostou? Compartilhe:

FALE CONOSCO

Entre em contato