Um programa de privacidade de dados, por si só não comprova que a sua organização está de acordo com a LGPD.
A Lei Geral de Proteção de Dados – LGPD, aprovada em agosto de 2018 e com vigência a partir de agosto de 2020, regulamenta a forma em que as organizações devem tratar dados pessoais. Dentre outros pontos regulados pela lei, a LGPD criou a ANPD – Autoridade Nacional de Proteção de Dados responsável, dentre outras coisas, por aplicar as penalidades previstas na lei.
A melhor forma e ação a ser tomada para se lidar com as obrigações previstas na LGPD é o desenvolvimento e implantação de um programa de gestão de privacidades, que cria processos internos e documentos para que a organização possa, em suas atividades rotineiras cumprir lei.
Fato é que a mera criação e implantação destes novos processos internos que regulam a forma que a organização deveria passar a tratar os dados pessoais, por si só NÃO comprova que a organização DE FATO trata os dados de forma adequada e em conformidade com a lei e, até mesmo em conformidades com os processos criados pelas políticas corporativas que fazem parte do programa de privacidade de dados. Ter as regras escrita no papel não garante que seus colaboradores as cumpram na prática. Ter as regras escritas para regularizar seu relacionamento com fornecedores não garante que eles as cumpram em situações reais. Tratar dados pessoais não garante que eles estão devidamente protegidos ou são tratados de forma correta, mesmo quando tratados por meio de softwares.
Com isso, pode-se concluir que ter uma certificação de adequação os devidos testes para situações reais não garantem real adequação da empresa. Atualmente, existem diversas certificações disponíveis no mercado, como a ISO 27701, que certifica o Sistema de Gestão de Privacidade da Informação (SGPI), e a Certificação LGPD, concedida pela Associação Brasileira das Empresas de Tecnologia da Informação e Comunicação (Brasscom). Além disso, outras certificações, como a ISO 27001 e a SOC 2, também podem ser utilizadas para atestar a conformidade com as exigências da LGPD. Porém, o mercado internacional conta apenas com um modelo de certificação, o Euro Privacy Certification, que avalia e certifica a conformidade de todos os tipos de processamento de dados sob o GDPR e regulamentos nacionais complementares de proteção de dados, permitindo que os requerentes identifiquem e reduzam seus riscos, mas as bases para análise são apenas realizadas em cima dos planos de adequação disponibilizados pela empresa, sem real aplicação. Ter uma certificação pode ajudar a empresa a aumentar a confiança dos clientes, fornecedores e investidores, mas ao submeter seu programa de privacidade de dados a um programa de teste de conformidade, buscando apenas “certificações”, haverão de fato somente comprovações de que o programa foi estruturado de forma adequada, mas NÃO COMPRAÇÕES DIANTE DE SITUAÇÕES REAIS afirmando que a organização reagiu de forma correta em situações diversas de tratamento de dados.
Testar a privacidade de dados em situações reais em uma empresa é de extrema importância para garantir a VERDADEIRA proteção aos dados sensíveis, sendo de clientes ou da própria empresa. Com a crescente quantidade de dados armazenados e compartilhados digitalmente, é crucial que medidas de segurança adequadas sejam implementadas e testadas regularmente. Uma violação de dados pode resultar em prejuízos financeiros, danos à reputação da empresa e violação de leis e regulamentações de privacidade de dados. Testar a privacidade de dados em situações reais permite que a empresa identifique e corrija possíveis vulnerabilidades e garanta que suas medidas de segurança sejam eficazes antes de uma violação ocorrer. Isso não apenas protege a empresa, mas também promove a confiança dos clientes e ajuda a manter sua fidelidade à empresa.
Em resumo, a Lei Geral de Proteção de Dados (LGPD) trouxe importantes regulamentações para a forma como as organizações devem tratar dados pessoais. O desenvolvimento e implantação de um programa de gestão de privacidades é uma ação essencial para cumprir as obrigações previstas na LGPD. No entanto, ter as regras escritas não garante que elas sejam cumpridas na prática, tornando a testagem da privacidade de dados em situações reais de extrema importância. As certificações podem ajudar a empresa a aumentar a confiança de seus clientes, fornecedores e investidores, mas elas não garantem a adequação real da empresa em situações diversas de tratamento de dados. Por isso, é importante que as organizações levem a sério a proteção dos dados pessoais e garantam sua adequação em situações reais de uso e compartilhamento.