Certificações em Proteção de Dados Pessoais

Entre a práti­ca e os diplomas

Já ago­ra, no momen­to em que a Lei Ger­al de Pro­teção de Dados Pes­soais — LGPD (Lei n. 13.709/18)  deixou de ser novi­dade e quase todo o uni­ver­so cor­po­ra­ti­vo (ao menos) ouviu falar da lei, é ain­da comum encon­trar cer­tos equívo­cos entre as definições esta­b­ele­ci­das pela nor­ma e out­ros proces­sos comuns ao ambi­ente tecnológico.

Uma con­fusão cor­riqueira, por exem­p­lo, é qual­i­ficar como sen­síveis dados de CPF e rela­ciona­dos a infor­mações bancárias. O engano neste caso se dá porque, acos­tu­ma­dos com as definições da nor­ma ISO/IEC 27000 — Sis­tema de Gestão de Segu­rança da Infor­mação (bem de out­ras que fazem parte da mes­ma família, como ISO 27001 e ISO 27002) os profis­sion­ais equiparam a for­ma de trata­men­to des­ta nor­ma téc­ni­ca com a LGPD.

Con­tu­do, há um out­ro equívo­co, que não reside especi­fi­ca­mente em uma nor­ma ou con­jun­to delas, mas na fal­ta de infor­mação e cer­to deses­pero que a novi­dade da pro­teção de dados (enquan­to lei) trouxe ao mer­ca­do. Falo da “febre” das cer­ti­fi­cações, sendo igual­mente muito cor­riqueiro ser­mos abor­da­dos por pes­soas temerosas sobre “qual cer­ti­fi­cação” deve tirar.

A LGPD, assim como ocor­reu no GDPR, não traz qual­quer obri­gação sobre a neces­si­dade de se esta­b­ele­cerem cer­ti­fi­cações para profis­sion­ais ou empre­sas que atuem com a pro­teção de dados pes­soais. nem o pode­ria, pois mes­mo se pon­der­ar­mos o que acon­tece com as nor­mas ISO, os proces­sos de audi­to­ria e a con­se­quente cer­ti­fi­cação não garan­tem a con­formi­dade, mas sim forçam a adoção de um mod­e­lo de cul­tura sobre o tema, algo esper­a­do tam­bém para a pro­teção de dados pessoais.

Do tex­to do arti­go 50 da LGPD há amparo à pos­si­bil­i­dade de que con­tro­ladores e oper­adores, no âmbito de suas com­petên­cias, de for­ma indi­vid­ual ou por meio de asso­ci­ações, pos­sam for­mu­lar regras de boas práti­cas e de gov­er­nança que esta­beleçam condições de orga­ni­za­ção, regime de fun­ciona­men­to, pro­ced­i­men­tos, entre out­ras ações que incluem nor­mas de segu­rança, rela­ciona­dos ao trata­men­to de dados pessoais.

Perce­ba que o difer­en­cial é que todo o escopo delin­ea­do pelo referi­do arti­go está embasa­do na adoção de ações que con­fig­urem “regras de boas práti­cas e gov­er­nança” quan­to a pro­teção de dados pes­soais, não estando prej­u­di­ca­da em razão da ausên­cia, ao menos por enquan­to, de reg­u­la­men­tação pela ANPD. Assim, mes­mo que não exis­tam ain­da regras para este fim, todo e qual­quer ato real­iza­do com tais intenções pode ser sig­ni­fica­ti­va­mente pos­i­ti­vo no momen­to de anal­is­ar a maturi­dade das empre­sas e mes­mo de profissionais.

Nesse con­tex­to, o ide­al é que neste momen­to as inúmeras tril­has de cer­ti­fi­cação para DPO, teste de con­formi­dade, entre out­ros, sejam com­preen­di­dos como ações de apren­diza­do, deno­tan­do mais uma práti­ca vál­i­da de gestão, que cul­mi­nará no esta­b­elec­i­men­to de uma cul­tura mais efe­ti­va para o tema da pro­teção de dados pessoais.

Nos­sa indi­cação é de que busquem con­hec­i­men­to, mas não esperem que uma ou mais cer­ti­fi­cações resolvam o sta­tus de con­formi­dade para profis­sion­ais e empre­sas. Para estas, a atenção na adoção de medi­das, o apoio de profis­sion­ais de tec­nolo­gia, proces­sos e jurídi­co, e a adoção de um plano de con­tinuidade, são bem mais impor­tantes; para aque­les, a práti­ca e o estu­do con­tín­uo trarão especialidade.

Sem empen­ho, não restarão milagres.

Para mais infor­mações sobre este e out­ros assun­tos, a equipe do Assis e Mendes Advo­ga­dos segue – em home office – à dis­posição para esclarecimentos.

Geni­val Souza Filho

LGPD2021@assisemendes.com.br