O Programa de Governança em Privacidade (PGP) consiste, de acordo com a Secretaria de Governo Digital do Ministério da gestão e Inovação em Serviços Públicos (MGI), na captura e consolidação dos requisitos de privacidade e segurança com o intuito de ditar e influenciar como os dados pessoais são manuseados no seu ciclo de vida como um todo. É uma espécie de roteiro sobre como uma instituição atuará para proteger os dados pessoais utilizados e tratados em seu âmbito.
As características mínimas do PGP de uma instituição estão
no inciso I, § 2º, Art. 50 da LGPD:
• Comprometimento do controlador em adotar processos e políticas internas que cumpram normas e boas práticas relativas à proteção de dados pessoais;
• Ser aplicável a todo o conjunto de dados pessoais sob seu controle, independentemente da forma coletada;
• Adaptado à estrutura, à escala e ao volume de suas operações, bem como à sensibilidade dos dados tratados;
• Prever o estabelecimento de políticas e salvaguardas adequadas, baseadas em processo de avaliação sistemático de impactos e riscos à privacidade;
• Prever o estabelecimento de relação de confiança com o titular, por meio de atuação transparente com mecanismos de participação;
• Ser integrado à estrutura geral de governança, estabelecer e aplicar mecanismos de supervisão internos e externos;
• Possuir planos de resposta a incidentes e remediação;
• Estar constantemente atualizado com base em informações obtidas a partir de monitoramento contínuo e avaliações periódicas.
O processo de implementação do Programa de Governança em Privacidade (PGP) do Ipea segue as orientações e fases estabelecidas pela Secretaria de Governo Digital do Ministério da gestão e Inovação em Serviços Públicos (MGI). Ele é dividido em três fases:
1. Iniciação e planejamento: compreensão de quais são as primeiras informações
e dados que devem ser conhecidos. Item do 1 ao 7;
2. Construção e execução: elaboração dos marcos em relação à privacidade da informação. Item do 8 ao 13;
3. Monitoramento: acompanhamento em conformidade à LGPD. Item do 14 ao 17.
O Ipea, no cumprimento da sua missão institucional, utiliza dados pessoais e dados pessoais sensíveis como insumo para determinados estudos e pesquisas e também em processos de gestão administrativa. Com a vigência da LGPD, foi preciso implantar uma nova conduta no tratamento desses dados para que o Ipea pudesse se adequar aos requisitos da lei. Essa abordagem se estrutura em ações relacionadas ao arcabouço normativo interno, às questões tecnológicas e às próprias pessoas, servidores e colaboradores, sob o contexto da estrutura e cultura organizacional desta casa. Abaixo estão elencadas iniciativas que estão sendo adotadas para que o processo de adequação à LGPD seja o mais efetivo possível.
O objetivo do inventário de dados consiste no registro das operações de tratamento dos dados pessoais realizados pela instituição (art. 37 da LGPD). Para cada diretoria, foram levantadas informações, com o apoio dos líderes de privacidade, que serviram de apoio para a elaboração do Relatório de Impacto à Proteção de Dados - RIPD, quais sejam:
O RIPD contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais dos titulares de dados, bem como medidas, salvaguardas e mecanismos de mitigação desses riscos, de forma a evitar possíveis sanções caso eles se concretizem.
O Ipea adaptou ao seu contexto institucional, para desenvolver o PGP, o papel dos líderes de privacidade, que são servidores indicados pelas diretorias e assessorias da casa. Eles têm uma função fundamental para o cumprimento das ações que se fizerem necessárias implantar para a adequação dos controles de segurança e privacidade de dados aos requisitos da LGPD, notadamente no mapeamento de dados pessoais e pessoais sensíveis, utilizados para estudos e pesquisas e para suporte à gestão e governança institucional.