Hoje, já não restam dúvidas de que a terceira revolução industrial não só veio impactar a forma como vivemos, como também veio “abanar”, o modo como as organizações públicas e privadas oferecem os seus serviços no entorno digital. O acto de colocar o cliente no centro das decisões estratégicas, é a forma genial que a organização tem de dar continuidade a sua actividade, mas proteger os dados pessoais do cliente, dos colaboradores e dos prestadores de serviços é sem sombras de dúvidas a cereja no topo do bolo, e a forma mais inteligente de sobreviver no digital. E, ainda bem que assim o é.

A convergência tecnológica e de serviços, tem compelido cada vez mais para a digitalização dos processos das entidades financeiras, trazendo consigo a diversificação da oferta de serviços financeiros digitais nos multicanais e ou plataformas, o que levanta questões sobre o volume e a forma como os dados pessoais dos clientes são tratados. Ou seja, saber quem trata, como trata, e quando trata, é estratégico para a entidade financeira porque permite saber que dados estão a ser tratados (sensíveis e não sensíveis), se estão a ser respeitados os princípios e pressupostos legais, quais os mecanismos de conservação, de quem é a responsabilidade de assegurar não apenas a conformidade legal mais acima de tudo a gestão ou a governança dos dados pessoais.

     O binómio digitalização e sistemas de inteligência artificial, revolucionaram a maneira como as entidades financeiras devem olhar para o seu modelo de governo de privacidade, a gestão do grande volume de informações de carácter pessoal dos clientes e a garantia da efectividade da protecção dos dados pessoais, enquanto direito com tutela constitucional e inerente a dignidade da pessoa humana. A exigência de um novo olhar sobre o modelo de governo de privacidade das entidades financeiras, certamente que obrigará também um novo posicionamento sobre o grande fluxo de transações bancárias, da demanda de dados interconectados no ciberespaço, das vulnerabilidades dos sistemas, das brechas de segurança, dos sistemas de dupla autenticação, etc.

A adopção de um modelo de governo de privacidade, implica pois, a criação de estruturas internas com atribuições, competências, e responsabilidades centradas na garantia da privacidade dos dados dos clientes, seu tratamento ético, e  no asseguramento da execução das medidas organizativas e técnicas, isto é, criar capacidades internas para a elaboração de políticas, procedimentos, programas de formação, processos de auditorias em protecção de dados pessoais, sistema tecnológico robusto,  enquanto principais fundações para a sua implementação. O risco sistémico que algumas entidades financeiras representam para o sistema financeiro, eleva a obrigatoriedade da implementação do governo de privacidade a um patamar considerado de nível máximo, por quanto, a segurança e resiliência operativa dos sistemas tecnológicos, a definição das funções das equipas, dos procedimentos, dos processos e a sua integração, a gestão dos riscos dos dados pessoais, permitem certificar uma gestão eficiente e de qualidade sobre a  privacidade dos dados e a informação financeira dos clientes. 

A economia dos dados e os riscos a ela associados, obriga a execução de estratégias de governo de privacidade que assevere a criação de um ecossistema tecnológico e organizacional robusto que amplifique o funcionamento da sua actividade com o foco no tratamento ético e seguro dos dados e, na qualidade da gestão da informação financeira dos clientes. 

A existência de um modelo de governo de privacidade efectivo opera quer como ancora na garantia do tratamento contínuo da atividade de proteção de dados pessoais quer como indicador claro de confiança na sua relação com o mercado e a autoridade de supervisão, permitindo que no marco de uma denuncia, inspeção ou outra ocorrência a entidade financeira esteja em melhores condições de submeter todos os elementos probatórios relacionados com a violação dos dados pessoais.

Em qualquer modelo de governo de privacidade, é fundamental que a governança dos dados certifique mais do que a qualidade, a integridade dos dados pessoais e da informação financeira dos clientes em todas as fases da execução do negócio, pois, evita custos financeiros e reputacionais decorrentes de processos sancionatórios. Deste modo, a eficiência da actividade de tratamento de dados pessoais, deve funcionar como base da sustentabilidade regulatória interna e de elemento crítico no alinhamento dos objetivos estratégicos e de negócios.

Existem três (3) níveis fundamentais na composição de uma estrutura de modelo de governo de privacidade, a saber:

1. Nível estratégico

É materializado com o compromisso da alta liderança no cumprimento das normas de protecção de dados pessoais. O nível estratégico no modelo de governo de privacidade, é representado pelo responsável pelo tratamento, e como tal, organograficamente é o conselho de administração a quem é assacada a obrigação de definir as políticas gerais de proteção de dados, aprovar os marcos estratégicos de negócios ajustados ao princípio da concepção e por defeito, supervisionar e controlar a gestão de riscos de dados. Por conseguinte, é na liderança onde é concebida o tipo de modelo de governo de privacidade e a elaboração da política de protecção de dados, este último, enquanto documento reitor e representativo da entidade financeira em matéria de protecção de dados pessoais. 

2. Nível organizativo e de supervisão

Aqui são definidos os processos e as operações de tratamento de dados pessoais e fixados os limites de intervenção e de responsabilidade de cada órgão ou departamento na atividade de registo do ciclo de vida do dado. A entidade financeira, deve igualmente, determinar nos procedimentos quais os indicadores de desempenho de protecção e privacidade a serem atingidos e quais os indicadores de risco de modo, a avaliar a probabilidade interna de ocorrência de uma brecha de segurança e o seu impacto na organização. Todo este processo deve ser supervisionado em função da dimensão da entidade financeira pelo Conselho de Administração, Comité de Privacidade ou por um delegado de protecção de dados.

3. Nível operativo

No pilar das operações, encontram-se os executores, aqueles órgãos ou departamentos que levam o dia-dia da atividade de tratamento de dados pessoais dentro da entidade financeira. Cabe-os a responsabilidade de executar a política de proteção de dados e os procedimentos de privacidade fazendo com que todas as unidades de negócios estejam alinhadas no cumprimento das normas de protecção de dados pessoais. 

A integração das unidades de negócios no alcance dos indicadores tangíveis de privacidade, carece de uma línea de mando explícita, conduzida por um delegado de proteção de dados que deve assegurar a existência de um canal de comunicação directo com os acionistas, trabalhadores, clientes, prestadores de serviços e órgãos de supervisão na abordagem das questões de privacidade. O objetivo é caucionar a transparência e garantir que os processos de inovação dos produtos, aplicações e serviços financeiros cumpram com o princípio da proteção de dados desde a conceção e por defeito.

E, no meio deste cenário onde hoje os dados pessoais constituem o novo petróleo, destaca-se o papel imprescindível dos órgãos de supervisão não apenas em matéria de fiscalização sobre o cumprimento e da conformidade legal, mas acima de tudo na criação das condições para que o sistema financeiro trabalhe como um todo em matéria de protecção de dados pessoais. Aliás, por alguma razão noutras geografias os bancos centrais, têm na sua estrutura interna um Gabinete de Protecção de Dados.