O mapeamento de dados pessoais como bússola para o alcance da maturidade de privacidade nas organizações

Data: 25/07/2023

Autora: Mariana Sbaite Gonçalves

Ter um mapeamento minucioso coopera para o melhor desenvolvimento do programa de privacidade da empresa.

Mais do que organizar a estrutura e permitir que algumas lacunas sejam preenchidas, o mapeamento de dados pessoais funciona como uma bússola com relação ao nível de maturidade de privacidade da organização. 

Dispõe a Lei Geral de Proteção de Dados Pessoais (LGPD) – lei 13.709/18:

  • Art. 37. O controlador e o operador devem manter registro das operações de tratamento de dados pessoais que realizarem, especialmente quando baseado no legítimo interesse.
  • Art. 38. A autoridade nacional poderá determinar ao controlador que elabore relatório de impacto à proteção de dados pessoais, inclusive de dados sensíveis, referente a suas operações de tratamento de dados, nos termos de regulamento, observados os segredos comercial e industrial.

E, por conta dos dispositivos acima, ter um mapeamento de dados pessoais realista e completo facilita as atividades dos agentes de tratamento. O referido mapeamento é o coração de um projeto de adequação à LGPD, por isso, precisa ser feito de forma minuciosa, objetiva e espelhando a realidade da empresa!

Quando o mapeamento é realizado de forma incorreta, há interferências negativas na implementação da privacidade, na atuação do encarregado pelo tratamento de dados pessoais, bem como em todo o programa de compliance.

Não há mágica: há a real necessidade de entender quais são os dados pessoais tratados, por onde eles transitam, como são armazenados e compartilhados e quais as medidas de segurança adotadas para a proteção dos referidos dados e, consequentemente, a preservação da privacidade de todos os titulares.

Quando um mapeamento de dados pessoais tem um bom resultado, através dele, conseguimos entender: a aplicação dos princípios da LGPD, a utilização da hipótese legal correta, quais medidas de segurança existem (e quais serão necessárias), quais processos precisarão da elaboração de LIAs (Legitimate Interests Assessment)  e RIPDs (Relatório de Impacto à Proteção de Dados Pessoais), a quantidade de dados sensíveis tratados, a quantidade de sistemas utilizados, quais dados pessoais devem e/ou podem ser mantidos e/ou descartados, se há transferência internacional de dados pessoais, dentre diversas outras informações imprescindíveis para que se tenha um ROPA (Record of Processing Activities) completo e atualizado.

Tendo um ROPA atualizado, a implementação de novos processos e documentos, por exemplo, ficará mais simplificada, pois já se enxergará o real cenário da organização. Ainda, a atuação do encarregado fica menos complicada, pois sabendo da realidade, atuará com mais segurança e propriedade. Principalmente, quando se precisa atender às demandas dos titulares ou fazer a gestão de um incidente ou violação. Enfim, acaba sendo uma reação em cadeia: precisa começar certo, para continuar certo e finalizar certo.

E toda essa estrutura está diretamente ligada a atender o que define a LGPD no que tange à obrigatoriedade de sigilo e segurança das informações:

  • Art. 46. Os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.
  • Art. 47. Os agentes de tratamento ou qualquer outra pessoa que intervenha em uma das fases do tratamento obriga-se a garantir a segurança da informação prevista nesta Lei em relação aos dados pessoais, mesmo após o seu término.

Após a realização do mapeamento, as ações de implementação de documentos, sistemas, e boas práticas ficarão mais claras. Inclusive sobre compreender quais medidas de segurança são necessárias para aumentar o nível de segurança e preservação da empresa.

E por que dizer tudo isso? Estabelece o artigo 42 da LGPD:

  • Art. 42. O controlador ou o operador que, em razão do exercício de atividade de tratamento de dados pessoais, causar a outrem dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais, é obrigado a repará-lo.

Os agentes de tratamento têm responsabilidades a partir do momento que tratam dados pessoais, logo, ter um ambiente estruturado e organizado é fundamental para o cumprimento das legislações vigentes e aplicáveis, bem como para evitar prejuízos financeiros e reputacionais.

Atualmente, no mercado, há uma diversidade de ferramentas que podem auxiliar quando do mapeamento, no entanto, a análise técnica com base nas legislações vigentes e aplicáveis deverá ser feita por um profissional de privacidade.

Como não cansamos de repetir: na prática, a teoria é diferente! Nem sempre as soluções mais caras são as melhores para a realidade da sua organização. Antes de contratar uma ferramenta, entenda qual a necessidade da empresa, a estrutura, o segmento, o orçamento disponível, bem como funciona a cultura da empresa.

Para corporificar o mapeamento, há sugestões para que se use apenas perguntas prontas, que já constam nas ferramentas, todavia, nosso ponto de vista é que a interação humana é essencial para um resultado íntegro. Não há uma receita de bola para realizar o mapeamento de dados pessoais, no entanto, alguns pontos cooperam para que a coleta seja o mais completa possível.

A realização de entrevistas é essencial para que se compreenda como os dados são tratados, quais são as finalidades e como funciona, de fato, cada processo. Um bate-papo objetivo, além de tirar muitas dúvidas, tanto do entrevistador como do entrevistado, coopera para um ambiente mais amigável e de troca de informações reais.

É imperioso que o entrevistado conheça a atividade e demonstre o que ocorre no dia a dia. Entender o processo, a importância de cada dado pessoal dentro de fluxos e sobre governança de dados favorece para a construção de um mapeamento completo e adequado.

Ainda, tirar dúvidas é essencial. As informações coletadas precisam ser honestas, para que o resultado demonstre veracidade e, após análise técnica, verifique-se o que é necessário implementar, a fim de atender os requisitos legais e manter a segurança da organização e dos dados pessoais por ela tratados.

Em suma, o mapeamento de dados pessoais será o passo inicial do projeto, servindo como uma bússola, ou seja, como orientador para que toda a estrutura de privacidade seja construída de forma transparente, realista e cooperando para que o futuro programa de privacidade tenha uma base sólida, tal como buscando cumprir a lei.

Fonte: Migalhas

Sugestões de leitura