A Lei Geral de Proteção de Dados Pessoais (LGPD) é uma realidade para o nosso país e todas as empresas que realizam o tratamento de dados pessoais precisam estar preparadas para recebê-la.
A LGPD tem o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa física. Para garantir a proteção, essa lei dispõe sobre o tratamento de dados pessoais, em meios físicos e digitais, tanto por pessoa física quanto por pessoa jurídica, de direito público ou privado.
No artigo “Na prática: como potencializar a minha empresa para atender a Lei Geral de Proteção de Dados?”, coloquei 4 passos que a empresa precisa se atentar para iniciar o projeto de adequação e o terceiro passo é a construção de um Data Mapping, ou seja, o entendimento da estrutura interna para a construção de um mapeamento de dados pessoais.
Nesse artigo, você aprenderá o que precisa para construir esse mapeamento da LGPD.
1ª Etapa do mapeamento da LGPD:
A primeira etapa é entender por que a LGPD fala sobre mapeamento de dados. Como essa legislação é inspirada na General Data Protection Regulation (GDPR – regulamentação sobre privacidade e proteção de dados da União Europeia), foi criado o Relatório de Impacto à Proteção de Dados Pessoais (RIPD), que é o equivalente ao Data Protection Impact Assessment (DPIA) na União Europeia.
A legislação especifica que a Autoridade Nacional de Proteção de Dados Pessoais (ANPD) poderá solicitar ao controlador o RIPD e, por esse motivo, é de extrema importância que todas as empresas iniciem o mapeamento de dados, também chamado de inventário de dados ou data mapping.
Afinal, o que é o mapeamento de dados? Esse recurso tem como objetivo fazer com que o controlador entenda sua própria estrutura. Pode acontecer de a empresa ter muita ou pouca movimentação de dados pessoais e o inventário facilitará essa análise.
2ª Etapa:
Entendendo a finalidade e o objetivo do inventário de dados, passamos para a parte prática, o conhecimento da estrutura interna. Essa etapa é fundamental para que os agentes de tratamento possam, inclusive, avaliar se precisam ou não se adequar a LGPD.
Seguem abaixo alguns questionamentos que auxiliarão esse conhecimento interno:
– A empresa realiza tratamento de dados pessoais?
– Qual é o tratamento realizado? Coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração?
– Qual setor/função da companhia realiza esse tratamento?
– Esse tratamento tem finalidade específica? Qual?
– O armazenamento das informações é interno ou externo?
3ª Etapa:
Entendendo a estrutura interna da companhia, conseguirá ir mais fundo para confeccionar o Relatório de Impacto à Proteção de Dados Pessoais.
Cabe ressaltar que esse relatório poderá ser feito de forma simplificada, como será demonstrado a seguir, em planilha, ou de forma mais robusta, automatizada, por sistemas específicos para isso. Também é importante entender que essa etapa está inclusa nos projetos de adequação das empresas, então se houve a contratação de um DPO (Data Protection Officer) ou de uma consultoria especializada em proteção de dados, esse relatório pode estar incluso na função ou no contrato de prestação de serviços.
Como dito no início do artigo, a ANPD poderá solicitar ao controlador o RIPD para entender como é realizado o tratamento de dados pela empresa, principalmente quando a base legal utilizada é o legítimo interesse. Por esse motivo, o relatório precisa estar claro, contendo a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco.
A seguir, apresentarei as colunas de um relatório básico para iniciar o mapeamento da LGPD na companhia, que poderá ser confeccionado em formato de planilha e atualizado constantemente.
– Setor/função responsável pelo tratamento.
– Categoria dos dados pessoais: quem é o titular da informação? – Colaborador, Cliente, Parceiro, Fornecedor ou Terceiro?
– Quais são os dados coletados?
– Onde os dados estão armazenados?
– Como os dados foram coletados?
– Quais as finalidades dessa informação para a companhia?
– Quem tem acesso aos dados?
– Qual a base legal para cada finalidade de tratamento?
– São dados considerados sensíveis pela LGPD?
– Qual a base legal para o tratamento dos dados sensíveis? Essa coluna será preenchida somente no caso de tratamento dessas informações.
– Se a base legal escolhida foi o legítimo interesse, foi realizado o LIA (Legitimate Interest Assessment)? Para saber mais sobre o LIA, procure um profissional da área para lhe auxiliar.
– Há compartilhamento dessas informações? Sendo a resposta afirmativa, poderá criar uma nova coluna para especificar com quem é compartilhado.
– Qual o período de retenção desses dados?
– Lembrando que essas colunas estão simplificadas e antes de realizar essa etapa é necessário entender a estrutura interna da empresa e conhecer a Lei Geral de Proteção de Dados. Confeccionar um RIPD não é fácil, mas existem pessoas qualificadas para dar o apoio e a consultoria necessária de acordo com a prestação de serviços da empresa.
Se tiver dúvidas sobre o preenchimento, procure um profissional da área para lhe auxiliar.
Se gostou desse tema, deixe nos comentários se você quer mais artigos de mapeamento da LGPD.
Assine a nossa newsletter e receba as novidades em seu e-mail.