Como mantê-lo vivo?
Um passo essencial a todo e qualquer programa de governança em privacidade que vise estar adequado à Lei Geral de Proteção de Dados (“LGPD") é a elaboração de um registro das operações de tratamento de dados pessoais – também conhecido como RoPA, do inglês record of processing activities, ou mapeamento de dados pessoais.
Aliás, é a denominação de mapeamento é a que talvez exemplifique de maneira mais lógica a funcionalidade deste instrumento. Previsto na LGPD como instrumento obrigatório a controladores e operadores, tal registro pode ser entendido como uma verdadeira bússola às figuras que tocam efetivamente o programa de governança em privacidade da organização.
Nesse sentido, contar com este mapa atualizado é requisito, além de obrigatório, fundamental para que o programa seja eficiente em seu propósito.
Contudo, na prática a sua manutenção e atualização pode se tornar um grande desafio para as organizações, uma vez que atividades de tratamento de dados pessoais pode ser alteradas e novas iniciativas podem ser incorporadas à rotina da empresa com certa frequência.
Ainda que não expressamente obrigatório na LGPD, a necessidade de manutenção deste instrumento de forma atualizada pode ser extraída tanto do princípio de responsabilização e prestação de contas, bem como do disposto no art. 37 da referida legislação. Assim, compreendida a sua função norteadora, um mapeamento desatualizado pode ver esvaziada toda a sua utilidade, podendo contaminar toda e qualquer atividade de gestão de risco advinda dele.
Isto posto, duas rotinas são altamente recomendadas aos agentes de tratamento: a primeira, mais casuística, seria a inserção imediata de novas atividades ou alterações significativas em atividades de tratamento de dados pessoais já existentes assim que identificadas pelos responsáveis das áreas; a segunda, a revisão periódica, em espaços de tempo maiores, do mapeamento de dados pessoais como um todo.
1ª rotina: inserção imediata de atividades
A primeira pode ser realizada a partir da criação de um processo interno que estimule as áreas responsáveis a reportar ao responsável pelo preenchimento do mapeamento, notadamente o encarregado da organização. Neste ponto, cabe destacar que procedimentos de privacy by design e de compartilhamento de dados pessoais podem contar com pontos de gatilho, direcionamentos e formulários, desde que facilitem os processos internos e não repercutam em maiores burocracias organizacionais.
2ª rotina: revisão periódica do mapeamento
O foco da segunda rotina seria buscar eventuais gaps não indicados no mapeamento e revisar atividades já ultrapassadas na empresa. Sua periodicidade depende do que a organização entenda como razoável, muito em atenção à realidade prática. Por exemplo, uma empresa pode precisar de revisões em tempos mais curtos justamente por estar em períodos em que iniciativas que envolvam o tratamento de dados pessoais estão sendo incorporadas ou retiradas do dia a dia. De toda forma, uma rotina anual ou bianual de revisão é o que a maioria das organizações acabam tomando como regra.
Não deu para manter?
É razoável prever que, em detrimento de questões consideradas como mais urgentes pelas organizações naquele momento, tais rotinas podem não ser mantidas. Nestes casos, é recomendável olhar com mais atenção às áreas que apresentem maiores fatores de criticidade, tais como o tratamento de dados pessoais sensíveis, alta volumetria de dados, tratamento de dados pessoais de vulneráveis (como no caso de crianças, adolescentes e idosos), ou, ainda, um grande volume de compartilhamentos. A estas áreas, as rotinas devem ser mais rígidas a fim de garantir maior adequação nos tratamentos realizados e mitigações necessárias.
Por fim, vale chamar a atenção para que novas orientações da ANPD e regulamentações de proteção de dados, inclusive setoriais, podem trazer peculiaridades na aplicação do mapeamento de dados pessoais, sendo recomendável sempre contar com o auxílio de especialistas na área para a implementação adequada deste e de outros instrumentos legais.
__________________
¹ Art. 6º, X - responsabilização e prestação de contas: demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.
² Art. 37. O controlador e o operador devem manter registro das operações de tratamento de dados pessoais que realizarem, especialmente quando baseado no legítimo interesse.
³ Art. 5º, VIII - encarregado: pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).
Comments