Mais do que organizar a estrutura e permitir que algumas lacunas sejam preenchidas, o mapeamento de dados pessoais funciona como uma bússola com relação ao nível de maturidade de privacidade da organização.
Dispõe a Lei Geral de Proteção de Dados Pessoais (LGPD) – lei 13.709/18:
Art. 37. O controlador e o operador devem manter registro das operações de tratamento de dados pessoais que realizarem, especialmente quando baseado no legítimo interesse.
Art. 38. A autoridade nacional poderá determinar ao controlador que elabore relatório de impacto à proteção de dados pessoais, inclusive de dados sensíveis, referente a suas operações de tratamento de dados, nos termos de regulamento, observados os segredos comercial e industrial.
E, por conta dos dispositivos acima, ter um mapeamento de dados pessoais realista e completo facilita as atividades dos agentes de tratamento. O referido mapeamento é o coração de um projeto de adequação à LGPD, por isso, precisa ser feito de forma minuciosa, objetiva e espelhando a realidade da empresa!
Quando o mapeamento é realizado de forma incorreta, há interferências negativas na implementação da privacidade, na atuação do encarregado pelo tratamento de dados pessoais, bem como em todo o programa de compliance.
Não há mágica: há a real necessidade de entender quais são os dados pessoais tratados, por onde eles transitam, como são armazenados e compartilhados e quais as medidas de segurança adotadas para a proteção dos referidos dados e, consequentemente, a preservação da privacidade de todos os titulares.
Quando um mapeamento de dados pessoais tem um bom resultado, através dele, conseguimos entender: a aplicação dos princípios da LGPD, a utilização da hipótese legal correta, quais medidas de segurança existem (e quais serão necessárias), quais processos precisarão da elaboração de LIAs (Legitimate Interests Assessment) e RIPDs (Relatório de Impacto à Proteção de Dados Pessoais), a quantidade de dados sensíveis tratados, a quantidade de sistemas utilizados, quais dados pessoais devem e/ou podem ser mantidos e/ou descartados, se há transferência internacional de dados pessoais, dentre diversas outras informações imprescindíveis para que se tenha um ROPA (Record of Processing Activities) completo e atualizado.
Tendo um ROPA atualizado, a implementação de novos processos e documentos, por exemplo, ficará mais simplificada, pois já se enxergará o real cenário da organização. Ainda, a atuação do encarregado fica menos complicada, pois sabendo da realidade, atuará com mais segurança e propriedade. Principalmente, quando se precisa atender às demandas dos titulares ou fazer a gestão de um incidente ou violação. Enfim, acaba sendo uma reação em cadeia: precisa começar certo, para continuar certo e finalizar certo.
E toda essa estrutura está diretamente ligada a atender o que define a LGPD no que tange à obrigatoriedade de sigilo e segurança das informações:
Art. 46. Os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.
Art. 47. Os agentes de tratamento ou qualquer outra pessoa que intervenha em uma das fases do tratamento obriga-se a garantir a segurança da informação prevista nesta Lei em relação aos dados pessoais, mesmo após o seu término.
Após a realização do mapeamento, as ações de implementação de documentos, sistemas, e boas práticas ficarão mais claras. Inclusive sobre compreender quais medidas de segurança são necessárias para aumentar o nível de segurança e preservação da empresa.
E por que dizer tudo isso? Estabelece o artigo 42 da LGPD:
Art. 42. O controlador ou o operador que, em razão do exercício de atividade de tratamento de dados pessoais, causar a outrem dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais, é obrigado a repará-lo.
Os agentes de tratamento têm responsabilidades a partir do momento que tratam dados pessoais, logo, ter um ambiente estruturado e organizado é fundamental para o cumprimento das legislações vigentes e aplicáveis, bem como para evitar prejuízos financeiros e reputacionais.
Atualmente, no mercado, há uma diversidade de ferramentas que podem auxiliar quando do mapeamento, no entanto, a análise técnica com base nas legislações vigentes e aplicáveis deverá ser feita por um profissional de privacidade.
Como não cansamos de repetir: na prática, a teoria é diferente! Nem sempre as soluções mais caras são as melhores para a realidade da sua organização. Antes de contratar uma ferramenta, entenda qual a necessidade da empresa, a estrutura, o segmento, o orçamento disponível, bem como funciona a cultura da empresa.
Para corporificar o mapeamento, há sugestões para que se use apenas perguntas prontas, que já constam nas ferramentas, todavia, nosso ponto de vista é que a interação humana é essencial para um resultado íntegro. Não há uma receita de bola para realizar o mapeamento de dados pessoais, no entanto, alguns pontos cooperam para que a coleta seja o mais completa possível.
A realização de entrevistas é essencial para que se compreenda como os dados são tratados, quais são as finalidades e como funciona, de fato, cada processo. Um bate-papo objetivo, além de tirar muitas dúvidas, tanto do entrevistador como do entrevistado, coopera para um ambiente mais amigável e de troca de informações reais.
É imperioso que o entrevistado conheça a atividade e demonstre o que ocorre no dia a dia. Entender o processo, a importância de cada dado pessoal dentro de fluxos e sobre governança de dados favorece para a construção de um mapeamento completo e adequado.
Ainda, tirar dúvidas é essencial. As informações coletadas precisam ser honestas, para que o resultado demonstre veracidade e, após análise técnica, verifique-se o que é necessário implementar, a fim de atender os requisitos legais e manter a segurança da organização e dos dados pessoais por ela tratados.
Em suma, o mapeamento de dados pessoais será o passo inicial do projeto, servindo como uma bússola, ou seja, como orientador para que toda a estrutura de privacidade seja construída de forma transparente, realista e cooperando para que o futuro programa de privacidade tenha uma base sólida, tal como buscando cumprir a lei.