Como Mapear os Dados Pessoais?

Antes de iniciar o processo de mapeamento dos dados pessoais tenha em mente que:

  1. Além de servir de insumo paras as próximas etapas da implementação do Programa LGPD, ele não será feito uma única vez, isto é, deve ser atualizado rotineiramente para refletir as mudanças que ocorrem na empresa.
  2. Essa é uma fantástica oportunidade para reorganizar a governança de dados e descobrir formas de qualificar as informações usadas nas operações e nos processos decisórios da empresa. Não desperdice uma chance tão boa de colocar a casa em ordem.

Aqui também vale a máxima: é melhor fazer bem feito logo na primeira vez e, para que isso aconteça, antes de sair fazendo, planeje o trabalho e defina criteriosamente o processo, a planilha e os resultados pretendidos do mapeamento.

Como fazer? Para cada processo responda, no mínimo, as seguintes perguntas:

  • Quais são os dados pessoais que identificam uma pessoa diretamente: nome, nº de documentos… (dados pessoais diretos)?
  • Quais são os dados pessoais que tornam uma pessoa identificável: interesses, hábitos de consumo, profissão, idade, gênero, endereço… (dados pessoais indiretos)?
  • Existem dados sensíveis?
  • Existem dados de crianças e adolescentes?
  • Existem dados sigilosos?
  • Quem são os Titulares?
  • Qual a finalidade dos usos dos dados nesse processo? Aproveitamos para ressaltar que
    • As finalidades deverão ser informadas, de forma clara, correta e tempestiva, aos Titulares – veja abaixo a lista dos direitos e garantias especificados pela LGPD.
    • As finalidades deverão ser justificadas pelas bases legais (vide o Artigo 4).

Por isso, seja preciso e transparente ao responder essa pergunta.

  • O tratamento dos dados é compatível com as finalidades informadas aos Titulares?
  • Quem é o responsável pelo processo e, portanto, pelos dados pessoais?
  • Quem são:
    • As pessoas da empresa que usam ou têm acesso aos dados do processo?
    • As empresas e pessoas externas (fornecedores, prestadores de serviços, parceiros de negócios etc.) que usam ou têm acesso aos dados do processo?
    • Estas pessoas (internas e externas) e empresas realmente precisam usar ou acessar os dados?
  • Como os dados são tratados? As etapas de tratamento listas pela LGPD são: coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, edição, eliminação, avalição ou controle da informação, modificação, comunicação, transferência, difusão ou extração.
    • Sugestão: use um fluxograma para retratar o tratamento dos dados.
  • Quais são riscos de perda, vazamento, mau uso etc. dos dados pessoais usados no processo?
  • O que pode ser feito para atenuar os riscos os riscos identificados e avaliado?

Notas:

  • Não esqueça: uma vez que “a mão está na massa”, não tenha pressa e aproveite para avaliar cada processo visando diminuir desperdícios de tempo, recursos etc.
  • Direitos de garantidas do Titular de dados pessoais.

Cabe à empresa ou profissional assegurar que sejam passíveis de serem acessados e exercidos desde o início do processo de tratamento de dados e ao longo do clico de vida do processamento, os seguintes direitos e garantias:

  • Confirmação da existência de tratamento.
  • Acesso aos seus dados pessoais.
  • Correção dos dados incompletos, inexatos ou desatualizados.
  • Anonimização, bloqueio ou eliminação (apagamento) dos dados desnecessários, excessivos ou tratados em desconformidade.
  • Portabilidade a outro fornecedor mediante requisição expressa.
  • Informação das organizações e pessoas com as quais houve compartilhamento dos dados pessoais.
  • Informação sobre consequências de não fornecer o Consentimento.
  • Revogação do Consentimento.
  • Eliminação dos dados tratados com o Consentimento (pedido apagamento).
  • Não discriminação no uso dos dados.

Revisão de decisões automatizadas.

Tags: Sem tags
0

Add a Comment

Your email address will not be published. Required fields are marked *