#bomdialgpd

Aproveitamos as duas primeiras semanas do ano para comentar algumas atitudes importantes que podem ajudar na melhoria da conformidade com a LGPD. São frutos da observação da implementação da conformidade em diversas organizações, de diferentes portes e segmentos. Nos artigos levantarei uma questão e apontarei um "call to action". No futuro nossos concorrentes também vão falar sobre isso :).

Organizei em temas, serão 10.

Hoje vamos falar sobre as operações de tratamento de dados pessoais.

Em artigos anteriores falei que o objeto do tratamento de dados pessoais é chamado na LGPD e nas publicações da ANPD por três expressões diferentes:

• atividade de tratamento de dados pessoais;
• operação de tratamento de dados pessoais; e
• processo de tratamento de dados pessoais.

Como ainda não há um termo oficial no glossário usarei "operação".

As operações de tratamento de dados pessoais são a base da conformidade com a LGPD, e também é um elemento novo na gestão, as organizações são formadas por áreas, processos de negócio, sistemas, produtos, serviços, terceiros, documentos e outros elementos, mas a operação de tratamento é um arranjo que surgiu com a regulamentação da proteção de dados pessoais.

Há diferentes maneiras de estruturar as operações de tratamento, o que pode ser feito a partir de áreas, processos de negócio, sistemas, agentes de tratamento, produtos, serviços, ou um conjunto destes elementos.

A partir das operações de tratamento de dados pessoais é implementada a conformidade, o que está na lei e publicações da ANPD, conforme podemos observar os exemplos:

• Legalidade do Tratamento: Artigo 44 da LGPD - "O tratamento de dados pessoais será irregular quando deixar de observar a legislação ou quando não fornecer a segurança que o titular dele pode esperar, consideradas as circunstâncias relevantes, entre as quais...";
• ROpA: Artigo 37 da LGPD - "O controlador e o operador devem manter registro das operações de tratamento de dados pessoais que realizarem, especialmente quando baseado no legítimo interesse";
• Relatório de Impacto: Artigo 38 da LGPD e Perguntas e respostas sobre o Relatório de Impacto à Proteção de Dados Pessoais (RIPD) - "Art. 38. A autoridade nacional poderá determinar ao controlador que elabore relatório de impacto à proteção de dados pessoais, inclusive de dados sensíveis, referente a suas operações de tratamento de dados, nos termos de regulamento, observados os segredos comercial e industrial";
• Hipóteses Legais: Artigo 7 da LGPD - "O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses...";
• Teste de Balanceamento: Artigo 10 da LGPD e Guia Orientativo sobre Legítimo Interesse - "O legítimo interesse do controlador somente poderá fundamentar tratamento de dados pessoais para finalidades legítimas, consideradas a partir de situações concretas";
• Transferência Internacional: Artigos 33 a 36 da LGPD e Regulamento de Transferência Internacional de Dados - "A transferência internacional de dados deverá observar as disposições da Lei nº 13.709, de 14 de agosto de 2018, e deste Regulamento, quando: I - a operação de tratamento for realizada no território nacional...";
• Comunicação de Incidentes: artigo 48 da LGPD e Regulamento de Comunicação de Incidente de Segurança - "O incidente de segurança que possa afetar significativamente interesses e direitos fundamentais será caracterizado, dentre outras situações, naquelas em que a atividade de tratamento puder impedir o exercício de direitos ou a utilização de um serviço, assim como ocasionar danos materiais ou morais aos titulares, tais como discriminação, violação à integridade física, ao direito à imagem e à reputação, fraudes financeiras ou roubo de identidade.".

Uma gestão das operações de tratamento de dados pessoais é a base para a conformidade com a LGPD.

As boas práticas e frameworks mais maduros do setor (NIST, CIS, ISO, ...) partem de um mapeamento para organizar o contexto e implementar as medidas técnicas e administrativas.

Call to Action

• Defina o modelo para identificar as operações de tratamento de dados pessoais a partir de áreas, processos de negócios, sistemas, suportes de papel, agentes de tratamento, contratos, políticas, produtos, serviços e outros elementos;
• Procure alinhar com as áreas as operações de tratamento de cada uma e os pontos focais destacados;
• Para cada operação de tratamento, classifique os tipos de dados pessoais (incluindo sensíveis), as categorias de titulares, as formas de tratamento de dados pessoais, a sensibilidade do tratamento, as hipóteses legais e se o tratamento é de alto risco;
• Adote o inventário de operações de tratamento como base para a gestão, respostas e prestação de contas.

Importante

• Procure manter uma visão das operações de tratamento que possa ser filtradas por atributos (ex: dados sensíveis, alto risco, coleta de dados, eliminação, categoria de titulares, crianças, ...);
• Mantenha o entendimento alinhado com as áreas. Muitas organizações por exemplo, mapearam processos de negócio para objetivos específicos e algumas vezes as áreas não têm identidade com o que foi feito;
• Adote o mapa de operações de tratamento de dados pessoais como uma maneira de identificar aquelas nas quais a conformidade com a LGPD se apresenta como uma oportunidade de alinhamento com o negócio.

Quer saber como mapear ou remapear as operações de tratamento de dados pessoais e transformá-lo em um instrumento de gestão e prestação de contas? Podemos fazer uma apresentação sem custos para sua organização, me mande uma mensagem e nossa equipe organiza a agenda.

Ilustração gerada por IA. Prompt GPT4o. Favor desenhar uma imagem de um fluxo de um negócio realizado cuidadosamente em uma grande folha de papel, desenhado a lápis e instrumentos de desenho.

Obrigado,

Aquele abraço,

FNery.