Bom Dia LGPD

Inventário de Sistemas na LGPD

#bomdialgpd


Podemos entender um sistema como a formalização de um (ou mais) processo(s). No caso da LGPD, dentro dos sistemas há a formalização de uma ou mais operações de tratamento de dados pessoais. Sistemas não são o único tipo de repositório de dados pessoais (há repositórios em papel, planilhas e outros suportes) mas vejo que na maior parte dos casos eles são o principal.


Organizar o inventário de sistemas é essencial no projeto e no processo de conformidade com a LGPD e esta tarefa vai além de adotar a lista dos sistemas da TI.


Aprendemos em Governança de TI a tratar os sistemas providos e gerenciados pela área de TI, mas para atender a LGPD é preciso ir além, quem dá a visão dos sistemas a serem inventariados é a área usuária, por exemplo: o jurídico utiliza o sistema PJE (Processo Judicial Eletrônico) disponibilizado pelo judiciário e com ele trata dados pessoais sob responsabilidade da organização; da mesma forma a área financeira faz o pagamento dos salários por meio de um sistema disponibilizado pelo banco que igualmente faz o tratamento de dados pessoais sob responsabilidade da organização. Tanto o PJE como o sistema do banco não costumam estar nas listas de TI, mas precisam estar relacionados na conformidade com a LGPD. Tenho observado que quando uma organização já possui uma lista de sistemas na área de TI e entrevista os usuários para saber que sistemas utiliza, o número de sistemas costuma dobrar.


A entrevista com os usuários faz dobrar o número de sistema da lista original.


Como prática seguem alguns elementos para a classificação dos sistemas na conformidade com a LGPD:


  • Áreas usuárias;
  • Classificação dos dados pessoais (sensíveis, crianças, idosos, ...);
  • Tipo dos dados pessoais (nome, telefone, ...);
  • Tipo dos titulares (colaborador, cliente, ...);
  • Operações de tratamento de dados pessoais (caso seja mais de uma no sistema);
  • Volume de dados pessoais tratados;
  • Ciclo de vida dos dados pessoais (identificando a(s) coleta(s));
  • Tempo de vida do sistema, se será implantado demanda 'privacy by design', se está em fim de vida deve ser avaliado se há necessidade de preservar os dados pessoais;
  • Compartilhamento de dados pessoais com agentes de tratamento;
  • Exportação de dados pessoais para planilhas, BIs e arquivos planos;
  • Hipóteses de tratamento;
  • Necessidade de LIA e RIPD;
  • Uso de algoritmos automatizados para tomada de decisão;
  • Demanda de anonimização;
  • Oportunidade de minimização;
  • Transferência internacional;
  • Características de TI (são muitas, inclusive cookies e o local da instalação);
  • Recursos de segurança (são muitos, com destaque para o controle de acesso);
  • ...


Estes são alguns atributos que devem ser considerados para o inventário de sistemas (internos, externos, individuais, ...) para a conformidade com a LGPD. Este é um assunto que trataremos outras vezes em nossa newsletter.


Obrigado,


Abraço,


FNery.

(Art 49) Gestão do Inventário
Comentários
Cybersecurity e Boas PráticasLGPD e Publicações da ANPDContato