Proteção de Dados Pessoais (DP) é mais do que apenas um requisito legal, mas também uma preocupação ética e estratégica para as organizações. Em um cenário de vazamento, por exemplo, as consequências financeiras, legais e de reputação podem ser devastadoras para uma empresa. Com o propósito de implementar uma gestão de riscos de privacidade organizacional, a norma ISO/IEC 27557 contém orientações específicas para unificar a gestão de riscos de segurança da informação e de privacidade, tendo sua base na ISO 31000.
Em artigos anteriores sobre a ISO 27557 (link nos comentários), abordamos a "Estrutura" (Framework) proposta como fundamento para a gestão de riscos de privacidade organizacional e o "Processo" definido para que esta Estrutura seja implementada de maneira eficaz. Agora, neste artigo, focaremos no "Anexo A", que trata da Identificação do Tratamento de Dados Pessoais, com elementos chave e exemplos práticos para que as organizações possam avaliar o impacto de privacidade sobre os indivíduos e para elas mesmas.
Por que identificar o tratamento de DP?
Identificar de forma precisa o tratamento de DP é essencial para avaliar impactos e consequências de privacidade. Sem um entendimento claro de como, onde e por que os DP são tratados, é quase impossível implementar medidas de proteção adequadas. Como orientação para esta atividade, a norma enfatiza que, ao identificar o tratamento de DP, as organizações devem considerar:
- Atividades e Tipos de DP Tratados: Identificar as ações realizadas nos dados e sua categorização para identificar vulnerabilidades e ameaças. Por exemplo, uma organização que armazena dados de saúde de pacientes (como histórico médico ou informações genéticas) necessitará de medidas de segurança e proteção muito mais rigorosas do que uma que apenas coleta endereços de e-mail para newsletters.
- Ativos Relacionados: Relacionar quais sistemas ou recursos são utilizados no tratamento de DP, e requisitos de proteção para garantir a segurança dos dados. Por exemplo, uma loja online pode depender de um sistema de gerenciamento de pedidos para tratar os DP dos clientes. A segurança desse sistema, portanto, é crucial para a proteção desses dados.
- Categorias de Titulares: Identificar os titulares dos DP, sejam clientes, funcionários ou outros, facilitando definir o nível de proteção necessária. Por exemplo, o tratamento de DP de menores ou de categorias sensíveis (como crianças, adolescentes e idosos) que pode exigir consentimentos específicos e protocolos de segurança adicionais.
- Finalidades do Tratamento: Garantir que os dados sejam usados de maneira legítima e consentida. Por exemplo, coletar DP para melhorar um produto é diferente de coletar dados para fins de marketing. Cada finalidade tem suas próprias implicações em termos de consentimento, retenção e proteção.
- Pessoal envolvido: Conhecer quem acessa e manipula os dados para definir a responsabilidade e planejar a segurança. Por exemplo, em um hospital, médicos e enfermeiros podem ter acesso a registros médicos, mas o pessoal administrativo não. Implementar controles de acesso baseados em funções garante que os DP sejam acessados apenas por quem realmente precisa.
- Entidades Internas e Externas: Compreender a função de cada parte envolvida para também delinear responsabilidades e obrigações. Por exemplo, uma empresa pode terceirizar o processamento de pagamentos a um provedor externo. Nesse caso, é crucial garantir que esse terceiro esteja em conformidade com as normas de privacidade e proteção de dados.
ROPA (Record of Processing Activities) é a sigla para "Registro de Atividades de Tratamento", uma exigência introduzida no artigo 30 da GDPR (General Data Protection Regulation) da União Europeia, que os controladores e processadores de dados devem manter um registro de suas atividades de tratamento.
Elementos chave do Anexo A da ISO 27557
Para ajudar as organizações a compreender e mapear o tratamento de Dados Pessoais (DP), o Anexo A apresenta elementos chaves, com tabelas e orientações:
- Atividades de Tratamento: Identificar as atividades que podem variar desde a coleta, armazenamento, uso, transmissão e até a destruição de DP. Cada atividade possui riscos associados que devem ser gerenciados.
- Tipos de DP: Categorizar os dados, por exemplo, vida pessoal, vida profissional, dados de localização, entre outros. Conhecer estes tipos de DP é importante, pois dados sensíveis por exemplo podem exigir medidas de proteção adicionais.
- Finalidade do Tratamento: Definir o motivo pelo qual os dados são processados, podendo ser para fornecer um serviço, personalizar ofertas ou prevenir fraudes.
- Localização: Identificar a localização do tratamento que pode influenciar as obrigações legais, especialmente em um contexto internacional.
- Ativos Relacionados: Mapear os recursos, sistemas e serviços que tratam os DP e que devem ser devidamente protegidos.
- Pessoal e Entidades envolvidas: Estabelecer quem está tratando os dados e seu papel no processo.
Mesmo com as melhores práticas e medidas de segurança, os incidentes podem ocorrer. Assim, a identificação adequada do tratamento de DP permite que a organização esteja melhor preparada para agir prontamente em caso de incidentes, minimizando danos e acelerando a recuperação. Saber quais dados estão em risco, onde estão armazenados e como são tratados facilita a resposta rápida a vazamentos ou violações.
A gestão de riscos não é apenas sobre prevenir incidentes, mas também sobre demonstrar conformidade proativa e boa governança. As organizações que entendem como tratam os DP atendem melhor às demandas regulatórias, evitando sanções e demonstrando responsabilidade aos seus stakeholders.
Manter registros detalhados das atividades de tratamento de DP é também uma prática necessária para demonstrar conformidade com a LGPD e garantir a proteção adequada dos dados.
Concluindo, com o apoio do Anexo A da ISO 27557, organizações têm agora à disposição um recurso valioso para apoiar o tratamento de Dados Pessoais (DP). Apoiadas por uma abordagem precisa e assertiva, as empresas não apenas protegem a privacidade dos indivíduos, mas também a si mesmas de riscos associados à privacidade.
Abraços e até a próxima,
