Pelos termos do art. 37 da Lei Geral de Proteção de Dados/LGPD (Lei nº 13.709/2018) os agentes de tratamento de dados devem manter o registro das operações de tratamento de dados pessoais que realizarem, especialmente quando baseado no legítimo interesse.
Em breves linhas, o registro de operações de tratamento de dados pessoais pode ser definido como a compilação estruturada dos tratamentos de dados pessoais realizados dentro da organização. Ou seja, é o documento que organiza tais informações.
A partir da vigência da LGPD as organizações, privadas ou públicas, devem manter o registo de tratamento de dados pessoais, sob pena de serem penalizadas.
O registro de operações de tratamento de dados pessoais também viabiliza a proteção dos dados pessoais pela organização. Isso porque, para bem atender as exigências da LGPD é necessário que a empresa tenha pleno conhecimento dos tratamentos de dados que realiza. O registro de operações é um importante instrumento para tanto.
Portanto, muito mais do que o cumprimento de uma
obrigação legal, o registro de operações irá ajudar na implementação dos
controles necessários para atender aos princípios e demais obrigações impostas
pela LGPD por proporcionar os seguintes benefícios:
1- Identificação dos tipos de dados tratados pela
organização;
2- Conhecimento das bases legais que legitimam o
tratamento dos dados pessoais;
3- Facilita o atendimento das solicitações dos
titulares, como a confirmação da existência do tratamento e o acesso aos dados;
4- Saber onde os dados pessoais estão armazenados;
5- Transparência sobre as medidas técnicas e
administrativas adotadas para garantir a segurança e proteção dos dados
pessoais.
O registro de operações de tratamento de dados
pessoais pode ser realizado através do mapeamento dos dados pessoais a partir
de entrevistas com os colaboradores da organização ou através da descoberta de
dados pessoais apelo uso de soluções tecnológicas.
Durante o mapeamento é muito importante que a empresa consiga responder as seguintes perguntas para que o registro tenha as informações mínimas necessárias: (i) como os dados pessoais são coletados, (ii) quem tem acesso aos dados pessoais, (iii) quais tipos de dados pessoais são coletados, (iv) por que os dados pessoais são tratados e (v) quais mecanismos de proteção já estão sendo aplicados.
A LGPD não determina de forma clara qual o conteúdo mínimo desse registro, mas através da sua interpretação é possível chegar a tal conclusão. Enquanto a nossa Autoridade Nacional de Proteção de dados não regulamenta esta questão, o art. 30 da GDPR pode servir como importante diretriz.
Assim, algumas das informações mínimas necessárias
que devem estar nesses registros são as seguintes:
1- Nome e contato do controlador e do encarregado;
2- A finalidade do tratamento de dados pessoais;
3- A descrição da categoria dos dados pessoais
tratados e dos titulares de dados;
4- O compartilhamento dos dados pessoais;
5- Se existe a transferência internacional dos
dados;
6- O prazo para eliminação dos dados pessoais;
7- A descrição geral das medidas de segurança da
informação adotadas pela organização;
8- Indicação da base legal que legitima o
tratamento;
9- Descrição da atividade de tratamento
Este documento deve ser constantemente atualizado para que traduza efetivamente todos os tratamentos realizados pela organização, incluindo os novos tratamentos e excluindo aqueles que não são mais utilizados. Para isso é necessário atribuir responsabilidades aos colaboradores e capacitá-los para que entendam preceitos básicos da LGPD.
A elaboração do registro de operações depende do
engajamento dos membros da organização. Todas as áreas da empresa que realizam
tratamento de dados pessoais precisam ser envolvidas. Levantar todas as
informações necessárias não é uma tarefa simples, pois, na maioria das vezes,
tais informações não estão centralizadas e os dados podem estar tanto em banco
de dados estruturados como em bancos não estruturados.
Portanto, é muito importante que as organizações não negligenciam o registro de operações de tratamento de dados, seja para evitar penalidades pelo descumprimento da lei (art. 37) seja para tutelar a privacidade e a proteção de dados, valores fundamentai na era da economia digital.
Juliana Callado Gonçales - sócia do Silveira
Advogados e especialista em Direito Tributário e em Proteção de Dados (www.silveiralaw.com.br)
Nenhum comentário:
Postar um comentário