Data Protection Officer (Encarregado) - Ed. 2020

Data Protection Officer (Encarregado) - Ed. 2020

Registro das Operações de Tratamento de Dados Pessoais - Data Mapping - Data Discovery: Por que é Importante e Como Executá-Lo

Entre no Jusbrasil para imprimir o conteúdo do Jusbrasil

Acesse: https://www.jusbrasil.com.br/cadastro

Tiago Neves Furtado 1

O registro das operações de tratamento de dados pessoais é formado a partir das atividades de mapeamento de dados (data mapping) e/ou descobrimento dos dados (Data Discovery), e tem sido considerado como o primeiro passo operacional a ser adotado pelas organizações que estão em processo de adequação à Lei Federal 13.709/2018 (a “Lei Geral de Proteção de Dados Pessoais” ou LGPD).

O início dessa construção, isto é, por meio do referido registro, não é uma prerrogativa somente das organizações brasileiras, mas foi também das organizações europeias no período pré-vigência do seu Regulamento Geral de Proteção de Dados (o “General Data Protection Regulation” ou GDPR). 2

Como se viu, em 2017, a União Europeia vivia a expectativa da entrada em vigor do GDPR. Naquele momento, muitas organizações europeias e americanas que precisariam se adequar ao referido regulamento foram questionadas acerca de qual seria a obrigação que representava o maior risco de não compliance. Em outras palavras, qual a obrigação que seria mais difícil de ser cumprida.

As organizações americanas e europeias já percebiam que ter o registro das operações de dados pessoais seria um grande desafio e acabaram elencando essa obrigação como o segundo maior risco de não compliance entre as obrigações previstas no GDPR. Senão, vejamos a pesquisa realizada pela Associação Internacional de Proteção de Dados (“International Association of Privacy Professionals” ou IAPP): 3

No Brasil, também vivemos um momento semelhante, na medida em que se aguarda a plena vigência da LGPD. Nesse contexto, também se percebe grande preocupação das organizações em relação à obrigação de realizar e manter o registro das operações de dados pessoais, também trazida pela LGPD. Contudo, a percepção é que a preocupação das organizações brasileiras se intensifica, na medida em que apresentam muita dificuldade em compreender o que de fato é esse registro, como deve ser realizado, e qual sua verdadeira finalidade.

O que se percebe é que muitas organizações brasileiras têm confundindo a realização do registro com próprio fato de estar compliance com a LGPD, e não como o primeiro passo (ou um dos primeiros passos) nessa direção. Assim, ao invés de iniciarem sua corrida para formação de um programa de governança em privacidade e proteção de dados, iniciaram uma espécie de “corrida pelo data mapping”, acreditando que o grande desafio seria de fato identificar todos os dados pessoais tratados em sua operação.

A experiência prática permite concluir que essa ansiedade, combinada com o apetite das consultorias, que viram nesse cenário uma oportunidade de mercado, estimulou a sensação nas organizações de que estar em compliance com a LGPD é ter seus dados mapeados e identificados.

O grande problema dessa percepção é que a formação desse registro não pode ser encarada como atividade-fim, mas como atividade-meio, isto é, como uma ferramenta para ajudar a organização a caminhar em direção ao compliance com a LGPD. Se a organização não encarar o mapeamento dessa forma, haverá grandes chances do registro formado não ter maiores utilidades práticas.

Um dos pontos que confirma essa percepção é o fato de que a LGPD entrará em pleno vigor no dia 03 de maio de 2021, 4 e aproximadamente 84% (oitenta e quatro por cento) das empresas dizem não estarem prontas para proteger os dados pessoais. 5 E muito dessa percepção tem origem em como as organizações têm valorizado o data mapping em detrimento da formação de um programa de governança.

Portanto, o objetivo do presente artigo é demonstrar a importância do registro de operações de dados pessoais, mas desde que ele seja utilizado como verdadeira bússola do programa de privacidade, de forma a conectar as operações com as políticas e procedimentos a serem construídos.

1.O que é Registro de Operações de Dados Pessoais, Data Mapping, Data Discovery?

Para que se compreenda, de forma adequada, a conexão entre o registro de operações de dados pessoais com um programa de privacidade, é importante compreender a sua definição. Para isso, temos uma definição descritiva, isto é, que explica como se faz um registro, e outra definição classificada como existencial (ou finalística), ou seja, aquela que elucida o porquê o registro existe. A combinação das duas definições se faz relevante para a contextualização do referido registro no âmbito de um programa de governança.

Pela definição descritiva, temos que o registro de operações de dados pessoais é a compilação estruturada de informações relacionadas às operações de tratamento de dados pessoais, coletadas por meio das tarefas de mapeamento de dados …

Uma experiência inovadora de pesquisa jurídica em doutrina, a um clique e em um só lugar.

No Jusbrasil Doutrina você acessa o acervo da Revista dos Tribunais e busca rapidamente o conteúdo que precisa, dentro de cada obra.

  • 3 acessos grátis às seções de obras.
  • Busca por conteúdo dentro das obras.
Ilustração de computador e livro
jusbrasil.com.br
15 de Agosto de 2022
Disponível em: https://thomsonreuters.jusbrasil.com.br/doutrina/secao/1207548772/registro-das-operacoes-de-tratamento-de-dados-pessoais-data-mapping-data-discovery-por-que-e-importante-e-como-executa-lo-data-protection-officer-encarregado-ed-2020