Data Protection Officer (Encarregado) - Ed. 2020

Registro das Operações de Tratamento de Dados Pessoais - Data Mapping - Data Discovery: Por que é Importante e Como Executá-Lo

Entre no Jusbrasil para imprimir o conteúdo do Jusbrasil

Acesse: https://www.jusbrasil.com.br/cadastro

Tiago Neves Furtado 1

O registro das operações de tratamento de dados pessoais é formado a partir das atividades de mapeamento de dados (data mapping) e/ou descobrimento dos dados (Data Discovery), e tem sido considerado como o primeiro passo operacional a ser adotado pelas organizações que estão em processo de adequação à Lei Federal 13.709/2018 (a “Lei Geral de Proteção de Dados Pessoais” ou LGPD).

O início dessa construção, isto é, por meio do referido registro, não é uma prerrogativa somente das organizações brasileiras, mas foi também das organizações europeias no período pré-vigência do seu Regulamento Geral de Proteção de Dados (o “General Data Protection Regulation” ou GDPR). 2

Como se viu, em 2017, a União Europeia vivia a expectativa da entrada em vigor do GDPR. Naquele momento, muitas organizações europeias e americanas que precisariam se adequar ao referido regulamento foram questionadas acerca de qual seria a obrigação que representava o maior risco de não compliance. Em outras palavras, qual a obrigação que seria mais difícil de ser cumprida.

As organizações americanas e europeias já percebiam que ter o registro das operações de dados pessoais seria um grande desafio e acabaram elencando essa obrigação como o segundo maior risco de não compliance entre as obrigações previstas no GDPR. Senão, vejamos a pesquisa realizada pela Associação Internacional de Proteção de Dados (“International Association of Privacy Professionals” ou IAPP): 3

No Brasil, também vivemos um momento semelhante, na medida em que se aguarda a plena vigência da LGPD. Nesse contexto, também se percebe grande preocupação das organizações em relação à obrigação de realizar e manter o registro das operações de dados pessoais, também trazida pela LGPD. Contudo, a percepção é que a preocupação das organizações brasileiras se intensifica, na medida em que apresentam muita dificuldade em compreender o que de fato é esse registro, como deve ser realizado, e qual sua verdadeira finalidade.

O que se percebe é que muitas organizações brasileiras têm confundindo a realização do registro com próprio fato de estar compliance com a LGPD, e não como o primeiro passo (ou um dos primeiros passos) nessa direção. Assim, ao invés de iniciarem sua corrida para formação de um programa de governança em privacidade e proteção de dados, iniciaram uma espécie de “corrida pelo data mapping”, acreditando que o grande desafio seria de fato identificar todos os dados pessoais tratados em sua operação.

A experiência prática permite concluir que essa ansiedade, combinada com o apetite das consultorias, que viram nesse cenário uma oportunidade de mercado, estimulou a sensação nas organizações de que estar em compliance com a LGPD é ter seus dados mapeados e identificados.

O grande problema dessa percepção é que a formação desse registro não pode ser encarada como atividade-fim, mas como atividade-meio, isto é, como uma ferramenta para ajudar a organização a caminhar em direção ao compliance com a LGPD. Se a organização não encarar o mapeamento dessa forma, haverá grandes chances do registro formado não ter maiores utilidades práticas.

Um dos pontos que confirma essa percepção é o fato de que a LGPD entrará em pleno vigor no dia 03 de maio de 2021, 4 e aproximadamente 84% (oitenta e quatro por cento) das empresas dizem não estarem prontas para proteger os dados pessoais. 5 E muito dessa percepção tem origem em como as organizações têm valorizado o data mapping em detrimento da formação de um programa de governança.

Portanto, o objetivo do presente artigo é demonstrar a importância do registro de operações de dados pessoais, mas desde que ele seja utilizado como verdadeira bússola do programa de privacidade, de forma a conectar as operações com as políticas e procedimentos a serem construídos.

1.O que é Registro de Operações de Dados Pessoais, Data Mapping, Data Discovery?

Para que se compreenda, de forma adequada, a conexão entre o registro de operações de dados pessoais com um programa de privacidade, é importante compreender a sua definição. Para isso, temos uma definição descritiva, isto é, que explica como se faz um registro, e outra definição classificada como existencial (ou finalística), ou seja, aquela que elucida o porquê o registro existe. A combinação das duas definições se faz relevante para a contextualização do referido registro no âmbito de um programa de governança.

Pela definição descritiva, temos que o registro de operações de dados pessoais é a compilação estruturada de informações relacionadas às operações de tratamento de dados pessoais, coletadas por meio das tarefas de mapeamento de dados (Data Mapping) e/ou mediante ferramentas de descobrimento de dados (Data Discovery).

Por sua vez, o data mapping pode ser definido como uma atividade de catalogação de todo o fluxo de dados pessoais que são objeto de qualquer operação de tratamento (coleta, uso, armazenamento, compartilhamento e eliminação) por uma organização, bem como os seus principais elementos (quais são os tipos de dados, formato, finalidade, base legal, localização etc.). 6 - 7 O data mapping é realizado mediante entrevistas ou preenchimento direto de formulários (self-assessment).

Do outro lado, o Data Discovery pode ser definido como um processo realizado a partir da combinação de ferramentas e processos de software, com objetivo de identificar quais são os dados objeto de tratamento pela organização, seja aqueles armazenados em suas instalações, ou na nuvem, em redes de parceiros e repositórios externos, ou nos dispositivos pessoais de sua equipe. Essas ferramentas podem identificar quaisquer dados mantidos em qualquer formato, como documentos, apresentações e e-mails. 8 - 9

Entendido o que é esse registro sob o aspecto descritivo, cabe-nos explorar: qual o motivo da sua existência? Pode-se dizer que o referido registro existe para nortear, facilitar e permitir que o controlador e o operador de dados, por meio e/ou com apoio do encarregado, 10 consigam criar e gerir um programa de governança aderente com a sua realidade e ao seu modelo de negócio.

No mesmo sentido, temos a lição de João Torres Barreiro 11 :

“A successful privacy program cannot be built and maintained without a comprehensive view of the data organizations store and process. Data assessments can help to inventory and track personal information as well as determine the impact organizational systems and processes will have on privacy.”

Essa percepção também é compartilhada pelas autoridades de proteção na União Europeia. 12 Nesse sentido, é precisa a definição da autoridade francesa de proteção de dados, a Commission Nationale de l'Informatique et des Libertés (CNIL), ao reconhecer que o registro de operações com dados pessoais é uma ferramenta que ajuda a organização a estar em compliance com a regulação. 13 Senão, vejamos:

“The record of processing activities allows you to make an inventory of the data processing and to have an overview of what you are doing with the concerned personal data. The recording obligation is stated by article 30 of the GDPR. It is a tool to help you to be compliant with the Regulation.”

Logo, quando a organização inicia e executa o Data Mapping e o Data Discovery para criação desse registro sem conexão com um programa de governança, traz para si 05 (cinco) grandes riscos ou consequências, a saber:

a) elevado custo financeiro: o custo financeiro para executar as tarefas de data mapping e data discovery é elevado. Logo, se organização não sabe e/ou indica o que tem que ser mapeado e como esses dados serão utilizados no contexto de um programa de governança, essas atividades não devolverão o valor que deveriam para a organização;

b) elevado gasto de tempo: a formação do registro demanda um tempo elevado, principalmente se, já no primeiro momento, o objetivo do data mapping for identificar toda e qualquer atividade de tratamento de dados pessoais dentro da organização, principalmente as atividades de data mapping, que envolvem entrevistas. Por isso, saber como e o que deve ser efetivamente mapeado pode economizar um bom tempo;

c) desatualização do registro logo após sua conclusão: após a finalização do Data Mapping e do Data Discovery, é possível que o registro já esteja desatualizado em virtude de novas atividades que envolvem dados pessoais iniciadas durante a execução desses processos. Por isso, o objetivo não deve ser identificar 100% das atividades. Nenhuma solução garante que todas as operações de tratamento de dados serão identificadas, e, de fato, a probabilidade é que a empresa nunca alcance os 100% (cem por cento) de atividades identificadas. Por isso, deve-se focar nas operações mais relevantes e estratégicas, para, dentro de um programa de governança, estabelecer-se a estrutura necessária para a constante manutenção e atualização do referido registro;

d) desconhecimento: a maioria das organizações quando recebem o registro, não sabem absolutamente o que fazer com aquelas informações. Em outras palavras, a organização gasta dinheiro e tempo, achando que terá algo completo, e ao receber o resultado do data mapping e data Discovery não conseguirá estabelecer ações a partir desse trabalho, ou, estabelecerá ações não adequadas, o que lhe fará gastar ainda mais tempo e dinheiro.

Nesse ponto, contudo, vale destacar: não há dúvidas de que, no mundo ideal, com tempo e recursos financeiros suficientes, a melhor recomendação seria a de que a organização promovesse o data mapping e o data Discovery e, partir desses processos, formasse o seu inventário. O ponto é que essa obrigação, de forma isolada, não pode ser a principal preocupação da organização que está montando seu plano de adequação à LGPD.

Dito isso, a pergunta que surge é: como, então, utilizar o registro de operações de tratamentos de dados pessoais como ferramenta relevante de um programa de governança e, assim, afastar ou mitigar esses riscos e consequências? Para isso, necessário primeiro entender com mais profundidade o motivo de porque uma organização deve mantê-lo, no contexto de estar em compliance com a LGPD.

2.Por que manter um registro de operações de dados pessoais?

O GDPR regulamenta o registro das operações de tratamento de dados pessoais em seu artigo 30, 14 o qual não só indica qual o conteúdo mínimo que deve ser coletado pelo operador e o controlador – art. 30 (1) e (2) –, bem como determina quais são as exceções, isto é, quando uma organização estará liberada dessa obrigação – art. 30 (5).

Contudo, o art. 30 (4) do GDPR estabelece que o controlador e o operador deverão disponibilizar o registro das atividades de tratamento de dados pessoais para a autoridade supervisora quando esta solicitar.

4. The controller or the processor and, where applicable, the controller's or the processor's representative, shall make the record available to the supervisory authority on request.

No ambiente do GDPR, além da obrigação de manter o registro, fica bastante claro que ele servirá igualmente para subsidiar as autoridades de proteção de dados de cada país no exercício de suas funções, inclusive fiscalização e aplicação de sanções.

Por sua vez, a LGPD regulamentou o referido registro no art. 37 e foi bem mais econômica ao dele dispor. No caso, limitou-se a dizer que o controlador e o operador devem manter o registro das suas respectivas atividades de tratamento, especialmente quando baseado em legítimo interesse:

Art. 37. O controlador e o operador devem manter registro das operações de tratamento...

Uma experiência inovadora de pesquisa jurídica em doutrina, a um clique e em um só lugar.

No Jusbrasil Doutrina você acessa o acervo da Revista dos Tribunais e busca rapidamente o conteúdo que precisa, dentro de cada obra.

  • 3 acessos grátis às seções de obras.
  • Busca por conteúdo dentro das obras.
Ilustração de computador e livro
jusbrasil.com.br
7 de Dezembro de 2021
Disponível em: https://thomsonreuters.jusbrasil.com.br/doutrina/secao/1207548772/registro-das-operacoes-de-tratamento-de-dados-pessoais-data-mapping-data-discovery-por-que-e-importante-e-como-executa-lo-data-protection-officer-encarregado-ed-2020