Canvas do Mapeamento de Dados Pessoais para a LGPD

Views: 1240
1 8
Read Time:4 Minute, 23 Second

1. Contextualização do problema

A importância da LGPD está baseada na garantia dos direitos à privacidade e proteção de dados pessoais dos cidadãos, que a cada dia passa a ser mais violado em função das necessidades estratégicas do mercado varejista e dos conglomerados políticos em busca de votos.

A lei visa especificamente a proteção dos dados pessoais, que são definidos como qualquer informação que possa levar à identificação de uma pessoa, de maneira direta ou indireta, como por exemplo: Nome, CPF, telefone endereço etc. Além desses dados, a lei se preocupa de maneira mais contundente com os dados pessoais sensíveis, que são dados cujo tratamento pode ensejar a discriminação do seu titular por se referirem, por exemplo, à opção sexual, convicções religiosas, filosóficas ou morais, ou opiniões políticas etc.

Com a implantação da lei, haverá um grande fortalecimento da governança dos dados e consequentemente uma redução significativa dos riscos aos negócios. A transparência no uso dos dados irá fortalecer bastante a reputação das empresas, melhorar a experiencia do cliente e consequentemente agregar valor para os produtos e serviços oferecidos. A adequação à LGPD não é uma questão de escolha, mas sim uma questão de sobrevivência.

O processo de adequação requer uma análise detalhada do funcionamento da empresa. Todos os processos que manipulam dados pessoais precisam ser diagnosticados para definição dos riscos de violação e das estratégias de respostas mais adequadas. Será preciso também revisar todas as políticas, procedimentos, processos e contratos com terceiros para garantir a conformidade com a lei.

2. Dificuldades do processo de diagnóstico

Um dos passos mais importantes para a adequação à LGPD é realizar um mapeamento detalhado dos dados pessoais tratados, entendendo as fases do seu ciclo de vida. É preciso conhecer como os dados são recebidos ou criados, como estão armazenados, quem tem acesso, se os dados são compartilhados com terceiros no Brasil ou exterior e quais os riscos associados a cada operação de tratamento. A partir desse diagnóstico, controles jurídicos, processuais e de segurança da informação podem ser aplicados para garantir o maior índice de adequação à lei.

Depois de trabalhar em alguns projetos de adequação e de formar vários profissionais para a função de DPO (Data Protection Officer), observamos que existe uma grande dificuldade das empresas em saberem como dar o primeiro passo nessa análise.

O processo pode ser dividido em duas fases. A primeira é chamada de Data Discovery e tem como objetivo descobrir aonde estão os dados pessoais dentro do domínio das empresas. Já existem no mercado diversas ferramentas especializadas em fazer uma varredura na rede, nas bases de dados e em sistemas, porém o custo dessas ferramentas pode inviabilizar o projeto de adequação de pequenas e médias empresas. Além da impossibilidade dessas ferramentas detectarem os dados que não estão em meio digital ou que estão sendo tratados fora da empresa, por parceiros ou fornecedores externos.

A segunda fase é chamada de Data Mapping e tem como objetivo detalhar os fluxos de dados pessoais, explicitando todas as atividades de tratamento, quais recursos (aplicações, bases de dados, formulários de papel, etc.) são utilizados, quais os destinos das informações, quais bases legais justificam o tratamento, tempo de retenção, estratégias de descarte etc.

Funciona exatamente como um projeto de BPM (Business Process Management), porém o foco não é a melhoria do processo e sim o detalhamento dos fluxos de dados pessoais.

Como o processo tende a ser iterativo e incremental, na prática, as duas fases costumam se retroalimentar e uma sempre ajuda a outra, à medida que os dados são descobertos.

Um problema que o diagnóstico para a LGPD herdou dos projetos de BPM é a dificuldade de engajamento das pessoas para levantamento das informações. Como o processo de entrevistas e auditorias termina sendo longo e desgastante, se as pessoas não tiverem o claro entendimento dos benefícios desse trabalho e se elas não se sentirem parte dele, os resultados podem ser catastróficos, com uma descrição superficial e irreal das atividades de tratamento dos dados pessoais.

Pensando em melhorar essa dinâmica, contornando todos os problemas supracitados, a ADX criou Workshop para diagnóstico LGPD. Esse trabalho tem dois grandes objetivos: Nivelar o conhecimento de todas as partes interessadas sobre os principais requisitos da lei e iniciar o processo de Data Discovery e Data Mapping de forma interativa com os próprios colaboradores e fornecedores.

Para apoiar esse trabalho, foi criado o Canvas do Mapeamento de Dados Pessoais para a LGPD. Esse artefato foi aplicado em diversos projetos de adequação trazendo um resultado extremamente empolgante para todos os envolvidos e gerando melhorias a cada nova utilização. A ideia dele é criar um ambiente extremamente criativo e colaborativo para que os próprios colaboradores e fornecedores ajudem no primeiro passo da descoberta e mapeamento dos dados pessoais.

3. O Workshop

O Workshop começa com a parte conceitual, onde os seguintes temas são trabalhados com todos os participantes:

  • Entendo a era da informação;
  • Conceito de privacidade;
  • Segurança da informação;
  • O que é a LGPD;
  • Dados pessoais;
  • Requisitos para aplicação da lei;
  • Controlador X Operador X DPO;
  • Bases legais para tratamento de dados;
  • Dados pessoais sensíveis;
  • Os princípios para tratamento de dados;
  • Os direitos dos titulares;
  • Transferência internacional;
  • Sanções administrativas;
  • Avaliação de impacto à privacidade.

FONTE: GRUPO ADX

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *