Após verificar quais são as empresas afetadas pela Lei Geral de Proteção de Dados (LGDP) e como manter uma estrutura de governança de dados dentro da organização, temas que foram trabalhados nos dos dois primeiros capítulos dessa série, passo a abordar como preservar um inventário de dados pessoais e mecanismos de transferência de dados.
Neste particular, sugere-se que as seguintes etapas sejam observadas:
1. Manter um inventário de dados pessoais e das atividades de processamento. Primeiramente, é necessário saber onde estão os dados pessoais. Para tanto, realiza-se uma auditoria (discovery), na qual é identificado como são coletados e onde são armazenados os dados (se em bancos estruturados ou não-estruturados), para onde estão sendo enviados, quanto tempo são retidos e em que formatos, quem tem acesso e está os utilizando, quem é o responsável e qual a sua relevância. Esta, certamente, será a etapa mais trabalhosa e demorada de todo o processo de adequação da organização à LGPD, pois devem ser considerados não só os servidores locais e de terceiros, mas também as nuvens públicas e privadas, mídias sociais e sites de compartilhamento, além de soluções híbridas que agregam todas as anteriores. Após este estágio, é provável que a organização verifique que detém dados pessoais irrelevantes, obsoletos ou redundantes, momento em que, sugere-se, sejam estes removidos de sua base, de modo a reduzir custos com o armazenamento, melhorar a indexação, dar mais rapidez ao acesso e ao tempo de recuperação na eventualidade de algum infortúnio e, sobretudo, diminuir os riscos.
2. Classificar os dados pessoais por tipo, de acordo com o seu conteúdo, preferencialmente utilizando, num primeiro momento, a categorização proposta pela própria LGPD (dado pessoal, dado pessoal sensível, e dado anonimizado). Isso ajudará a empresa a criar as políticas de armazenamento, garantir que os dados só sejam efetivamente acessados e compartilhados por pessoas com as devidas permissões e propor soluções de proteção, como criptografia e data loss prevention (DLP), e contra vazamento, dando mais controle sobre as informações que circulam no ambiente da organização e fora dele. Quando possível, a classificação de dados será inserida em metadados de arquivos, permitindo que essa informação trafegue com eles, informando automaticamente a aplicativos de terceiros e usuários como os dados devem ser manipulados.
3. Reter registros dos mecanismos de transferência de dados entre servidores localizados em diferentes países, nos casos de empresas que operam globalmente, distribuem seu armazenamento em nuvem ou utilizam-se de tecnologias como a blockchain, por exemplo, respeitando as previsões legais do Capítulo V da LGPD, em especial seu artigo 33. Nesse sentido, a título de salvaguarda, recomenda-se sejam revistos : (i) os contratos firmados entre organizações controladoras e processadoras de dados de modo que as obrigações de ambas estejam em consonância com as normas internacionais, ou seja, que sejam dadas garantias de que o tratamento dos dados e o nível de proteção respeitarão o disposto na LGPD e em outras leis aplicáveis; (ii) no caso de multinacionais, as regras corporativas globais gerais, tais como código de conduta e outras políticas, e específicas, que regulamentem a transferência e processamento de dados pessoais entre empresas do mesmo grupo econômico; (iii) os termos de consentimento firmados pelos titulares dos dados. Recomenda-se que empresas que trabalhem com um volume muito grande de dados e processos complexos de tratamento e, principalmente, transferência, busquem certificações ou selos de modo a demonstrar seu compromisso para com as principais normas internacionais.
No próximo capítulo, irei discorrer sobre como implementar uma política de privacidade de dados.
Para acessar o primeiro capítulo da Série, clique aqui.
Para acessar o próximo capítulo, clique aqui.
Comentários