A conformidade com Lei Geral de Proteção de Dados — Lei nº 13.709/2018 (LGPD) — pode ser uma jornada longa e complexa para qualquer instituição, pública ou privada, grande ou pequena. Uma das atividades mais desafiadoras e complexas, sem dúvida, é o Inventário de Dados Pessoais (IDP), um dos primeiros passos para garantir que seja possível identificar e entender como os dados fluem dentro da instituição, por todo o seu ciclo de vida, processo que deve descrever o caminho dos dados pessoais dentro da instituição, desde a coleta até a sua eliminação, nos termos da LGPD.
Essa tarefa é fundamental para que as instituições percebam quais dados pessoais estão sendo coletados, como estão sendo utilizados e com quem estão sendo compartilhados, com o objetivo de aprimorar os controles e procedimentos de privacidade e de proteção de dados, além de permitir que as demandas dos titulares sejam atendidas adequadamente, na plenitude dos direitos previstos no art. 18 da LGPD.
O que deve ser registrado em um Inventário de Dados Pessoais
Um inventário de dados pessoais deve ser abrangente para garantir a conformidade com a LGPD, discriminando todos os dados pessoais coletados e seu caminho (fluxo) dentro e fora da instituição. No entanto, os registros não precisam ser feitos em um único documento. O inventário pode ser segmentado para discriminar dados pessoais de um único produto/projeto/sistema/titular ou um tipo específico de dados, especialmente em situações complexas. Mas o que deve ser registrado no inventário? Listo, a seguir, alguns dados que são primordiais:
1) Como os dados são coletados?
As instituições precisam identificar como e onde os dados pessoais estão sendo coletados: via formulário online, formulário em papel, fontes de dados externas, dentre outros. É preciso entender quais informações estão sendo coletadas de quais fontes e quais são as obrigações em relação a essa coleta de dados sob o aspecto da LGPD.
2) Quais dados são coletados?
É importante que as instituições tenham uma compreensão completa e clara de todos os dados pessoais que possuem em seu poder. Estes podem ser de clientes, cidadãos, visitantes, funcionários e qualquer pessoa natural que tenha relação com a instituição.
3) Onde os dados são armazenados? Qual é o formato dos dados?
Para que uma instituição tenha um entendimento adequado de suas práticas de privacidade de dados, é necessário saber onde esses dados estão armazenados e em que formato são mantidos. A maioria das instituições armazena informações eletronicamente, mas muitas podem continuar a ter registros em papel ou os funcionários podem imprimir arquivos contendo dados pessoais para uso próprio. Mesmo os registros eletrônicos precisam de um exame aprofundado, pois podem ser armazenados na nuvem, em servidores locais, computadores locais ou até mesmo em equipamentos de fornecedores terceirizados.
4) Para onde vão os dados?
As instituições precisam saber para onde seus dados estão indo, tanto internamente quanto externamente, parceiros e fornecedores. Também é importante prestar atenção se os dados cruzam fronteiras internacionais, situação em que se deve tomar cuidados adicionais.
5) Para que são usados os dados?
As instituições precisam conhecer suas atividades de tratamento de dados pessoais tanto para fornecer divulgações precisas aos titulares – que têm seus direitos discriminados no art. 18 da LGPD – quanto para cumprir os requisitos de necessidade de registro das operações de tratamento previstos no artigo 37 da LGPD.
É fundamental definir a hipótese de tratamento (arts. 7º e 11), a finalidade e a previsão legal, principalmente se a hipótese de tratamento for para cumprimento de obrigação legal ou regulatória. Nesse caso, a previsão legal deve indicar a Lei, Decreto, normativo ou regulamento que respalda a finalidade e a hipótese de tratamento.
O inventário também permite que as instituições sejam capazes de demonstrar privacidade desde a concepção (privacy by design) do produto ou serviço (art. 46, § 2º) e minimização de dados, consagrado pelos princípios da necessidade e adequação, para atendimento à finalidade declarada. Se a instituição identificar a necessidade de ajuste na coleta para atingir o princípio da minimização dos dados pessoais tratados ou mesmo incompatibilidades de adequação à finalidade do tratamento de dados, uma boa prática é sanar imediatamente no serviço/produto/processo essas não conformidades.
6) Por quanto tempo os dados são mantidos?
A retenção de dados é outra área importante da privacidade desde a concepção (privacy by design) e minimização de dados. Embora a maioria dos inventários de dados pessoais foque em sua coleta e compartilhamento, uma visão abrangente deve incluir também quando os dados serão eliminados (ou anonimizados), fechando o seu ciclo de vida dentro da instituição.
7) Quais as medidas de segurança e privacidade aplicadas?
A instituição deve identificar as atuais medidas de segurança e técnicas administrativas implementadas, além da descrição dos controles que visam assegurar a confidencialidade, integridade e disponibilidade dos dados pessoais, minimizando os riscos como perda ou vazamento de dados.
O inventário de dados e seu relacionamento com o Relatório de Impacto à Proteção de Dados Pessoais
Ter uma visão geral de todos os inventários de dados pessoais elaborados é fundamental para a instituição, pois facilita a rápida localização de um serviço/processo inventariado, além de permitir um rápido atendimento a uma requisição do titular.
O IDP versa sobre o registro das operações de tratamento dos dados pessoais realizadas pela instituição, dando um retrato exato de como é feito o tratamento para cada serviço/processo/produto. Assim, essas informações se tornam insumos para a elaboração do Relatório de Impacto à Proteção de Dados Pessoais (RIPD), que é um instrumento capital para comprovação da conformidade à LGPD, assim como para que o controlador possa constatar as medidas, salvaguardas e mecanismos de mitigação de riscos adotados.
Mas o inventário de dados não é uma tarefa simples, como vimos. Nesse sentido, a Secretaria de Governo Digital do Ministério da Economia (SGD/ME) criou um guia detalhado, com exemplos e modelos, para orientar a elaboração inventário de dados pessoais, definindo características e um processo para elaboração, que pode ser utilizado como referência para esse árduo trabalho.
Por fim, o inventário é fundamental para que o controlador materialize o princípio da responsabilização e prestação de contas (art. 6º, X), um dos pilares da LGPD. Além de estar em conformidade, as instituições precisam comprovar que os processos em vigor demonstram o comprometimento da organização com a privacidade e proteção dos dados pessoais.
Este artigo foi produzido por Fabio Correa Xavier, Diretor do Departamento de Tecnologia da Informação do TCESP, Mestre em Ciência da Computação, Professor e colunista da MIT Technology Review Brasil.