A importância do inventário de dados pessoais em uma organização

Escrito por Cassiano Porto, Advogado de Privacidade e Proteção de Dados no Peck Advogados

Para que seja possível estabelecer uma política de gestão de dados pessoais eficaz e aderente às atividades de uma organização, primeiro é preciso saber quais dados estão sendo tratados, onde eles se encontram e para que finalidade eles são utilizados. Por meio da elaboração de um inventário de dados pessoais, o agente de tratamento, seja na qualidade de controlador ou operador, consegue visualizar quais informações são coletadas, quais riscos acompanham os tratamentos realizados e quais medidas serão mais eficazes e adequadas para estar em conformidade com as normas de proteção de dados pessoais.

Como ferramenta para otimização da governança de dados pessoais, o processo de compilar e gerir um inventário de dados possibilita ter uma visão precisa de quais dados a organização está tratando para realização de suas atividades. Compreender quais dados são coletados enseja maior efetividade e responsabilidade sobre a sua utilização e sobre o seu correto armazenamento. Dentre os benefícios decorrentes dessa prática, se destacam o aperfeiçoamento interno das melhores práticas de gestão de dados pessoais e a atribuição clara de responsabilidades pelo uso de dados como ativo nas mais diferentes dimensões e atividades realizadas em uma organização.

Como recurso para orientar investimentos em gestão de dados pessoais, a construção de um inventário de dados pessoais auxilia na tarefa de definir quais devem ser as prioridades para destinação de recursos e instrumentos de segurança da informação, a partir da visão estrutural e estratégica que um inventário proporciona. Com isso a organização possuirá melhores condições avaliar questões como a adoção de novas plataformas para integração entre sistemas e para evitar duplicação de dados pessoais ao longo da jornada de produção.

O inventário de dados serve também como um registro juridicamente relevante dos dados pessoais que estão sendo tratados dentro da organização. Nesse sentido, compilar um mapeamento de dados se mostra útil para identificar riscos e criar soluções a fim de promover uma melhor adequação aos padrões regulatórios estabelecidos tanto pela LGPD quanto pelo GDPR.

Importante ressaltar que o inventário de dados pessoais não se confunde com o registro das operações de tratamento (Record of Processing Activities, ou RoPA). Nesse sentido, o RoPA deve ser visto como uma espécie de inventário de dados pessoais, mas cuja obrigatoriedade e elementos derivam diretamente das legislações de proteção de dados (Art. 30 do GDPR e art. 37 da LGPD). Os requisitos mínimos necessários que devem compor um RoPA estão elencados no art. 38, parágrafo único da LGPD e art. 30 do GDPR, sendo eles:

• Nome e contato dos responsáveis pelo tratamento de dados pessoais e do encarregado de proteção de dados;

• Definição dos meios de coleta e das finalidades dos tratamentos realizados;

• Descrição das categorias de titulares de dados;

• Descrição das categorias de dados pessoais tratados;

• Descrição das categorias de destinatários com os quais são compartilhados dados pessoais;

• Havendo transferência internacional de dados, a definição de para quais países ou organizações internacionais os dados são enviados e documentação comprobatória de adoção das garantias necessárias;

• Definição dos prazos de guarda e descarte dos dados;

• Descrição das medidas técnicas e salvaguardas adotadas para mitigação dos riscos decorrentes do tratamento;

Por fim, o inventário de dados pessoais pode ser apresentado em auditorias e em inspeções de autoridades reguladoras em razão do detalhamento e abrangência das informações nele contidas. Se o inventário for estruturado em sistemas dedicados à gestão de dados, como as diversas soluções de software-as-a-service (SaaS) existentes, ainda é possível obter insights valiosos sobre gaps, potenciais riscos e pontos de melhoria, devido às diferentes ferramentas de categorização, métricas e recursos visuais que tais softwares disponibilizam.

Produzir um inventário de dados pessoais de uma organização não é uma tarefa fácil, porém, uma vez estruturado e operacional, servirá como embasamento para todas futuras ações voltadas para gestão de dados e segurança da informação. E caso seja organizado em estruturas compatíveis com softwares próprios para tanto, sua utilidade se perpetua devido à praticidade de revisá-lo e atualizá-lo conforme necessário, adequando-o às diferentes circunstâncias que influenciam uma organização ao longo do tempo.