LGPD e o mapeamento de repositórios físicos

Voltar
LGPD e o mapeamento de repositórios físicos
Autor: Rogério Coutinho Categoria: LGPD Comentários: 0

LGPD e o mapeamento de repositórios físicos

Abrangência da LGPD

A LGPD (Lei Geral de Proteção de Dados) tem movimentado as empresas brasileiras e tudo aponta que vai se intensificar ainda mais após fevereiro de 2022, mês que foi marcado pela emenda constitucional 115/2022 que alterou a Constituição de 1988 incluindo a proteção de dados pessoais entre os direitos e garantias fundamentais (veja os ganhos práticos para sociedade da emenda constitucional 115/2022).  No contexto de adequação das organizações com a lei, as abordagens de mercado focam muito nos dados digitais, porém deve-se manter atenção máxima quanto à aplicação da LGPD também em documentos físicos. Ou seja, todos os documentos impressos e preenchidos manualmente que envolvam dados pessoais devem, obrigatoriamente, entrar no escopo da adequação.

A importância da LGPD contemplar dados digitais e também físicos, pode ser exemplificado com uma reportagem publicada a poucos anos, que uma loja se utilizava de currículos de candidatos para embalar produtos vendidos. Um CV padrão tem uma quantidade enorme de dados pessoais e estavam sendo tratados de forma pouco “zelosa” e podendo gerar impactos relevantes para os titulares envolvidos.

O desafio da LGPD e o mapeamento de repositórios físicos

Por mais que as organizações têm se digitalizado nas últimas décadas, os documentos físicos ainda são parte relevante da realidade na maioria das empresas. Destaque especial deve-se dar aos documentos que requerem armazenamento por longo período devido obrigação legal ou regulatória.

É evidente que empresas emergentes como as startups iniciam suas operações praticamente com tudo digital, entretanto as empresas tradicionais possuem ainda uma quantidade gigante de dados impressos, com destaque para as áreas administrativas e de recursos humanos.

A experiência prática em projetos mostra que em muitas empresas, principalmente as de médio e grande porte, há muita documentação física armazenada e nem se tem conhecimento real do que se trata. Armários antigos que não se sabe o que tem dentro, porque é mantido e especialmente quais dados pessoais existem ali.

Documentos impressos estão espalhados em grande quantidade inclusive nas gavetas das mesas pelas áreas.  Salas de arquivo que viram um “depósito de documentos”, com muitos dados pessoais e possivelmente muitos deles sensíveis.

Com a rotatividade dos funcionários nas empresas, não raro, ninguém mais sabe ao certo que tipo de documento existe em alguns repositórios físicos e a razão do seu armazenamento.

Mapeamento dos dados físicos

A LGPD requer o mapeamento das operações de tratamento de dados pessoais dentro da organização e muitas dessas envolvem dados pessoais que estão em papel.

Assim como é importante identificar os sistemas de TI que sustentam as operações de tratamento, igualmente importante é fazer o mesmo para os repositórios físicos.

Uma operação de tratamento em uma área de negócio, costumeiramente, na prática usa uma aplicação/sistema de TI mantido em um banco de dados ou um servidor de arquivos, armazenando dados na rede ou uma cloud.

Da mesma forma temos operações de tratamento que armazenam dados físicos em repositórios como armários, hospedados interna ou externamente (empresas de guarda, galpões, containers, etc).

Assim como deve-se mapear os ativos de TI para implementar controles de segurança, o mesmo deve ser realizado com repositórios físicos.

Durante o processo de adequação, mais especificamente no mapeamento de dados pessoais é relevante levantar para cada operação de tratamento qual repositório físico ela armazena dados pessoais.  O levantamento pode incluir nome de repositório, a área responsável, se tem dados pessoais sensíveis, se tem dados de crianças e adolescentes, volume de titulares envolvidos, a localização, se o gerenciamento é feito pela empresa ou por terceiros, as medidas de segurança adotadas para proteção do repositório, entre outras informações relevantes. Certamente essas iniciativas vão enriquecer o mapeamento e ajudar sua organização a ter uma visão ampla do tratamento de dados pessoais em documentos físicos.

Esse mapeamento pode ser simplificado de forma importante quando a empresa usa plataformas de governança de proteção e privacidade como por exemplo o SimpleWay (www.podiumsimpleway.com.br), que já tem toda uma estrutura pronta que guia a equipe de privacidade e de negócio na realização desse processo.

Dicas importantes para repositórios físicos no contexto da LGPD

  1. Defina um responsável pelo ativo;
  2. Avalie a criticidade de cada repositório físico da organização;
  3. Com base na criticidade, avalie se as medidas de segurança existentes são suficientes ou precisam ser aprimoradas; medidas como controle de acesso, umidade, temperatura, combate a incêndios, etc;
  4. Verifique se os documentos do repositório físico possuem um processo de retenção de dados definido e se a eliminação está sendo feita de forma efetiva;
  5. Importante considerar uma higienização, com critério e seguindo os prazos legais e regulatórios;
  6. Valide se os dados de cada repositório físico estão vinculados com alguma operação de tratamento. Isso é fundamental, para garantir que uma base legal legitime esse tratamento;
  7. Considere a digitalização desses documentos, através de meios adequados que assegurem a legalidade do processo;
  8. Elabore uma norma de retenção de dados e de descarte com uma tabela de temporalidade;
  9. A preocupação com confidencialidade, integridade e disponibilidade deve considerar os dados tanto no formato digital quanto no formato físico, indispensavelmente;
  10. Tenha uma norma de classificação da informação que defina papéis, responsabilidades e diretrizes, que apoie todo o tratamento de dados impressos;
  11. Assim como a Segurança da Informação realiza análise de vulnerabilidades nos ativos tecnológicos, é importante que sejam levantados os riscos de fragilidades dos repositórios físicos de tempos em tempos.

É importante destacar ainda que estando os dados físicos dentro do escopo da LGPD, os titulares têm direitos (veja aqui dicas sobre direitos de titulares) de obter informações sobre eles também. Ou seja, a empresa precisa estar preparada para informar aos titulares que exercerem seus direitos, sobre esses dados, com informações dos compartilhamentos realizados, finalidade, etc.

Confira a matéria completa em: https://podiumsimpleway.com.br/blog/lgpd-e-o-mapeamento-de-repositorios-fisicos/

Compartilhar Post

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Voltar