LGPD e o mapeamento de repositórios físicos
28 de novembro de 2024
Abrangência da LGPD
A LGPD (Lei Geral de Proteção de Dados) tem movimentado as empresas brasileiras e esse tema vai estar cada dia mais presente na sociedade. O Brasil teve marcos importantes de proteção de dados nos últimos tempos, entre eles está a emenda constitucional 115/2022 que alterou a Constituição de 1988 incluindo a proteção de dados pessoais entre os direitos e garantias fundamentais (veja os ganhos práticos para sociedade da emenda constitucional 115/2022). No contexto de adequação das organizações com a lei, as abordagens de mercado focam muito nos dados digitais, porém deve-se manter atenção máxima quanto à aplicação da LGPD também em documentos físicos. Ou seja, todos os documentos impressos e preenchidos manualmente que envolvam dados pessoais devem, obrigatoriamente, entrar no escopo da adequação.
A importância da LGPD contemplar dados digitais e também físicos, pode ser exemplificado com uma reportagem publicada a poucos anos, que uma loja se utilizava de currículos de candidatos para embalar produtos vendidos. Um CV padrão tem uma quantidade enorme de dados pessoais e estavam sendo tratados de forma pouco “zelosa” e podendo gerar impactos relevantes para os titulares envolvidos.
Desafio dos repositórios físicos.
1. Defina um responsável pelo ativo;
2. Mapeie as categorias de titulares e de dados pessoais armazenados no repositório;
3. Avalie se as medidas de segurança existentes são suficientes ou precisam ser aprimoradas; medidas como controle de acesso, umidade, temperatura, combate a incêndios, etc;
4. Verifique se os documentos do repositório físico possuem um processo de retenção de dados definido e se a eliminação está sendo feita de forma efetiva;
5. Importante considerar uma higienização, com critério e seguindo os prazos legais e regulatórios;
6. Valide se os dados de cada repositório físico estão vinculados com alguma operação de tratamento. Isso é fundamental, para garantir que uma base legal legitime esse tratamento;
7. Considere a digitalização desses documentos, através de meios adequados que assegurem a legalidade do processo;
8. Elabore uma norma de retenção de dados e de descarte com uma tabela de temporalidade;
9. A preocupação com confidencialidade, integridade e disponibilidade deve considerar os dados tanto no formato digital quanto no formato físico, indispensavelmente;
10. Tenha uma norma de classificação da informação que defina papéis, responsabilidades e diretrizes, que apoie todo o tratamento de dados impressos;
11. Assim como a Segurança da Informação realiza análise de vulnerabilidades nos ativos tecnológicos, é importante que sejam levantados os riscos de fragilidades dos repositórios físicos de tempos em tempos.
É importante destacar ainda que estando os dados físicos dentro do escopo da LGPD, os titulares têm direitos (veja aqui dicas sobre direitos de titulares) de obter informações sobre eles também. Ou seja, a empresa precisa estar preparada para informar aos titulares que exercerem seus direitos, sobre esses dados, com informações dos compartilhamentos realizados, finalidade, etc.
Para aumentar a maturidade do seu programa de proteção de dados, veja diversas dicas práticas em:
12 Dicas importantes para um programa de conformidade com a LGPD – Parte 1
12 Dicas importantes para um programa de conformidade com a LGPD – Parte 2