Skip to main content
PT EN

5 dicas para conduzir um mapeamento de dados pessoais sem traumas

    Passados dois anos e meio de vigência da Lei Geral de Proteção de Dados (Lei nº 13.709/2018, também conhecida como “LGPD”), é possível dizer que o registro das atividades de tratamento de dados pessoais se consolidou como rotina presente nos programas de governança em privacidade e proteção de dados.

    Evidentemente, esse é um ponto de atenção nas organizações, afinal, trata-se de uma obrigação legal prevista pela LGPD. Além disso, o tema que já foi tratado pela Autoridade Nacional de Proteção de Dados (ANPD) em consulta pública acerca de modelo de registro simplificado das operações de tratamento de dados pessoais, aplicável aos agentes de tratamento de pequeno porte. 

    Nesse sentido, é importante olharmos para os desafios que organizações enfrentam ao implementar essa rotina, que pode parecer infindável e exaustiva tanto para o time de privacidade, quanto para as áreas de negócios envolvidas.

    Diante da importância do tema e dos desafios igualmente relevantes, separamos abaixo algumas dicas e lições aprendidas para auxiliar empresas que ainda não se aventuraram neste trabalho ou pretendem iniciar uma atualização: 

    1. Falhar em planejar é planejar falhar

    O primeiro passo para a realização do registro das atividades de tratamento de dados pessoais começa antes mesmo da execução dos trabalhos, por meio do planejamento. A seguir, apresentamos alguns pontos que podem ser considerados nesse momento:

    – Definição do escopo territorial (por exemplo, se o mapeamento envolverá processos a nível global ou local): entender a localização dos titulares e das operações de tratamento auxilia no enquadramento da base legal adequada, na identificação de transferências internacionais e, também, na aplicabilidade de outras legislações.

    – Definição e priorização das áreas a serem mapeadas: por exemplo, por meio de levantamento do volume de operações de tratamento de dados pessoais e categorias destes dados. 

    – Definição dos pontos focais: no dia a dia, os pontos focais funcionam como uma engrenagem para o mapeamento, tornando o trabalho efetivo e organizado. Vale mencionar que nem sempre o ponto focal será o colaborador que possui o maior cargo na área, mas sim aquele que entende todo o ciclo operacional do processo, desde o início até o fim da atividade.  

    – Agendas e estratégias: para evitar um trabalho excessivo, menos pode ser mais. Uma boa estratégia é priorizar agendas curtas e objetivas, que proporcionam maior engajamento e comprometimento das áreas. Ainda, caso seja viável, uma outra estratégia consiste no mapeamento por meio de formulário a ser respondido diretamente pela área.  

    2. Não precisa ser uma pedra no sapato das áreas envolvidas

    A realização do mapeamento (seja por meio de entrevistas ou de formulários) pode ser vista como um trabalho maçante e com pouca colaboração das áreas envolvidas. Embora seja necessário o engajamento dos colaboradores, nem sempre será fácil gerar interesse e comprometimento das áreas com o tema. 

    Por isso, é essencial conduzir o mapeamento de forma leve:

    – Apresentação do objetivo e de conceitos básicos: ao fornecer, com clareza, o porquê da realização do mapeamento, a área se sentirá mais segura e confortável em contribuir com respostas detalhadas e relevantes, tendo a consciência de que não se trata de uma auditoria, mas sim de um trabalho preventivo para mitigação de riscos. Ainda, é possível divulgar informações e conceitos básicos de forma criativa e de fácil assimilação, utilizando linguagem simples, exemplos práticos e materiais visuais (como vídeos, banners, cartilhas etc.).

    – Saber o que perguntar: para tornar a entrevista mais eficaz, sempre que possível, recomenda-se ter uma visão geral das principais atividades que são realizadas pela área, possibilitando a formulação de perguntas efetivas e direcionadas à realidade da área. 

    – Dinâmicas interativas: a utilização de ferramentas ou plataformas colaborativas (como por exemplo, Miro, Padlet etc.) podem tornar a entrevista leve e interativa, fomentando a participação ativa das áreas de negócios. 

    3. Tamanho não é documento

    Refletir sobre o registro das operações de tratamento de dados pessoais e seus respectivos campos de preenchimento é essencial. Nesse caso, é importante ter em mente o fato de que um registro com numerosos campos de preenchimento não significa necessariamente um registro mais robusto.

    Antes de estruturar um registro com campos para preenchimento intermináveis, é importante refletir sobre a utilidade da informação, verificando, inclusive, se ela já não está coberta por outro campo. Afinal, é muito provável que um registro excessivo seja “engavetado” por ser pouco prático e útil para as demandas do dia a dia da área de privacidade.

    Vale destacar que o modelo de ROPA simplificado divulgado pela ANPD (ainda em consulta pública) pode auxiliar no momento de estruturação do registro e de seus respectivos campos. Até mesmo nesse caso, esperamos que a futura versão final do modelo seja ainda mais simplificada e foque naquilo que é útil e indispensável. 

    4. Dois coelhos em uma cajadada só: aproveite o mapeamento para impulsionar outras rotinas do programa de privacidade

    Muitas vezes, o trabalho de mapeamento é visto como uma rotina para se “cumprir tabela”, desconsiderando-se totalmente a carga estratégica da atividade. Por que não enxergar o mapeamento como uma oportunidade para impulsionar outras rotinas do programa de privacidade?

    Aqui vão alguns exemplos do que pode ser feito:

    – É possível realizar análises de privacidade sobre cada uma das atividades de tratamento registradas, identificando fatores de criticidade e indicando eventuais recomendações aplicáveis para mitigação de riscos em cada atividade.

    – As entrevistas e demais pontos de contato com as áreas de negócios envolvidas podem servir como um “termômetro” para verificar a necessidade de realização de medidas de conscientização sobre temas específicos e/ou personalizadas para determinados públicos.

    – Para organizações que lidam com o uso de novas tecnologias, o mapeamento pode ser uma boa oportunidade para já identificar, por exemplo, atividades que contam com o uso de sistemas de inteligência artificial (IA). Esse tipo de trabalho será muito útil para estruturação de uma governança em IA, tema que já está em debate em propostas de regulamentação

    5. Para quem não sabe aonde vai, qualquer caminho serve

    De saída, vale esclarecer que o registro das atividades de tratamento de dados pessoais não é um trabalho a ser realizado uma única vez, ou seja, não adianta finalizá-lo e achar que nunca mais terá de olhar para isso. Na verdade, a rotina é contínua e exige atualização das informações coletadas.

    Por isso, é importante medir sua efetividade, identificando eventuais gaps e planejando as próximas ações para contínua evolução do programa de privacidade. Por exemplo, entre outras, é possível medir o percentual de áreas mapeadas, o tempo médio decorrido entre as atualizações do mapeamento e o tempo médio para conclusão do processo de atualização.

    Para saber mais sobre a construção de métricas para o programa de privacidade, acesse aqui o material “Medindo o Programa de Privacidade”

    Por fim, é importante lembrar que não existe uma solução única, que poderia ser aplicada para toda e qualquer organização. Por isso, cada organização possui margem para definir sua estratégia de registro de atividades conforme sua própria realidade. Seja como for, esperamos, por meio das dicas apresentadas, ter contribuído para aliviar o fardo dessa tarefa árdua.

    Voltar