e eu já fiz um vídeo inteiro de introdução do que teremos nos próximos vídeos da série top 10 desafios da adequação ea importância de cada etapa agora vamos direto ao ponto o coração de um programa de conformidade com a lgpd é o mapeamento dos dados é aqui que vamos entender o ciclo de vida dos dados pessoais e quais os riscos associados a ele meu nome é denise tavares e hoje vamos começar uma parte mais prática do nosso conteúdo vamos entender para que serve o mapeamento dos dados e quais as maneiras de executá-lo para você não
cair em uma armadilha e ter que refazer o seu trabalho e e aí e você pode procurar um lgpd mas não irá encontrar os termos inventário de dados ou mapeamento ele simplesmente não aparecem na linguagem clara da lei mas inquestionavelmente a primeira resposta operacional lgpd essencial para a construção de um programa que visa cumprir a lei é um exercício abrangente de um mapeamento inventário de dados os termos podem ter significados ligeiramente diferentes dependendo de para quem você pergunta mas envolvem pelo menos os seguintes passos compreender a definição de dados pessoais no âmbito da lgp de
determinar quais dados pessoais são coletados e utilizados pela organização ou podemos falar só tratados na definição da área de arte de descobrir onde os dados são armazenados incluindo quais sistemas de terceiros eles podem estar guardados e onde geograficamente o servidor o localizados mapeamento para onde os dados vão a partir do ponto de coleta e por toda organização esse são enviados externamente para os fornecedores e terceiros determinar quanto tempo os dados são retidos em quais formatos isso inclui um senso de saber se os dados são estruturados seres estão em uma planilha excel por exemplo ou não
estruturados incluindo arquivos em papel pdf sou áudios como ainda não temos uma autoridade de proteção de dados pessoais é possível utilizar templates disponibilizados pelas autoridades de proteção de dados europeias e customizá-las naquilo que for necessário para realidade do seu negócio com o ciclo de vida dos dados mapearam é preciso avaliar os riscos associados em cada etapa será que na coleta dos dados foi apresentada uma política de privacidade e garantir a transparência ao titular existe uma base legal associada para as operações de tratamento dos dados e a coleta de todos os dados é realmente necessária para
finalidade ou seja somente os dados estritamente necessários foram coletados o dado foi compartilhado de modo seguro os dados estão armazenados em repositório seguro o dado foi descartado após o término do tratamento todas essas questões devem ser feitas e com ajuda do time de segurança their e jurídico devem ser avaliadas a cada um na sua especialidade para entender a exposição da empresa em relação ao regime jurídico de privacidade a empresa tem que minimamente entender esse ciclo de vida dos dados pessoais quais as formas de coleta dos dados por onde os dados chegam na empresa pode ser
diretamente do titular chamamos de coleta direta ou por outros sistemas ou terceiros por exemplo que seria coleta indireta para que são utilizados aqueles dados como a empresa processa os dados pessoais a empresa compartilha os dados pessoais ela utiliza operadores no tratamento dos dados ou seja ela envia esses dados a um terceiro para que ele realize determinada operação de tratamento em seu nome como os dados são armazenados de que forma é física eletrônica em que sistema esse sistema são próprios ou de terceiros como é feito o descarte dos dados sexo ocorre existe uma política o prazo
definido para eliminação sem conduziram um inventário e mapeamento é praticamente impossível desenvolver um programa que atende as várias obrigações da lgp de incluindo estabelecer uma base legal para o tratamento proporcionar transparência aos titulares dos dados e cumprir com os seus direitos saber quanto e como obter e registrar o consentimento entre outras e é bastante difícil por exemplo elaborar uma política de privacidade tanto externa quanto interna sem entender quais dados são coletados como eles são processados e com quem são compartilhados e não é incomum uma empresa querer começar adequando sua política sem ter passado pela etapa
de uma pimento é importante ressaltar que o inventário de dados também é o primeiro passo para o controlador e o operador cumprirem a obrigação de manter o registro das operações de tratamento conforme disposto no artigo 37 da lgpd também é essencial para a elaboração do relatório de impacto a proteção de dados pessoais o de pia que poderá ser solicitado ao controlador pela npd em determinadas circunstâncias conforme indicado pelo artigo 38 da lei a avaliação de riscos por criticidade também é importante nesta fase afinal a lgpd adota uma abordagem baseada os discos para proteção dos dados
da empresa trata dados pessoais sensíveis isso existe mais cautela ea escolha de uma base legal provavelmente diferente daquela atribuída ao dado pessoal comum é preciso avaliar será que o acesso não autorizado a esses dados cria um alto risco para os direitos de liberdade dos titulares será que funcionaria a necessidade de elaboração do de pia ou uma notificação de incidente de privacidade para algumas empresas a grande minoria na verdade essas informações podem também ser capturadas por ferramentas tecnológicas softwares adaptados para fazer essa varredura nos diretórios onde são armazenados os dados pessoais chamado de data discovery no
entanto a realidade de grande parte das empresas é um mapeamento 100% realizado manualmente em planilhas nos últimos anos no setor de tecnologia de privacidade explodiu e resposta gdp o regulamento europeu de proteção e surgiram dezenas de status para fornecer soluções e ferramentas para organizações que trabalham com a conformidade a legislações de proteção de dados aqui no brasil não foi diferente já são várias empresas de tecnologia apostando em soluções para ajudar as empresas nessa jornada embora menos escaláveis que as ferramentas tecnológicas de mapeamento de dados os questionários tradicionais tem o benefício de poder ser enviados a
várias pessoas dentro de uma organização permitindo uma investigação bem abrangente seus riscos no entanto inclui o potencial de respostas fracas ou imprecisos interpretações por parte de quem vai avaliar essas respostas que podem acabar por fazer exposições ou não obtém de esclarecimentos adicionais antes de registrar aquela informação o melhor método para realizar o inventário e mapeamento dos dados dependerá do tamanho da empresa da sua organização interna da complexidade e não existe uma receita de bolo muitas empresas talvez auxiliados por advogados ou consultores externos comece com questionário aquelas correntes tempo e recursos podem inclusive realizar o exercício
inicial de descobertas para montar os ciclos de vidas gerais dos dados pessoais e sua organização seguindo então por questionários mais aprofundados e entrevistas individuais ou em grupos idealmente o inventário e os processos criados para apoiá-la devem permitir no mínimo identificar o local de armazenamento dos dados ea informação ao nível de individualizar o titular a empresa deveria estar apto a responder quais dados eu tenho de fulano onde esses dados estão localizados e assim se fulano que será exercer seu direito de solicitar informações ou acessar os seus dados a empresa pode atender essa demanda com facilidade além
disso a resposta ao questionário pode ser atribuída a alguém com conhecimento ou consistência inadequados um gestor por exemplo pode não ser o profissional que entendem detalhes a operação nesse caso o ideal é que gestor preenchi o questionário junto com aqueles que possam lhe ajudar a transmitir com precisão o caminho dos dados dentro da sua área empresas que precisam executar essa etapa mais rápido podem não ser capazes de usar o questionário seguido por entrevistas em vez de isso pode ser necessário para o lado diretamente para as reuniões presenciais isso pode levar mais tempo de pessoal e
exigir um nível mais alto de gerenciamento dentro da organização mas é provavelmente a melhor maneira de obter e úteis sobre o tratamento dos dados da maneira mais rápida precisa e eficiente possível considerando o menor tempo à medida que o processo de inventário mapeamento é produzido também surge a necessidade de avaliar a base legal adequada para determinado tratamento de dados não existe uma obrigação específica de incluir a base legal no inventário mas as melhores práticas indicam que atribuir a base legal no estágio de inventário agiliza conformidade com as principais obrigações da lei no próximo vídeo eu
vou abordar o desafio de definir a base legal e as consequências práticas em cada situação os vídeos dessa série top 10 desafios da adequação serão disponibilizadas todas as terças e quintas no canal para quem prefere assistir pelo youtube aproveita para se inscrever e ativar as notificações serão disponibilizados também pelo igtv no meu instagram denise tavares ponto adv e fiquem à vontade para mandar dúvidas críticas ou sugestões e até breve e [Música]
