Pelos termos do art. 37 da Lei Geral de Proteção de Dados/LGPD (Lei nº 13.709/2018) os agentes de tratamento de dados devem manter o registro das operações de tratamento de dados pessoais que realizarem, especialmente quando baseado no legítimo interesse.
Em breves linhas, o registro de operações de tratamento de dados pessoais pode ser definido como a compilação estruturada dos tratamentos de dados pessoais realizados dentro da organização. Ou seja, é o documento que organiza tais informações.
A partir da vigência da LGPD as organizações, privadas ou públicas, devem manter o registo de tratamento de dados pessoais, sob pena de serem penalizadas.
O registro de operações de tratamento de dados pessoais também viabiliza a proteção dos dados pessoais pela organização. Isso porque, para bem atender as exigências da LGPD é necessário que a empresa tenha pleno conhecimento dos tratamentos de dados que realiza. O registro de operações é um importante instrumento para tanto.
Portanto, muito mais do que o cumprimento de uma obrigação legal, o registro de operações irá ajudar na implementação dos controles necessários para atender aos princípios e demais obrigações impostas pela LGPD por proporcionar os seguintes benefícios:
1- Identificação dos tipos de dados tratados pela organização;
2- Conhecimento das bases legais que legitimam o tratamento dos dados pessoais;
3- Facilita o atendimento das solicitações dos titulares, como a confirmação da existência do tratamento e o acesso aos dados;
4- Saber onde os dados pessoais estão armazenados;
5- Transparência sobre as medidas técnicas e administrativas adotadas para garantir a segurança e proteção dos dados pessoais.
O registro de operações de tratamento de dados pessoais pode ser realizado através do mapeamento dos dados pessoais a partir de entrevistas com os colaboradores da organização ou através da descoberta de dados pessoais apelo uso de soluções tecnológicas.
Durante o mapeamento é muito importante que a empresa consiga responder as seguintes perguntas para que o registro tenha as informações mínimas necessárias: (i) como os dados pessoais são coletados, (ii) quem tem acesso aos dados pessoais, (iii) quais tipos de dados pessoais são coletados, (iv) por que os dados pessoais são tratados e (v) quais mecanismos de proteção já estão sendo aplicados.
A LGPD não determina de forma clara qual o conteúdo mínimo desse registro, mas através da sua interpretação é possível chegar a tal conclusão. Enquanto a nossa Autoridade Nacional de Proteção de dados não regulamenta esta questão, o art. 30 da GDPR pode servir como importante diretriz.
Assim, algumas das informações mínimas necessárias que devem estar nesses registros são as seguintes:
1- Nome e contato do controlador e do encarregado;
2- A finalidade do tratamento de dados pessoais;
3- A descrição da categoria dos dados pessoais tratados e dos titulares de dados;
4- O compartilhamento dos dados pessoais;
5- Se existe a transferência internacional dos dados;
6- O prazo para eliminação dos dados pessoais;
7- A descrição geral das medidas de segurança da informação adotadas pela organização;
8- Indicação da base legal que legitima o tratamento;
9- Descrição da atividade de tratamento
Este documento deve ser constantemente atualizado para que traduza efetivamente todos os tratamentos realizados pela organização, incluindo os novos tratamentos e excluindo aqueles que não são mais utilizados. Para isso é necessário atribuir responsabilidades aos colaboradores e capacitá-los para que entendam preceitos básicos da LGPD.
A elaboração do registro de operações depende do engajamento dos membros da organização. Todas as áreas da empresa que realizam tratamento de dados pessoais precisam ser envolvidas. Levantar todas as informações necessárias não é uma tarefa simples, pois, na maioria das vezes, tais informações não estão centralizadas e os dados podem estar tanto em banco de dados estruturados como em bancos não estruturados.
Portanto, é muito importante que as organizações não negligenciam o registro de operações de tratamento de dados, seja para evitar penalidades pelo descumprimento da lei (art. 37) seja para tutelar a privacidade e a proteção de dados, valores fundamentai na era da economia digital.
*Juliana Callado Gonçales é sócia do Silveira Advogados e especialista em Direito Tributário e em Proteção de Dados (www.silveiralaw.com.br)