MPEs e registro de operações de tratamento
Você sabia que registrar as operações de tratamento de dados é uma obrigação prevista na #LGPD?
Sabia que algumas empresas podem fazer esse registro em modelo simplificado?
A Autoridade Nacional de Proteção de Dados, ao publicar sua Resolução 2 (https://lnkd.in/dHHFuvHc), previu que divulgaria um modelo simples para #pme e #startups cumprirem a obrigação.
O documento foi publicado em 14/06 (https://lnkd.in/d9r_CJew).
Da leitura, notam-se os campos:
a) Informações de contato;
b) Categoria dos titulares;
c) Dados pessoais;
d) Processo, finalidade e hipótese legal;
e) Compartilhamento;
f) Período de armazenamento;
g) Medidas de segurança;
h) Observações.
A ideia de registro de operações é geralmente vinculada ao ciclo de vida de dados: a) coleta; b) uso; c) compartilhamento; d) arquivamento; e) descarte.
O modelo apresentado pela #ANPD, talvez propositalmente, pouco ou nada diz sobre a coleta (como ela se dá ou de onde vem o dado) e sobre o arquivamento (onde estão os dados, físicos ou digitais).
É importante entender que o registo de operações serve ao atendimento dos direitos dos titulares de dados, como a “forma e duração do tratamento” (art. 9º, II), “acesso aos dados” (art. 18, II), “portabilidade” (art. 18, V). Em complemento, o “acesso aos dados” indicará a “origem dos dados” e os “critérios utilizados” (art. 19, II).
Nestes termos, o modelo apresentado carece de mecanismos para completude do registro de operações, eis que para analisar os dados é necessário saber “onde eles estão” e para atender a declaração do art. 19, II, é necessária a origem dos dados.
Isso quer dizer que o modelo é imprestável? De forma alguma. O modelo é útil e supre a lacuna trazida com a Resolução 2.
Entretanto, fica o alerta de complemento do modelo com outras informações, pois eventual falha no cumprimento de direitos dos titulares não será mitigada com a alegação “usei o modelo da ANPD”.
Também seria possível uma relação entre o modelo de registo de operações e o Relatório de Impacto à Proteção de Dados, derivado de uma prévia análise de riscos associados ao tratamento de dados e o registro seria (poderia ser) o primeiro passo para essa avaliação.
Você e sua organização já revisaram os seus relatórios de registro de operações?
#mpe #legal #digital #riscos #risks #tecnologia #technology #inovacao #gdpr #proteçãodedados #dataprotection #privacidade #privacy #dadopessoal #personaldata #cybersegurança #cybersecurity #direito #entretenimento #inpi #marca #propriedadeintelectual #propriedadeindustrial #governanca #compliance #trabalhista #direitodotrabalho #planejamento #compliancetrabalhista #empregador #empregados #advocacia #emprego #empresas
Texto escrito por Guilherme Gonçalves Pereira, originalmente publicado no LinkedIn.
