Search



Posted On 8 de dezembro de 2020 Patricia Barboni 0

Construindo processos para suporte do ciclo de vida do tratamento de dados pessoais

Marcelo Silva, Co-CEO da W2CONN

O “ciclo de vida do tratamento” de dados compreende as atividades do “ciclo de vida do dado”. Adicionadas as rotinas de gestão do negócio, tratam de questões estratégicas, financeiras, de conformidade, qualidade e melhoria contínua. A ITIL, um modelo de boas práticas de serviço, é uma das melhores referências para a construção da estrutura do ciclo de vida do tratamento dos dados dentro de uma empresa.

É comum ouvirmos nomes como gestão de consentimento, anonimização, gestão do acesso e eliminação dos dados. A forma como esses processos serão batizados ou automatizados pode variar de empresa para empresa. Os processos para o tratamento de dados pessoais estão fortemente relacionados a disciplinas de gestão bem conhecidas pelas áreas de TI como gestão de: incidentes, requisições, mudanças, problemas, habilitação para o uso, nível de serviço, liberação, identidade e acesso e armazenamento. Esses processos são a base de orientação para profissionais de TI desde os anos 80. A ITIL, por exemplo, orienta os trabalhos de TI desde 90. Além dela, temos também o COBIT, ISO9.000, ISO20.000 e  ISO27.000 etc.

O livro ITIL Service Strategy (ISBN 9780113310456), na página 26, fala sobre processos e apresenta um conjunto de características:

  • mensurável;
  • resultados específicos;
  • orientado ao cliente; e
  • responder a eventos específicos.

Partindo dessa ideia e do texto da lei, podemos criar uma estrutura inicial com os seguintes processos:

  1. REQUISIÇÃO: forma simples de acolher as requisições dos titulares. Precisa ser rastreável e confiável.
  2. ESCALAÇÃO de grupos resolvedores: definir quem na empresa deverá prover resposta às requisições.
  3. ACESSO à informação: garantir que os resolvedores poderão acessar os dados antigos e atuais.
  4. Correção de REGISTROS: garantir que os dados possam ser corrigidos ou apagados.
  5. Correção de PROCESSOS: garantir que a empresa tenha instruções de trabalho para o tratamento de dados pessoais documentadas e amplamente conhecidas.
  6. Padrão de RESPOSTA: é importante evitar a improvisação do nosso “jeitinho”.
  7. Controle do NÍVEL DE SERVIÇO: cada etapa do serviço de tratamento de dados tem um conjunto próprio de desafios, recursos e tempo de resposta.

Esses processos refletem aspectos básicos e de alto nível de descrição. Embutidos nesse conjunto, estão segurança da informação, suporte jurídico, engajamento interno e comunicação externa. Do ponto de vista estratégico, esse conjunto ainda deve considerar a forma como o serviço de tratamento pode alavancar negócios, o orçamento para o custeio da operação,  controle de demandas relacionado aos riscos, gestão de problemas etc.

É importante lembrar que o Brasil ainda tem uma jornada considerável até ter sua regulamentação definida e libertada do estereótipo europeu. O livro Guia para o programa de conformidade LGPD, publicado pela W2CONN, traz mais detalhes sobre a implementação da conformidade com a LGPD.

Considerando isso, vale extrapolar um pouco o declarado no Inciso III do artigo 6 da Lei nº 13.709 de 14 de agosto de 2018 (a nossa LGPD). Abordando  os princípios e boa fé, o inciso fala sobre se limitar a necessidade, e é isso, ao se definir a estrutura e ferramentas dos processos de tratamento de dados, comece pelo mínimo necessário e depois melhore. Afinal, não é assim que fazemos no mundo real?

 

Artigo escrito por Marcelo Silva, que é Co-CEO da W2CONN







Share

Share stories you like to your friends