JULIANA CALLADO GONÇALES
Sócia do Silveira Advogados e especialista em Direito Tributário e em Proteção de Dados
Pelos termos do art. 37 da Lei Geral de Proteção de Dados/LGPD (Lei nº 13.709/2018) os agentes de tratamento de dados devem manter o registro das operações de tratamento de dados pessoais que realizarem, especialmente quando baseado no legítimo interesse.
Em breves linhas, o registro de operações de tratamento de dados pessoais pode ser definido como a compilação estruturada dos tratamentos de dados pessoais realizados dentro da organização. Ou seja, é o documento que organiza tais informações.
A partir da vigência da LGPD as organizações, privadas ou públicas, devem manter o registo de tratamento de dados pessoais, sob pena de serem penalizadas.
O registro de operações de tratamento de dados pessoais também viabiliza a proteção dos dados pessoais pela organização. Isso porque, para bem atender as exigências da LGPD é necessário que a empresa tenha pleno conhecimento dos tratamentos de dados que realiza. O registro de operações é um importante instrumento para tanto.
Portanto, muito mais do que o cumprimento de uma obrigação legal, o registro de operações irá ajudar na implementação dos controles necessários para atender aos princípios e demais obrigações impostas pela LGPD por proporcionar os seguintes benefícios:
1- Identificação dos tipos de dados tratados pela organização;
2- Conhecimento das bases legais que legitimam o tratamento dos dados pessoais;
3- Facilita o atendimento das solicitações dos titulares, como a confirmação da existência do tratamento e o acesso aos dados;
4- Saber onde os dados pessoais estão armazenados;
5- Transparência sobre as medidas técnicas e administrativas adotadas para garantir a segurança e proteção dos dados pessoais.
O registro de operações de tratamento de dados pessoais pode ser realizado através do mapeamento dos dados pessoais a partir de entrevistas com os colaboradores da organização ou através da descoberta de dados pessoais apelo uso de soluções tecnológicas.
Durante o mapeamento é muito importante que a empresa consiga responder as seguintes perguntas para que o registro tenha as informações mínimas necessárias: (i) como os dados pessoais são coletados, (ii) quem tem acesso aos dados pessoais, (iii) quais tipos de dados pessoais são coletados, (iv) por que os dados pessoais são tratados e (v) quais mecanismos de proteção já estão sendo aplicados.
A LGPD não determina de forma clara qual o conteúdo mínimo desse registro, mas através da sua interpretação é possível chegar a tal conclusão. Enquanto a nossa Autoridade Nacional de Proteção de dados não regulamenta esta questão, o art. 30 da GDPR pode servir como importante diretriz.
