Inicialmente, um esclarecimento é necessário: ser consultor de LGPD é diferente de participar de um projeto de LGPD, que é diferente de ser DPO (data protection officer) e/ou prestar serviços de DPO (o atualmente famoso DPO as a service). Quem atua com LGPD, na prática, precisa compreender essas diferenças, se quiser oferecer um bom trabalho.
De forma objetiva, ser consultor demanda conhecer a lei e responder questionamentos referentes à proteção de dados pessoais, dando subsídios e pareceres, por exemplo. Quando se atua em um projeto de adequação, a participação é global, pois o profissional atua em mapeamentos de dados pessoais, tem contato direto com fluxos e processos internos, elabora documentos de implementação e atua com demandas de boas práticas. A atuação como DPO requer conhecimento da LGPD, conhecimento de segurança da informação, contato com titulares de dados pessoais e com Autoridade Nacional de Proteção de Dados (ANPD), além de grande conhecimento em situações (e soluções!) práticas, bem como a gestão de tudo o que envolve privacidade e proteção de dados pessoais dentro da organização.
Dito isso, o intuito é discorrer sobre a importância do mapeamento de dados pessoais (data mapping) que, apesar de algumas vezes ser colocado em segundo plano, quando comparado com outros trabalhos, é o coração do projeto. E por que o coração? Por definição, o coração tem como função primordial garantir que o sangue seja enviado para todas as partes do nosso corpo, ou seja, é o que nos mantém vivos. Aqui, o paralelo cai como uma luva: sem um mapeamento correto, a tendência é que o projeto esteja fadado ao insucesso, não sobrevivendo à mais simples auditoria, por insuficiência da profundidade do entendimento sobre o cotidiano do tratamento dos dados pessoais e deixando a organização à mercê de problemas de privacidade e proteção de dados pessoais, por consequência.
Aqui, usar o vocábulo coração pode parecer exagerado, no entanto, pare e pense: se o mapeamento for feito incorretamente, apresentando lacunas, consequentemente, a implementação também será incorreta. Se a implementação de fluxos, processos, medidas e controles for incorreta, logo, a empresa não estará adequada e, consequentemente, ficará exposta à possíveis sanções administrativas e judiciais.
Na realização de um mapeamento manual ou via sistema, de forma muito resumida, são verificados: dados pessoais tratados, fluxos, análise de processos, volumetria, transferências para terceiros, transferências internacionais, ciclo de vida dos dados, tipos de medidas de segurança existentes nos fluxos e processos, dentre outros. Compreenda que, se você esquece de mapear determinado dado ou indica uma base legal que não condiz com o tratamento que a empresa realiza, essa organização terá resultados inadequados e possíveis prejuízos financeiros.
Ao mapear, algumas questões são de suma importância: Como estruturar documentos, sem saber quais dados efetivamente são tratados? Como criar políticas e procedimentos, sem conhecer formas e períodos de armazenamento? Sem saber quais tipos de transferências são realizadas? Como é feita a governança dos dados? Como sugerir medidas de adequação sem conhecer os fluxos e os processos que envolvem os dados pessoais?
Fazer a gestão de data mapping é algo trabalhoso, que demanda paciência, minúcia e foco, além de um bom conhecimento de medidas de segurança. E, digo isso, por experiência prática diária. Entender a importância de cada dado pessoal dentro de fluxos e processos e entender sobre governança de dados coopera para que o mapeamento seja completo e adequado.
Claro que, quanto mais se mapeia, mais se aprende, porém, a responsabilidade é grande e toda atenção é necessária. Da mesma forma que não se resolve tudo somente com certificados, também não se resolve com práticas viciadas. Há a necessidade de um equilíbrio entre estudos, conhecimentos e práticas, que viabilizem a realização correta e completa do data mapping, entregando aos clientes projetos reais e finalizados de adequação à LGPD.
Mariana Sbaite Gonçalves é advogada, sócia do escritório Lee, Brock, Camargo Advogados (LBCA) e especialista em LGPD.
