A partir da implantação da Lei Geral de Proteção de Dados (LGPD) no Brasil, o HCFMB apresenta a nova fase do quadro LGPDicas, com a participação do Encarregado de Dados – DPO no âmbito do HCFMB e Diretor da Gerência de Tecnologia da Informação (CIMED), Marcelo Roberto Martins.
Recentemente, iniciamos os treinamentos com Departamentos e Unidades Externas do HCFMB para a utilização da ferramenta DPOnet e para a prática de mapeamento de atividades que lidam com dados pessoais. As oficinas estão sendo bem participativas e temos observado um melhor entendimento sobre o que é necessário para nos adequarmos à LGPD.
Atualmente, estamos trabalhando na estratégia pós-oficina, que consiste no acompanhamento do mapeamento de todas as atividades enviadas pelas áreas ao Encarregado de Dados e, em breve, pretendemos divulgar como isso será realizado.
Aproveito para esclarecer uma dúvida que surgiu quando uma atividade mapeada é aprovada na plataforma DPOnet e classificada com risco alto ou severo. Neste ponto, a atividade será acompanhada pela instrução: “Aguardando inativação do processo devido ao risco calculado ou vinculação de medidas de segurança administrativas e técnicas aplicadas para abordar o risco calculado. Clique aqui para visualizar o Registro de Melhora Contínua (RMC) de risco”. De forma resumida, um RMC descreve quais ações deverão ser tomadas ou adotadas para que a atividade mapeada seja realizada com mais segurança.
Assim sendo, temos dois caminhos: o primeiro é questionar a continuidade da atividade. Se a resposta é “Não”, na prática, deixamos de realizar essa atividade, não vamos mais continuar tratando dados pessoais e, portanto, não há necessidade do mapeamento. Já o segundo caminho é adotar medidas de segurança, tanto administrativas quanto técnicas, para minimizar os riscos de incidentes com os dados pessoais.
Para ilustrar, vamos usar o exemplo da folha de ponto. Imaginemos que essa atividade seja classificada como risco alto. É impossível inativar essa atividade, pois temos obrigações legais referentes ao controle de folha de frequência. Portanto, precisamos adotar medidas que possam eliminar ou mitigar os riscos de incidentes.
Administrativamente, podemos definir um protocolo de como a informação deve ser tramitada dentro das áreas (bem como entre diferentes setores), compondo, assim, uma política maior que podemos denominá-la de política de governança de segurança de dados e informações.
Além disso, podemos adotar medidas técnicas, como a utilização de envelopes para tramitar a folha e a inclusão do nome do gestor do departamento já impresso na folha de freqüência, a fim de evitar a necessidade de um carimbo que, muitas vezes, traz dados adicionais e que, para essa atividade, não são necessários. É importante lembrar que um dos princípios da LGPD é o da necessidade, ou seja, devemos utilizar apenas os dados necessários para cumprimento da atividade mapeada.
Por fim, como diz o ditado: “se tem um limão, faça uma limonada”. Não estamos falando apenas de um exercício obrigatório de mapeamento das atividades que tratam dados pessoais, mas sim de poder discutir essas atividades em uma perspectiva de eficiência e segurança, envolvendo os atores em discussões voltadas para melhorias e mudanças que tragam avanços e eficácia a nossos processos e atividades. Ou seja, é tempo de pensar e realizar.
Fique atento!
Toda vez que for cadastrado um processo no DPOnet, é necessário, ao final, enviá-lo para revisão. Caso contrário, ficará constando como pendente.
Marcelo Roberto Martins – Encarregado de Dados (DPO) do HCFMB