Uma das atividades mais importantes é o mapeamento na LGPD.
Primeiramente, porque é imprescindível entender de onde vem, quem fornece, o que coletamos, o que fornecem e, é nesse momento que temos a liberdade de escolha, pois aqui é a fronteira entre deixar entrar ou não o “dado” dentro da organização.
Portanto, nesse momento devemos criar um processo de auditoria inicial para avaliar e analisar os riscos em permitir ou não a entrada destes dados.
Uma cadeia de suprimentos é formada pelo FORNECEDOR –> INSUMO –> ORGANIZAÇÃO –> PRODUTO/SERVIÇO –> CLIENTE, daí é importante manter um porcesso de auditoria na porta de entrada da organização. E, não devemos esquecer que a LGPD define o tratamento no meio físico e digital.
O controle de acesso físico, como fazíamos antes, continua necessário e também, é preciso controlar o acesso digital, pois o objetivo é prevenir o incidente de segurança com dados pessoais, um vazamento de dados pessoias, uma violação.
Neste caso, conhecer os atores da cadeia de suprimentos é essencial.
Quem são os responsáveis pelas séries de etapas que passam os dados pessoais durante a sua vida (o ciclo de vida do dado pessoal) desde a coleta, retenção, processamento, compartilhamento e eliminação durante as operações, as atividades dentro da organização?
Quem são os parceiros e quais as informações fornecem, recebem, retém, processam, compartilham e eliminam fora da organização?
Quais os ativos que retém essas informações pessoais?
Tudo isso, faz parte do mapeamento, além do custo financeiro. Imagine o tempo gasto nessa atividade. Por isso, ao fazer o mapeamento devemos nos perguntar: estou fazendo o mapeamento para atender qual “framework”? A norma técnica ABNT/ISO 27001 ou a LGPD, GDPR etc.?
Pois a primeira, a norma técnica, nos ensina como obter a segurança dos dados para proteger a Confidencialidade, Integridade e Disponibilidade (CID) dos dados.
As leis de privacidade nos ensina como usar os dados pessoais em nossas operações de negócios para proteger os direitos fundamentais de liberdade, privacidade e o livre desenvolvimento da personalidade e, consequentemente, o direito constitucional de proteção dos dados pessoais das pessoas naturais (pessoas físicas vivas).
Dados são “observações documentadas”, informação é um conjunto de dados que dentro de um contexto faz algum sentido.
Já dados pessoais, são todas as informações relacionadas a uma pessoa natural (pessoa física viva) que possa ser identificada. Portanto, dados pessoais são todos os conjuntos de dados relacionados a uma pessoa natural que possa identificá-la.
Se assim for entendido, o mapeamento para a conformidade com as leis de privacidade devem ser feitos apenas com os dados pessoais e não com todas as categorias de dados, diminuindo bastante as horas dispendidas nesta atividade e com isso, o custo desta operação.
