A elaboração e a manutenção do Inventário de Dados Pessoais, tecnicamente conhecido como ROPA (Registro de Operações de Tratamento de Dados Pessoais), é uma obrigação legal imposta aos controladores e operadores pelo art. 37 da LGPD. Como as empresas são dinâmicas e novos processos surgem constantemente, esse inventário não pode ser estático; ele exige revisões periódicas.
Abaixo, apresento um Plano Estruturado de Revisão e Atualização do Inventário de Dados Pessoais, dividido por etapas práticas, para engajar as diversas áreas da organização:
FASE 1: Planejamento e Mobilização
Antes de iniciar a revisão dos dados, é preciso preparar o terreno e engajar as equipes responsáveis.
-
Liderança e Comitê: A coordenação do projeto deve ser liderada pelo Encarregado de Dados (DPO), com o apoio do Comitê de Privacidade e dos gestores de cada setor da empresa (RH, Marketing, TI, Financeiro, etc.).
-
Definição da Ferramenta: Defina se a atualização será feita por meio de planilhas eletrônicas (para menor volume de dados) ou através de softwares e plataformas especializadas em automação de data mapping, avaliando o custo e a complexidade das operações.
-
Treinamento Prévio (Aculturamento): Realize workshops ou treinamentos rápidos com os colaboradores que preencherão o inventário para garantir transparência e alinhamento sobre como as informações devem ser atualizadas.
FASE 2: Execução da Revisão (Mapeamento por Processo e Área)
Esta é a fase de coleta de dados. O DPO ou a equipe de privacidade deve realizar entrevistas com cada setor ou solicitar o preenchimento da ferramenta de mapeamento para cada atividade desempenhada.
Para cada processo de negócio, a equipe deve atualizar ou responder às seguintes questões essenciais:
-
1. Identificação: Qual é o setor responsável e qual é o processo (ex: folha de pagamento, prospecção de clientes)?.
-
2. Titulares e Dados: Quem são os titulares dos dados? Quais dados pessoais exatos são coletados?.
-
3. Dados Sensíveis e Menores: Há coleta de dados sensíveis (saúde, biometria, etc.) ou dados de crianças e adolescentes?.
-
4. Finalidade e Base Legal: Qual o motivo/finalidade do tratamento e qual é a base legal (ex: consentimento, obrigação legal, legítimo interesse) que o justifica?.
-
5. Armazenamento e Formato: Qual é o formato dos dados (físico ou eletrônico)? Onde estão localizados (servidores locais, nuvem, gavetas, HD externo)?.
-
6. Acesso e Compartilhamento: Quais departamentos internos têm acesso? Há transferência externa (compartilhamento com terceiros/operadores)? Há transferência internacional de dados?.
-
7. Retenção e Descarte: Por quanto tempo os dados ficam retidos na companhia e quando/como é feito o descarte?.
-
8. Segurança: Quais são as medidas de segurança atuais adotadas para proteger esses dados?.
FASE 3: Análise Crítica (Gap Assessment)
Com as informações atualizadas por cada área, o DPO e o Comitê de Privacidade devem realizar um diagnóstico detalhado (Gap Assessment e Risk Assessment) cruzando o cenário atual com as exigências da LGPD.
-
Avaliação de Lacunas: Foram identificadas falhas no preenchimento? Há algum novo processo que coleta dados de forma excessiva, ferindo o princípio da minimização?.
-
Validação das Bases Legais: As bases legais para os novos processos estão corretas? Se for legítimo interesse, será necessário aplicar o Teste de Balanceamento (LIA)? Se houver alto risco, será necessário elaborar um Relatório de Impacto (RIPD)?.
FASE 4: Plano de Ação e Adoção de Novos Procedimentos
Após a análise, o inventário revisado gerará a necessidade de correções na rota da empresa.
-
Plano de Ação: Crie um cronograma com definição de prazos para mitigar os riscos encontrados nas áreas.
-
Atualização Documental: A revisão do ROPA geralmente exige a atualização de outros documentos, como a Política de Privacidade (para incluir novos compartilhamentos informados pelas áreas), Políticas de Retenção de Dados e revisão de contratos com novos fornecedores (operadores).
-
Ajustes Práticos: Implementação de novas medidas técnicas, como gestão de vulnerabilidades e controle de acesso aos novos processos mapeados.
FASE 5: Governança Contínua (Manutenção)
O mapeamento de dados não é um projeto com fim, mas um ciclo de melhoria contínua (PDCA).
-
Periodicidade: Defina prazos para que essa revisão ocorra novamente (ex: ajustes semestrais ou em periodicidade definida pela organização).
-
Privacy by Design: Estabeleça a regra de que toda vez que um novo processo, produto ou serviço for criado por qualquer área do escritório/empresa, a equipe de privacidade deve ser envolvida desde a concepção para atualizar o inventário imediatamente.
