A LGPD exige a elaboração e manutenção de um registro das operações de tratamento de dados pessoais. Saiba o que é preciso incluir nesse processo de registro.

• Os nomes e os contatos do controlador/operador e, quando aplicável, de qualquer responsável pelo tratamento em conjunto, dos representantes das entidades e do DPO (Data Protection Officer);
• A finalidade do processamento dos dados;
• A descrição das categorias dos titulares de dados e das categorias dos dados pessoais;
• As categorias de destinatários a quem os dados pessoais foram ou serão divulgados, incluindo os destinatários estabelecidos em países terceiros ou organizações internacionais;
• Os prazos previstos para a exclusão das diferentes categorias de dados;
• As bases legais estipuladas para tratamento de dados.

Crie um processo para Análise de Impacto à Proteção de Dados (DPIA). Implemente ou adquira uma solução para realização da DPIA de forma sistêmica e centralizada. Nessa solução, é importante ter as seguintes funcionalidades:

• Projetos de privacidade da empresa consolidados em um relatório de fácil visualização;
• Classificação dos projetos quanto ao envolvimento de dados pessoais e critérios de risco;
• Gerenciamento do workflow da DPIA, desde a seleção do fluxo de dados utilizando os critérios estabelecidos até a aprovação final pelo DPO;
• Orientação e template para preenchimento da DPIA disponibilizado de forma centralizada para todos na empresa – todos devem ter acesso;
• Análise de riscos e GAPs dos fluxos de dados pessoais;
• Registro das atividades de proteção de dados realizadas ao longo do projeto para fins de conformidade.

Edna Menezes é instrutora do curso Certificação em Proteção de Dados da Assespro-MG, diretora executiva da RPP Tecnologia e sócia-diretora da empresa Tributarie Eficiência.