A LGPD nos sinaliza a necessidade do registro das operações de tratamento de dados pessoais para controladores e operadores, daqui por diante denominadas “atividades de tratamento”, também conhecidas pela sigla ROPA. Pode-se afirmar, com tranquilidade, que a gênese da gestão de proteção de dados está nos registros de tais atividades. São os registros que contêm os elementos essenciais que possibilitam adequar uma organização, um processo ou uma atividade à LGPD.
De fato, não há como adequar-se ou manter-se adequado distante das atividades-meio e atividades-fim. Os processos de negócios e os processos corporativos contém as atividades de tratamento de dados pessoais. E seguindo esse racional, considerar o início por meio da análise da cadeia de valor é mirar na assertividade.
Entretanto, cada contexto é único. E nem sempre há maturidade para uma cadeia de valor, um descritivo de processos estruturados ou, quiçá, um organograma definido. E ainda sim, sob a perspectiva da LGPD, há beleza no caos. Um bom projeto de adequação à LGPD nos permite abrir as portas para identificar, analisar, questionar, revisar e reestruturar. Um projeto de adequação deve culminar em um bom programa. E um bom programa, bem gerido, está sempre focado nas atividades de tratamento de dados pessoais.
Uma organização é viva, passa por mudanças, incorpora novos processos, muda os existentes e deixa de realizar outros. E embora existam frameworks e metodologias, não cabem modelos engessados, complexos ou burocráticos que inviabilizam um não especialista de enxergar o valor que contém cada um dos passos no registro das atividades de tratamento. Em uma primeira onda da jornada à adequação, o básico bem-feito funciona e resulta.
Não sou a favor das receitas prontas e pacotes definidos em se tratando de LGPD, mas sou extremamente favorável à visão estratégica baseada no conhecimento – tácito ou explícito. Pinçar as atividades de tratamento de dados pessoais nos processos de negócios ou nos processos corporativos para proceder aos registros, embora seja um ato simples, exige escuta, curiosidade, interesse e estabelecimento de relação de confiança entre as partes. Mapear “o que é > qual finalidade > quem faz > como faz > quais elementos de dados tratados > quais sistemas e/ou suportes > como guarda/envia/compartilha > pra quem envia ou compartilha” aponta para desdobramentos que permitem conciliar minimização, análise de risco, atribuição de base legal, inventário e a segurança da informação. A maturidade e os próximos passos são consequências naturais de um programa seguro.
Tratar a adequação como um projeto por si só, é um erro. Não desenvolver um programa que transita em todas as áreas funcionais, é um erro. Não revisitar os registros, é um erro. Não se atentar para movimentos internos da organização, é um erro. Mas errando também se aprende e, como bons alunos, estejamos sempre atentos.
