Na busca por conformidade com a LGPD, TCE-RO promove mapeamento de dados pessoais (data mapping) em suas unidades internas

O trabalho, que abrangerá todas as unidades do Tribunal, já foi concluído nos Gabinetes de Conselheiros-Substitutos e iniciada nos Gabinetes de Conselheiros e na Controladoria Interna

Dando continuidade às ações constantes do Programa Corporativo de Gestão da Segurança da Informação e Privacidade de Dados (PCGSIPD) do Tribunal de Contas (TCE-RO), iniciou-se a fase de mapeamento de dados pessoais (data mapping) no âmbito da Instituição.

Coordenada pelo Encarregado de Proteção de Dados (DPO), Charles Rogério Vasconcelos, com apoio dos Gestores de Segurança da Informação e Privacidade do Tribunal, a fase de data mapping já foi concluída nos Gabinetes de Conselheiros-Substitutos e iniciada nos Gabinetes de Conselheiros e na Controladoria de Análise e Acompanhamento da Despesa dos Controles Internos (CAAD).

O mapeamento de dados pessoais será realizado em todas as unidades do TCE-RO sob supervisão do Comitê de Segurança da Informação e Comunicação (COSIC). As próximas áreas a serem mapeadas são a Ouvidoria, a Corregedoria-Geral e a Secretaria de Processamento e Julgamento (SPJ).

O QUE É

O data mapping se refere ao processo de rastreamento e catalogação dos tipos de dados pessoais coletados e processados pela Corte, identificando como estes são usados, onde e como são armazenados e como se propagam. Basicamente, consiste em um processo de realização de um inventário de todos os dados pessoais coletados e processados para mapear o ciclo de vida da informação.

Trata-se de uma exigência da Lei 13.709/2018 (Lei Geral de Proteção de Dados Pessoais – LGPD), a fim de que as organizações passem a adotar procedimentos claros e medidas técnicas adequadas para proteção de dados pessoais objetivando reduzir riscos de violação.

A LGPD assegura a transparência no tratamento dos dados pessoais, prevendo uma série de direitos ao titular, como a confirmação acerca da existência do tratamento, acesso aos dados, correção de dados incompletos, inexatos ou desatualizados, anonimização, bloqueio ou eliminação de dados desnecessários.

COMO FUNCIONA

Com o mapeamento é possível identificar como determinado dado pessoal foi coletado, mapear usos não esperados, identificar transferências de dados desnecessárias, evitar vazamento de informações e assegurar que os titulares dos dados tenham ciência de como estes estão sendo usados.

Para o mapeamento efetivo, é necessário entender o fluxo de dados pessoais, descrevê-lo e identificar os seus elementos-chave, que devem incluir, no mínimo, os seguintes pontos:

– Identificação de quais dados pessoais são processados;
– Especificação dos dados pessoais sensíveis;
– Indicação da base jurídica para o tratamento de dados pessoais;
– Determinação da finalidade pela qual os dados estão sendo coletados;
– Especificação das pessoas que têm dados coletados e quem possui acesso a estes;
– Identificação do formato de armazenamento dos dados (exemplo: banco de dados, cópia impressa ou digital);
– Delimitação temporal do armazenamento dos dados;
– Identificação das condições sob as quais os dados são armazenados; e
– Especificação de como os dados são coletados e compartilhados.

Ter um mapeamento sólido reduz os riscos de violações à privacidade e assegura a governança (entrada e saída) dos dados sem que seja contabilizado.

O data mapping permite a comprovação da adoção de uma cultura de privacidade na organização e auxilia na elaboração do Relatórios de Impacto à Proteção de Dados Pessoais (RIPD/DPIA), que objetiva assegurar que o tratamento de dados pessoais não cause danos aos direitos do titular de dados.