

02
Gestão da proteção de dados
Após o mapeamento inicial, há a necessidade de adequar os processos, mas como?
Primeiro devemos relacionar os processos com as atividades de tratamento de dados, finalidades e bases legais.
Por exemplo, no campo “Assine nossa newsletter” em um site, o que acontece?
Você realizará as atividades de:
-
Acesso, pois terá acesso ao e-mail do titular;
-
Coleta, pois está coletando esse e-mail;
-
Armazenamento, pois está armazenando esse e-mail em seu site ou em outro lugar;
-
Difusão, pois realizou a inserção desse e-mail em um sistema de automação de e-mails.
A finalidade é o envio de material publicitário por e-mail e a base legal é o consentimento do titular.
Para mapear as finalidades com seus respectivos processos, basta preencher o mapa de dados, conforme imagem abaixo.
O mapa de dados encontra-se disponível no LGPD DOCS.
Após relacionar os processos com as suas finalidades, devemos analisar se há necessidade de realizar o tratamento de todos os dados envolvidos nos processos.
Por exemplo, muitas empresas ainda coletam dados pessoais acerca dos antecedentes criminais ou até mesmo do certificado de dispensa do exército, o que não é uma exigência legal para todas as empresas, essa coleta ainda é feita pois é uma questão cultural mas sem base legal.
Outro exemplo, no eSocial há o campo “raça”, não há uma exigência legal para o preenchimento desse campo, tanto é que, se preenchermos com “não informado”, o envio ocorre normalmente.
É importante ressaltar, o tratamento de dado que não se encaixar em alguma hipótese legal, só poderá ser tratado através do consentimento expresso do titular.
Quando você identificar os processos que se enquadrem apenas na hipótese de consentimento deverá utilizar o termo de consentimento adicional, conforme na imagem abaixo.
O termo de consentimento adicional encontra-se disponível no LGPD DOCS.
Quando vou utilizar esse termo?
Por exemplo, quando você expõe em mural, e-mail(copiando outras pessoas) ou através das redes sociais, a data de aniversário de um colaborador ou cliente, felicitando-o pelo seu dia, para isso você precisará que ele autorize a publicação.
Mesmo que você já possua a data de nascimento do seu colaborador (por causa do eSocial), você a possui para a finalidade de transmitir as obrigações do eSocial, não para felicitá-lo pelo seu dia.
Da mesma forma o seu cliente, se você coletou o dado para outra finalidade, que não para felicitar ele pelo seu dia, você precisará solicitar o consentimento dele para tal.

