O RGPD introduz uma série de obrigações complexas para as empresas, que vão desde os direitos dos titulares dos dados até à gestão do consentimento. Uma das obrigações mais trabalhosas é o Artigo 30, que exige que os responsáveis pelo tratamento e os controladores de dados pessoais mantenham registos da sua atividade de tratamento. Normalmente referida como a “obrigação de manutenção de registos do Artigo 30”, esta obrigação impõe às empresas a responsabilidade de contabilizar com precisão as suas atividades de tratamento. dados de identidade eles processam. Embora um dos objetivos da exigência de manutenção de registros seja fornecer aos órgãos reguladores de proteção de dados a comprovação necessária de conformidade, o objetivo mais amplo é ajudar as empresas a se tornarem melhores administradoras dos dados de clientes e funcionários.
Como requisito de registro do processamento de dados, o Artigo 30 é frequentemente associado a "mapas de fluxo de dados", que documentam e diagramam o processamento de dados pessoais desde a coleta até o descarte. Quando feitos corretamente, eles fornecem aos reguladores e às empresas sujeitas ao GDPR uma maneira de codificar as atividades de processamento e garantir que os artefatos necessários, como a finalidade de uso e a categoria dos dados, sejam devidamente registrados. Além disso, o regulamento incentiva as organizações a utilizarem o registro de dados para capturar informações adicionais necessárias para proteger os residentes e cidadãos da UE. O objetivo do Artigo 30 é criar um registro inequívoco de como os dados pessoais são processados por uma organização. No entanto, permanece uma ambiguidade significativa em sua essência: de onde realmente se origina o conhecimento sobre os dados que estão sendo processados?
Sonhos digitais e compromissos analógicos
A maneira mais simples pela qual uma organização pode obter detalhes sobre suas atividades de processamento de dados é perguntar às partes interessadas responsáveis por esse processamento. Afinal, elas deveriam ser capazes de atestar quais dados coletam, a finalidade da coleta e do uso, a retenção, etc. E se os humanos tivessem memória infalível e conhecimento perfeito, esse método de coleta de informações e registro representaria um relato preciso do processamento de dados real. Infelizmente, as pessoas não são perfeitas em sua memória para lembrar onde guardaram as chaves do carro, muito menos onde guardam seus dados.
As pessoas esquecem. As pessoas mudam de emprego. As pessoas interpretam mal. As pessoas que criam aplicativos que processam dados dependem de outras pessoas para desenvolver esses aplicativos. “Pessoas são pessoas”, como bem observou o Depeche Mode. Elas não são computadores.
Recorrer a entrevistas e questionários para descobrir quais dados pessoais uma organização coleta e processa pode ser melhor do que nada, mas esse não é o objetivo do Artigo 30 do GDPR. Na Era da Informação, um método preciso para determinar onde as informações digitais são efetivamente coletadas e processadas é imprescindível. Descobrir quais dados são armazenados e processados em um computador deveria ser feito por um computador de verdade. E, como diria o Depeche Mode: “Pessoas não são computadores”.
Não confie cegamente, verifique.
Em certa medida, o RGPD é análogo às regulamentações financeiras. No entanto, em vez de se concentrar na integridade das transações financeiras e das instituições afetadas, o foco recai na integridade do processamento de dados e dos titulares dos dados afetados (as pessoas). Os dados são para o RGPD o que as transações financeiras são para Basileia III. Isto só pode ser considerado adequado na Era da Informação, em que os dados são a moeda do comércio e da comunicação. E, tal como qualquer regulamentação financeira cuja avaliação da conformidade depende da contabilização precisa da substância que a sustenta, o RGPD exige uma contabilização precisa dos dados para ser eficaz e mensurável.
Recordações não são registros. Sem um controle preciso dos dados, não há transparência, e sem transparência, como verificar a conformidade? Para que uma regulamentação de proteção de dados como o GDPR seja útil, a verificação precisa ser baseada em dados. Afinal, não se pode proteger o que não se encontra. O BigID é o primeiro produto no mercado a oferecer às organizações a capacidade não apenas de encontrar todos os dados pessoais de um indivíduo, mas também de usar esse mapeamento de dados para registrar fluxos de dados com base no processamento real dos dados. Com o BigID, as organizações podem criar e manter registros de processamento de dados que refletem registros de dados reais, utilizando o que há de mais moderno em aprendizado de máquina, e não apenas questionários em papel.
O RGPD exige que as empresas protejam as informações dos seus titulares de dados. O Artigo 30 exige que as organizações forneçam provas concretas de que todos os processos digitais que requerem a recolha e o tratamento de dados pessoais são devidamente contabilizados. Mas, para que haja verdadeira responsabilização perante os indivíduos, ou seja, os titulares dos dados, o registo do tratamento de dados deve basear-se em dados reais. A BigID, pela primeira vez, oferece às empresas uma forma de cumprir esta obrigação com base em registos de dados reais, e não apenas em dados retrospetivos.
Autor
