Metodologia e ferramenta para gestão da privacidade e proteção de dados pessoais
RESUMO
Com o advento da Lei Geral de Proteção de Dados Pessoais (Lei 13.709/2018) as organizações públicas e privadas tiveram que se adequar e implementar programa de gestão da privacidade e proteção de dados.
Entre os diversos requisitos a serem atendidos, o mapeamento dos dados pessoais e o registro das respectivas operações de tratamento se mostram muito desafiadores. As atividades diárias desenvolvidas, abrangendo tanto o público interno (magistrados, servidores, estagiários, prestadores de serviço etc) quanto o externo (jurisdicionados, advogados, membros do Ministério Público, visitantes, dentre outros) envolvem grande variedade e considerável volume de dados pessoais. Nesse sentido, é imprescindível definir metodologia e ferramentas associadas que tornem possível, de forma estruturada e sistemática, o levantamento e o registro formal dos dados pessoais e das respectivas operações de tratamento, além das análises de conformidade quanto aos requisitos legais e normativos.
A metodologia desenvolvida pelo TRT da 21ª Região adota como ponto de partida os processos organizacionais (ou processos de trabalho) da instituição e, para cada um, busca relatar o ciclo de vida completo dos dados, incluindo as fases de coleta/recepção, retenção, processamento, compartilhamento e, por fim, eliminação. De forma complementar, foi desenvolvida uma ferramenta (planilha) que permite registrar, de forma estruturada, o inventário de dados pessoais e os detalhes das operações de tratamento, bem como as análises de temporalidade, de segurança da informação e de conformidade legal (ou jurídica).
Como reflexo da aplicação prática da metodologia, o TRT da 21ª Região alcançou, em junho/2024, 90% (noventa por cento) do “Índice de Conformidade com a Privacidade e Proteção de Dados dos Usuários (ICPPDU)”, encontrando-se em estágio “APRIMORADO” no que se refere à maturidade organizacional nessa temática, conforme critérios estabelecidos pelo Conselho Superior da Justiça do Trabalho. A solução também tem sido referência de boa prática entre os Tribunais do Trabalho e até mesmo entre outras instituições públicas.
Tendo em vista que até o momento, ao menos no âmbito da Justiça do Trabalho, não existe uma padronização quanto à metodologia voltada à gestão da privacidade e proteção de dados pessoais, a solução desenvolvida e adotada pelo TRT da 21ª Região pode ser vista como uma iniciativa inovadora, podendo emergir como uma proposta inicial para o desenvolvimento de uma solução nacional.
1- Problema
Atender aos requisitos estabelecidos pela Lei Geral de Proteção de Dados Pessoais (Lei 13.709/2018), em especial no que se refere ao mapeamento dos dados pessoais e registro das respectivas operações de tratamento, no âmbito do TRT da 21ª Região. Além disso, a nova lei concede diversos direitos aos titulares de dados pessoais, como acesso, correção ou exclusão de seus dados pessoais, entre outros. Atender a tais requisições de forma satisfatória e dentro dos prazos legalmente estabelecidos também se mostra um enorme desafio, principalmente se o mapeamento dos dados pessoais dentro da instituição não for realizado adequadamente.
2 - Solução
As atividades diárias desenvolvidas pelo TRT da 21ª Região, abrangendo tanto o público interno (magistrados, servidores, estagiários, prestadores de serviço etc) quanto o externo (jurisdicionados, advogados, membros do Ministério Público, visitantes, dentre outros) envolvem grande variedade e considerável volume de dados pessoais. Deve-se ponderar, ainda, a diversidade de sistemas e aplicações, de meios de armazenamento e de formatos em que esses dados podem se apresentar. Diante desses desafios, tornou-se necessário definir uma metodologia e criar uma ferramenta que possibilitassem, de forma estruturada e sistemática, realizar o levantamento e o registro formal dados pessoais e das respectivas operações de tratamento, além das análises de conformidade quanto aos requisitos da LGPD.
A metodologia desenvolvida adota, como ponto de partida para o mapeamento dos dados pessoais e detalhamento das operações de tratamento, os processos organizacionais (ou processos de trabalho) da instituição. Para cada processo, busca-se relatar o ciclo de vida completo dos dados, incluindo as fases de coleta/recepção, retenção, processamento, compartilhamento e, por fim, eliminação. Já para cada fase, são identificados os agentes internos e externos (executores) e as atividades de tratamento, além dos respectivos artefatos (conjuntos ou coleções) de dados pessoais utilizados e os ativos (tecnológicos ou não) que os suportam. Para melhor entendimento, artefatos podem ser quaisquer documentos (físicos ou eletrônicos), formulários de sistemas/aplicativos, mensagens de correio eletrônico (e-mail) ou de comunicadores instantâneos (chat, whatsapp), vídeos, imagens e outros tipos de mídias que contenham dados pessoais. Já os ativos de suporte podem ser sistemas ou aplicativos, equipamentos ou dispositivos, ambientes físicos (ex. salas de arquivo) ou meios de comunicação/transporte de dados. Passo seguinte, para cada artefato, são identificados os tipos de dados pessoais e as respectivas categorias de titulares. Ao final, para cada processo organizacional do Tribunal, é gerado um documento estruturado (em formato de planilha), denominado “Registro das Operações de Tratamento de Dados Pessoais - ROTDP”.
Concluída a etapa de inventário de dados e detalhamento das atividades de tratamento, inicia-se a fase de análise de conformidade. São realizadas análises quanto aos seguintes aspectos: temporalidade (retenção dos dados), segurança da informação (medidas de segurança adotadas por agentes de tratamento e implementadas nos ativos de suporte) e jurídica (conformidade legal aos requisitos da LGPD).
Um dos diferenciais da metodologia adotada está no fato de ser baseada nos processos organizacionais. Alternativamente, é possível realizar o mapeamento de dados pessoais tendo como foco os sistemas ou os bancos de dados informatizados. Existem, inclusive, ferramentas tecnológicas que permitem automatizar parcialmente essa atividade. No entanto, na prática, constata-se que grande parte dos dados pessoais tratados nas atividades de qualquer organização estão em formato não estruturado, “espalhados” em documentos, mensagens de e-mail ou de comunicadores, redes sociais etc. Destaque-se que muitos dados pessoais ainda estão presentes em mídias físicas (papel). Portanto, observar o passo a passo do processo organizacional e identificar os dados pessoais tratados, nos seus mais diversos formatos e tipos de suporte, incrementa consideravelmente as chances de se gerar um inventário de dados mais completo e de melhor qualidade.
Definida a metodologia, foi preciso desenvolver uma ferramenta que permitisse realizar, de forma estruturada, o registro do inventário de dados pessoais e das operações de tratamento, bem como as análises de temporalidade, segurança da informação e conformidade legal. Diante da dificuldade em se adquirir ou desenvolver internamente uma solução de TIC voltada para esse fim, a equipe optou por criar um modelo de documento utilizando planilha eletrônica (Google Sheets). Essa abordagem, teve como vantagens a não incidência de custos de aquisição e a agilidade com que a solução foi posta em produção. O modelo também se mostrou vantajoso pela flexibilidade, ao permitir evoluções rápidas desde a sua primeira versão.
Até o momento, ao menos no âmbito da Justiça do Trabalho, não existe uma padronização quanto à metodologia voltada à gestão da privacidade e proteção de dados pessoais. Tampouco há iniciativa nacional voltada à aquisição ou desenvolvimento de sistema ou aplicação voltada a esse fim. Dessa forma, a solução desenvolvida e adotada pelo TRT da 21ª Região pode ser vista como uma iniciativa inovadora, podendo emergir como uma proposta inicial para o desenvolvimento de uma solução em nível nacional.
3 - Resultados esperados ou alcançados
O TRT da 21ª Região disponibiliza em seu portal (https://www.trt21.jus.br/node/30173), conteúdos e serviços especificamente relacionados à privacidade e proteção de dados pessoais. Destaca-se a publicação dos extratos dos Registros das Operações de Tratamento de Dados Pessoais (ROTDPs), conforme preconiza o inciso I, do Art.23 da LGPD. Até o momento, são 34 (trinta e quatro) registros publicados, onde os titulares interessados podem consultar, entre outras informações, as finalidades, hipóteses legais, agentes de tratamento, tipos de dados e o tempo de retenção destes nas diversas atividades realizadas pelo Tribunal.
Importante também ressaltar a disponibilização do formulário de atendimento às requisições de titulares. Através deste serviço, os titulares de dados pessoais podem exercer os seus direitos junto ao Tribunal, solicitando acesso, correção, eliminação ou anonimização de seus dados, além de confirmação de tratamento, informações sobre o compartilhamento, dentre outros previstos em lei. É de se enfatizar que os registros das operações de tratamento de dados pessoais (ROTDPs) consistem nos instrumentos que tornam possível o atendimento de tais requisições. Sem um efetivo controle dos dados, o risco de um atendimento insatisfatório ou intempestivo é muito alto.
Em resumo, uma gestão eficaz da privacidade e proteção de dados traz diversos benefícios:
- Para os jurisdicionados e para a sociedade em geral - transparência e segurança quanto ao tratamento dos seus dados pessoais;
- Para o TRT21 - Fortalecimento da governança de dados e da segurança da informação, além do “compliance” com os requisitos legais;
- Para o Poder Judiciário - Fortalecimento da imagem do Poder Judiciário como um todo e das instituições que o compõem, a partir da relação de confiança criada com as pessoas (titulares de dados).
4 - Quais são os ODS impactados pelo projeto?
A solução em referência impacta o 16º Objetivo de Desenvolvimento Sustentável (Paz, Justiça e Instituições Eficazes), ao passo que cuida do desenvolvimento de “instituições eficazes, responsáveis e transparentes em todos os níveis”. Isso porque, ao proceder com o Registro das Operações de Tratamento de Dados Pessoais, o TRT da 21ª Região busca o efetivo cumprimento das regras legais sobre a matéria, notadamente da Lei Geral de Proteção de Dados Pessoais (Lei n. 13.709/2018), fomentando o cuidado, a transparência, bem como o uso responsável e eficaz dos dados pessoais pela própria instituição e por seus parceiros (operadores).
5 - Quais as dificuldades ou barreiras vivenciadas na implementação, caso tenham ocorrido?
Por se tratar de matéria nova no ordenamento jurídico nacional, eis que a LGPD data do ano de 2018, o TRT da 21ª Região precisa cotidianamente buscar a mudança de cultura organizacional quanto ao cuidado com a privacidade e proteção dos dados pessoais. Engajar e conscientizar os responsáveis quanto ao preenchimento correto e detalhado dos Registros de Operações de Tratamento de Dados Pessoais e, principalmente, quanto à importância de mantê-los atualizados ainda se mostra desafiador.
Há também a limitação estabelecida pelo CSJT quanto à aquisição de solução de TIC pelos Regionais até que seja definida uma solução padronizada para todos os órgãos da Justiça do Trabalho.
6 - Houve avaliação da Boa Prática?
O TRT da 21ª Região alcançou, em junho/2024, 90% (noventa por cento) do “Índice de Conformidade com a Privacidade e Proteção de Dados dos Usuários (ICPPDU)”, encontrando-se em estágio “APRIMORADO” no que se refere à maturidade organizacional nessa temática, conforme critérios estabelecidos pelo Conselho Superior da Justiça do Trabalho.
A solução tem sido referência de boa prática entre os Tribunais do Trabalho e até mesmo entre outras instituições públicas. Alguns exemplos:
- Apresentação da metodologia e ferramenta para equipe do TRT da 5ª Região (BA), em outubro/2023;
- Apresentação da metodologia e ferramenta para equipe do TRT da 7ª Região (CE), em março/2024;
- Exposição no Encontro Nacional de Tecnologia e Inovação (ENASTIC) com o foco na Justiça do Trabalho, em maio/2024;
- Curso “Lei Geral de Proteção de Dados - LGDP: Registros das Operações de Tratamento de Dados Pessoais (ROTDP)”, ministrado para servidores do TRT da 10ª Região (DF), em junho/2024;
- Apresentação da metodologia e ferramenta para equipe do TRE-RN, em julho/2024;
- Acrescenta-se que ainda será tema do painel de Boas Práticas do Fórum Nacional LGPD da Justiça Trabalhista, que ocorrerá nos dias 15 e 16 de agosto de 2024 (Ato n. 60/2024).
- E-mail do laboratório: inovajt21@trt21.jus.br