Registro das atividades de tratamento de dados pessoais
4.4.3. Registro das atividades de tratamento de dados pessoais
Diferentemente da Política de Privacidade, que embora central na estruturação da Governança, é uma faculdade, o registro das atividades de tratamento de dados pessoais é uma obrigação imposta pela Lei Geral de Proteção de Dados no art. 37. Trata-se de registro específico (produto de mapeamento das atividades de tratamento de dados pessoais) que permita visualizar o ciclo de vida dos dados pessoais na Serventia. Essa obrigação decorre dos princípios da responsabilização e da prestação de contas (art. 6º, X), pelo que se pode constatar que o registro deve conter os itens necessários para verificação da existência e da eficácia de medidas de proteção de dados pessoais.
A lei brasileira não especifica quais seriam esses itens, mas é possível utilizar, como parâmetro, o art. 30º, Regulamento europeu, que estabelece como informações necessárias no registro: i) nome e contatos do controlador, do representante do controlador e do Encarregado pelo tratamento de dados pessoais; ii) as finalidades do tratamento; iii) a descrição das categorias de titulares de dados, a saber se há dados de crianças e adolescentes, que devam ser tratados com disciplina especial, e das categorias de dados pessoais, a saber se dados pessoais simples ou sensíveis; iv) categorias de destinatários a quem os dados são divulgados, incluindo os estabelecidos em países terceiros ou organizações internacionais, a fim de determinar se há incidência das normas de transferências internacionais e de aplicação de legislação estrangeira; v) no caso de transferência internacional, a documentação pertinente; vi) os prazos para exclusão dos dados pessoais (estabelecimento de período de retenção); e vii) descrição geral das medidas técnicas e organizativas.
No caso específico dos Registros Públicos, há necessidade de maior transparência na prestação de contas, em razão da natureza do serviço prestado, e é o registro das atividades de tratamento de dados pessoais o documento hábil a comprová-la. Assim, por meio do registro, é possível verificar a observância do princípio da finalidade, segundo o qual o tratamento de dados pessoais deve ser realizado para propósitos legítimos, específicos, explícitos e informados ao titular (art. 6º, I) e que são utilizados apenas os dados pessoais necessários e adequados ao atendimento dessa finalidade (art. 6º, II e III). A finalidade pré-estabelecida deve encontrar fundamento em base legal correta. O registro também permite uma visualização mais ampla sobre transferências e compartilhamento de dados pessoais e sobre as correspondentes medidas de segurança técnicas e administrativas adotadas em cada caso, nos termos dos arts. 46 e 47. Por fim, o registro permite traçar o final do ciclo de vida do dado pessoal ao determinar o um período específico de retenção do dado, após o qual ele deverá ser descartado, nos termos dos arts. 15 e 16, Lei Geral de Proteção de Dados.
← Sumário | Próximo tópico →
NEAR-lab 