Qual é a relação entre a LGPD e a informação documentada da ISO 9001?

Dando continuidade a nossa série de artigos da relação entre a LGPD – Lei Geral de Proteção de Dados e a ISO 9001:15, vamos abordar alguns processos afetados diretamente pela LGPD.

Controle de Informação Documentada

Segundo a ISO 9001:15, devemos reter informações documentadas das atividades ligadas à qualidade.

O requisito 7.5.3 da ISO 9001:15 estabelece que informação documentada requerida pelo sistema de gestão da qualidade deve ser controlada para assegurar que que esteja protegida suficientemente (por exemplo, contra perda de confidencialidade, uso impróprio ou perda de integridade).

A ISO 9001:15 determina no requisito 7.5.3.2 que para controle da informação documentada, a organização deve abordar as seguintes atividades, como aplicável:

  • distribuição, acesso, recuperação e uso;
  • armazenamento e preservação, incluindo preservação de legibilidade;
  • controle de alterações (por exemplo, controle de versão);
  • retenção e disposição.

Geralmente, encontrarmos nos procedimentos das empresas uma tabela com os registros que são gerados na rotina e como eles devem ser retidos.

Qual é a relação do controle de informação documentada da ISO 9001:15 com a LGPD?

Inicialmente, vamos começar abordando as diferenças: Enquanto a ISO 9001 trata de registros ligados à qualidade do produto ou serviço, a LGPD foca no tratamento dos dados pessoais, sendo que isto pode ocorrer no serviço que está sendo prestado ou nos relacionamentos entre os colaboradores e/ou na interação deles com organizações externas.

Para entendermos melhor, seguem algumas definições importantes na LGPD:

Dado pessoal: informação relacionada a pessoa natural identificada ou identificável.

Dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.

Tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;

Como a LGPD trata a retenção de dados pessoais?

Ela utiliza o princípio da finalidade que afirma: Após a realização do tratamento de dados para propósitos legítimos, o dado não pode mais ser tratado posteriormente de forma incompatível com essa finalidade.

A consequência deste princípio é que após o uso do dado, não podemos mais acessá-lo para outro uso.

Seguem alguns exemplos de dados que, após a finalidade atingida, devem ser eliminados ou ter bloqueados seu acesso:

  • e-mails antigos com dados pessoais do cliente;
  • documentos scaneados que ficam salvos no celular ou whattsApp;
  • arquivos de dados cadastrais de prestadores de serviço cujo contrato foi finalizado, etc.

Qual é a relação entre o item de manutenção da informação documentada da ISO 9001:15 e a LGPD?

Geralmente, as organizações que atendem a ISO 9001 não consideram que o dado deve ser retido somente até ele atingir sua finalidade. É muito comum se estabelecer um período de retenção do dado longo e, muitas vezes, encontramos procedimentos que afirmam que o dado não será destruído, devendo ser retido indefinidamente.

Portanto, para atender a LGPD, os tempos de retenção dos registros da ISO 9001, no que tange a dados pessoais, deverão ser revistos. A organização deve garantir que estes registros se tornem inacessíveis após atingirem a sua finalidade.

Isto se constitui em uma mudança cultural, já que muitas vezes, os e-mails e arquivos são mantidos pelas equipes visando a guarda de “evidências” dos processos antigos para garantir seu resgate, quando necessário. Para atender o requisito da LGPD, deveremos:

  • Reduzir o tamanho das caixas de email;
  • Criar sistemáticas para salvar somente os dados pessoais necessários;
  • Criar rotinas periódicas de limpeza de caixas de email e de arquivos; salvos na rede e nos computadores;
  • Adequar o procedimento da ISO 9001 de manutenção de informação documentada, descrevendo esta nova rotina.

 Como a STANCE pode te ajudar na LGPD:

  • Realização de Diagnóstico de GAP
  • Treinamento Requisitos da LGPD – 8 hs
  • Identificação das Vulnerabilidades e Avaliação dos Riscos de atendimento à LGPD
  • Sistema informatizado para gestão das vulnerabilidades
  • Adequação dos processos que requerem consentimento para tratamento de dados pessoais
  • Revisão de contratos com clientes e prestadores de serviço
  • Implementação de boas práticas de segurança da informação
  • Avaliação e monitoramento de prestadores de serviço
  • Rotina de reclamações e denúncias
  • Indicadores de desempenho
  • Relatório de impacto

Entre em contato no falecom@stancebrasil.com.br e 11 31675566 e converse com nossos especialistas!

 

Sobre o autor:

Ricardo Hojda – Engenheiro, mestre em engenharia de produção pela Escola Politécnica da USP, autor da dissertação “ISO 14001- Sistemas de Gestão Ambiental”, especialista em qualidade pela U.S.P., Auditor Líder de ISO 14001:15, ISO 9001:15 e ISO 45001:18 da Fundação Vanzolini, professor de cursos de pós graduação da Fundação Vanzolini, consultor de empresas na implementação de Sistemas de Gestão, Compliance e Comportamento Seguro, instrutor de treinamentos e Diretor da Stance Gestão e Treinamento.

Deixe seu comentário

Sobre nós

A Stance é uma empresa de assessoria e treinamento que atua nas áreas de meio ambiente, qualidade, segurança, saúde e responsabilidade social.  A Equipe Stance atua na mudança do comportamento e foca no comprometimento das pessoas com o Sistema de Gestão.

Posts Recentes

Siga-nos

Abrir WhatsApp
Precisa de Ajuda?
Olá 👋 Gostaria de falar conosco para Solicitar um Orçamento?