Quem nunca clicou sem ler em um “li e concordo com os termos de serviço”? É, a gente entrega nossos dados pessoais de bandeja… mas de uns tempos pra cá, surgiram legislações para tentar regulamentar isso de forma a proteger seus dados pessoais, minimamente.
No Brasil, a Lei geral de proteção de dados – LGPD, entrou em vigor em 2020. Com isso, todas as instituições, públicas e privadas, que coletam dados pessoais (ou seja, quase todo mundo), devem tratá-los de acordo com os requisitos da lei. Para começar, antes de coletar dados pessoais, na maioria dos casos, as instituições devem obter o consentimento do titular do dado, ou seja, a autorização explícita da pessoa de quem está se coletando o dado. Sabe aquela vez no balcão da farmácia, o “tem cadastro com a gente? qual seu CPF?”? Pois é, agora eles precisam de um termo de consentimento de que você realmente forneceu seu CPF.
Entre os demais motivos legais para a coleta de dados pessoais, elencados no artigo 7. Da LGPD, estão a coleta de dados para:
- cumprimento de obrigação legal ou regulatória;
- realização de estudos por órgão de pesquisa;
- execução de contratos;
- exercício regular de direitos em processo judicial, administrativo ou arbitral;
- proteção da vida;
- tutela da saúde;
- e outros.
A lei considera como dado pessoal: informação relacionada a pessoa natural identificada ou identificável, ou seja, dados como nome completo, CPF, endereço, local de nascimento e outros. Alguns desses dados pessoais, são considerados dados sensíveis. São eles, de acordo com lei: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.
O artigo 9. da LGPD diz que o titular dos dados tem direito ao acesso facilitado às informações sobre o tratamento de seus dados, que deverão ser disponibilizadas de forma clara, adequada e ostensiva acerca da finalidade específica do tratamento daquele dado, forma e duração do tratamento, identificação e informações de contato do controlador, informações sobre compartilhamento do dado, e seus direitos, como titular do dado. O controlador, de acordo com a lei é a “pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais”.
Ou seja, para que essa legislação seja seguida, é fundamental que os dados pessoais estejam mapeados, registrados, descritos, seguros e acessíveis, ou seja, que esses dados sejam geridos. E é aí que entra a ajuda da arquitetura da informação.
Arquitetura da informação para processos de negócio
A metodologia de arquitetura da informação para processos de negócio (oi, tese!) parte dos processos de trabalho da instituição para identificar as informações e dados utilizados nas atividades, tarefas e etapas do processo e, a partir daí, extrair metadados de negócio, que são os elementos informacionais chave e o foco de gestão da metodologia.
Todos os dados pessoais podem ser representados por metadados de negócio. Quando um cidadão fornece seus dados, esses dados, para a arquitetura da informação, encontram-se em uma estrutura “metadado de negócio – dado”. Por exemplo:
A AI realiza essa tarefa de identificação dos metadados e os registra, descreve e gerencia, por meio do artefato “matriz de metadados”. Cada metadado é descrito por uma definição, sua forma de acesso, seu gestor, e vários outros atributos. Essa matriz é expansível e pode elencar vários atributos do metadado, como por exemplo os requisitos da LGPD. Assim, podem ser incluídos como atributos para dos metadados de dados pessoais, informações que facilitem o cumprimento da lei.
Ou seja, a arquitetura da informação para processos de negócio é uma metodologia para identificação, registro, descrição e gerenciamento das informações dos processos de negócio. Com isso, para adequação à LGPD, a arquitetura da informação pode indicar se o dado é pessoal ou não, e, se sim, catalogá-lo de acordo com o exigido pela lei: finalidade do tratamento do dado, prazo de retenção do dado, controlador responsável, etc…
Assim, a arquitetura da informação pode contribuir para a gestão e a governança dos dados e informações das instituições e para adaptação às questões de conformidade legal.
Ficou com dúvida? Fala comigo =)
