Existe alguma documentação ou material técnico que exemplifique ou descreva que adaptações deveriam ser feitas nos sistemas pra prover compatibilidade com as obrigatoriedades e dispositivos legais da LGPD, em especial o que prevê o art 37 sobre o registro e rastreabilidade das operações referidas. Deve ser considerado que a lei prevê que o simples acesso dado pessoal é considerado operação de tratamento E todo o tratamento deve ter uma finalidade específica e definida; Assim a princípio toda consulta a dado pessoal deveria ser registrada em log e ter sua finalidade informada antes de ser realizada para ser registrada de modo que sempre possa ser auditada no futuro caso necessário. Além disso, o titular tem direito de saber a finalidade da operação realizada - foi um acesso pra fim justo ou apenas bisbilhotagem de dado pessoal ou eventual fim ilegítimo.
Outra questão é se existem previsão de desenvolvimento de algum sistema informatizado para atender as demandas dos titulares e suporte às atividades do encarregado,
-
Gerenciamento dos direitos do titular nas possíveis demandas deste , incluindo o gerenciamento de consentimentos e armazenamento das provas dos consentimentos
-
Portal self-service para o titular definir as regras e condições que seus dados pessoais podem ser tratados no órgão , sobretudo quando requer consentimento.
-
Exercício do livre acesso aos dados pessoais do titular tratados no órgão
-
Registro das operações de tratamento através de interfaces com sistemas e base de dados pré-existentes na organização, permitindo rastreabilidade das operações e informar as operações de tratamento realizadas sempre que o titular requisite essa informação.
-
Arquitetura privacy by design e necessidade de adaptação dos sistemas pré-existentes para compliance com os requisitos de privacidade e da própria LGPD.
Agradeço se alguem tiver alguma informação sobre trabalho ja sendo feito nesses aspectos.