Em Angola, protecção de dados raramente começa onde muita gente imagina. Não começa por comprar ferramenta, nem por correr atrás de um documento "bonito". Começa por pôr a casa em ordem: perceber que dados pessoais existem na organização, por onde circulam, quem lhes mexe, por que motivo são tratados e, sobretudo, como se demonstra isso com clareza quando alguém pergunta.
Muita organização já faz "quase tudo" no dia-a-dia, mas sem rasto. E, sem rasto, quando chega uma auditoria, quando aparece uma parceria exigente ou quando ocorre um incidente, o que era rotina vira improviso. A maturidade, aqui, não está em palavras grandes. Está na capacidade de explicar e provar o essencial com serenidade.
O que se entende por "legalização" do tratamento, no terreno, costuma passar por três movimentos que se reforçam entre si. Primeiro, inventariar: a organização consegue dizer o que trata, em que sistemas, com que finalidade e com que acessos. Segundo, definir regras: por que é lícito tratar, quanto tempo guarda, como responde ao titular e como gere terceiros. Terceiro, segurança com evidência: medidas técnicas e organizativas reais, com sinais objectivos de funcionamento.
O arranque mais seguro também é o mais simples. Escolha-se um dono interno e um ritmo. Sem dono, o tema morre. Sem ritmo, o tema fica para "quando houver tempo". Um patrocinador ao nível de Administração ou Operações desbloqueia obstáculos rapidamente, e um ponto focal com mandato garante continuidade, articulação e registo do que se decide.
Depois, em vez de tentar mapear "tudo", comecem por dez tratamentos reais. Escolham os que dão mais risco e mais dor: RH, atendimento/CRM, financeiro, videovigilância, fornecedores críticos e tudo o que mexe com pagamentos e identidade. Descrevam onde o dado entra, onde é guardado, quem acede, para onde sai e quando deve ser eliminado. Este mapa reduz discussões abstractas e acelera decisões práticas.
Com esse mapa mínimo, definem-se finalidades claras, limites de retenção defensáveis e rotinas simples de resposta a pedidos do titular. A regra é directa: se não dá para explicar em duas frases o porquê e o limite do tratamento, ainda não está bem definido.
A seguir, organiza-se o dossiê. Não como burocracia, mas como "pasta de prova": governação e decisões, inventário e fluxos, políticas e procedimentos que operam, terceiros e responsabilidades, evidências técnicas que se conseguem mostrar, e registos de incidentes e lições aprendidas. O detalhe que mais pesa é este: medida sem evidência vira discurso. "Temos backup" vale pouco sem teste de restauro registado. "Controlamos acessos" vale pouco sem revisão com data, responsável e alterações.
Se tiverem de escolher uma única acção esta semana, escolham o inventário dos dez tratamentos prioritários, com responsável, sistema e finalidade. É o primeiro tijolo de todo o resto e melhora, ao mesmo tempo, segurança, contratos e resposta a incidentes.
Se fizer sentido, marquem uma conversa e tragam o que já existe, mesmo que esteja incompleto. O trabalho começa assim: com o que é real, com o que a organização aguenta e com evidência que se consegue sustentar.
Se quiserem avançar com isto de forma organizada, preparem a reunião connosco — ajudamos a transformar o inventário num plano de evidência realista.
