Damos continuidade ao inventário de dados. Deve-se incluir também os dados que não estão em formato digital, tais como fotos impressas, documentos em papel, crachás com foto, etc. Eles podem estar armazenados dentro da empresa ou numa empresa terceirizada. Pouco importa na verdade, porque o responsável dos dados (o “Controlador” na lei) continua sendo a sua empresa se foi ela que os coletou.
No inventário, deve-se pensar em todos os tipos de pessoas físicas cujos dados podem estar guardados na sua empresa: funcionários, parentes de funcionários, clientes ou interlocutores nas empresas clientes, interlocutores nos fornecedores. E não esqueçam também que um simples número de telefone guardado na conta WhatsApp de um dos seus colaboradores é considerado como dado pessoal.
O inventário deve ser devidamente documentado com o tipo de dado, a localização, o formato (papel / digital). É vital definir os fluxos de dados, para onde e quem eles são enviados e/ou recebidos. É preciso definir quem tem acesso a esses dados, e qual é o nível de proteção do lugar onde os dados são guardados.
