Pular para o conteúdo

O que é o mapeamento de dados?

mapeamento de dados

O mapeamento de dados, ou também conhecido como inventário de dados, data mapping ou data flow, refere-se a um documento essencial quando estamos no processo de adequação às normas de proteção de dados (LGPD, GDPR, entre outras). 

O mapeamento de dados desempenha um papel crucial na adequação à LGPD, pois permite que as empresas obtenham uma visão clara e abrangente de como os dados pessoais são coletados, armazenados, processados e compartilhados em suas operações. Ao identificar e documentar todas as informações pessoais tratadas, bem como os fluxos de dados internos e externos, as empresas podem avaliar riscos e vulnerabilidades em relação à privacidade dos titulares de dados

Essa compreensão detalhada possibilita a implementação de medidas adequadas de segurança, a revisão e atualização de políticas de privacidade, a obtenção de consentimento adequado dos titulares e a garantia do cumprimento das obrigações legais. O mapeamento de dados não apenas auxilia na conformidade com a LGPD, mas também fortalece a confiança dos clientes, minimiza riscos de violação de dados e contribui para a construção de uma cultura de proteção de dados em toda a organização.

Assessoria Jurídica para Avaliação de Impacto à Proteção de Dados

Quais são os principais objetivos do mapeamento de dados?

Os principais objetivos do mapeamento de dados são:

Conhecimento e visibilidade: Identificar e compreender todos os dados pessoais coletados, processados e armazenados pela empresa, incluindo sua origem, finalidade e fluxo, permitindo uma visão abrangente dos dados em toda a organização.

Conformidade com a LGPD: Assegurar que o tratamento de dados esteja em conformidade com os requisitos da Lei Geral de Proteção de Dados, garantindo a proteção da privacidade e dos direitos dos titulares de dados.

Gestão de riscos: Identificar potenciais vulnerabilidades e riscos relacionados à privacidade dos dados, possibilitando a implementação de medidas adequadas de segurança e mitigação de riscos.

Implementação de medidas de proteção: Permitir a adoção de medidas técnicas e organizacionais para proteger os dados pessoais contra acessos não autorizados, vazamentos ou violações de segurança.

Revisão de políticas e procedimentos: Avaliar a eficácia das políticas e procedimentos de proteção de dados existentes e implementar atualizações ou melhorias necessárias.

Gestão de consentimento: Verificar se o consentimento dos titulares de dados foi obtido adequadamente e que a finalidade para a qual os dados foram coletados está devidamente informada.

Melhoria da governança de dados: Fortalecer a governança de dados na empresa, promovendo a transparência e a responsabilização em relação ao tratamento de dados pessoais.

Preparação para auditorias e fiscalizações: Facilitar a disponibilidade e apresentação de informações relevantes para fins de auditorias ou fiscalizações de autoridades reguladoras.

Em resumo, o mapeamento de dados é uma etapa essencial para garantir uma gestão responsável e segura dos dados pessoais, fortalecendo a confiança dos clientes e a conformidade com as leis de proteção de dados.

Algumas empresas desenvolveram softwares que auxiliam no mapeamento de dados.  Aqui você pode encontrar o relatório completo sobre fornecedores de tecnologia de privacidade elaborado pelo iapp.

Vale lembrar que apesar desses softwares serem muito úteis, o processo de mapeamento é abrangente e requer uma análise humana mais profunda. Ademais, os dados físicos também precisam ser mapeados, sendo um dos pontos não cobertos por essas ferramentas. 

Como elaborar um Mapeamento de Dados – Data Mapping?

Um mapeamento de dados deve ser elaborado em conjunto pelos múltiplos setores das empresas com auxílio técnico e jurídico para análises das possíveis vulnerabilidades encontradas. 

Elaborar um Mapeamento de Dados (Data Mapping) envolve várias etapas. A seguir, destacamos algumas orientações para ajudá-lo a criar um mapeamento de dados eficiente:

Identifique os dados: Faça um levantamento de todos os tipos de dados pessoais que sua empresa coleta, armazena, processa ou compartilha, tanto internamente quanto externamente. Isso inclui informações sobre clientes, funcionários, fornecedores e outros parceiros comerciais.

Determine a finalidade e a base legal: Para cada categoria de dados, identifique a finalidade para a qual eles estão sendo coletados e qual a base legal que permite o tratamento desses dados.

Identifique os fluxos de dados: Mapeie como os dados pessoais fluem dentro da organização, desde a coleta até o armazenamento, processamento e compartilhamento com terceiros. Isso inclui transferências para fornecedores, prestadores de serviços e outros parceiros.

Avalie os riscos: Identifique possíveis vulnerabilidades e riscos relacionados à privacidade e segurança dos dados em cada etapa do fluxo de dados. Isso ajuda a tomar medidas proativas para mitigar riscos.

Documente o mapeamento: Registre todas as informações obtidas em um documento formal, incluindo detalhes sobre os tipos de dados, a finalidade, a base legal, os fluxos de dados e as medidas de segurança adotadas.

Atualize regularmente: O mapeamento de dados não é uma tarefa única. É fundamental revisar e atualizar o mapeamento periodicamente, especialmente quando houver mudanças nos processos ou novas operações de tratamento de dados.

Comunique as partes envolvidas: Informe a equipe interna e os principais stakeholders sobre o mapeamento de dados, suas implicações e as medidas a serem adotadas para garantir a conformidade com as leis de proteção de dados.

Implemente medidas corretivas: Caso o mapeamento de dados identifique alguma não conformidade ou risco significativo, tome as medidas necessárias para corrigir a situação e garantir a conformidade com as leis de proteção de dados.

Lembre-se de que o mapeamento de dados é essencial para garantir uma gestão responsável e segura dos dados pessoais, bem como para cumprir as exigências da Lei Geral de Proteção de Dados (LGPD) e outras regulamentações de privacidade aplicáveis.

A seguir, apresentamos alguns pontos essenciais [1] que devem estar contidos no mapeamento de dados. 

TemaItem
Tipo de DadosCategorias de dados trafegadas nesse fluxo (ex: cadastrais, transacionais, especiais, sensíveis, trabalhistas, etc.)
Volume de DadosO volume de dados trafegados nesse fluxo e a frequência desse tráfego (ex: online, diária, semanal, mensal, etc.)
Etapas do fluxo de dadosDescrição das etapas de tratamento do fluxo: coleta, armazenagem, sanitização, enriquecimento, processamento, segmentação, inferências, transferências, descarte.
TecnologiasApontar no mapeamento de dados as principais tecnologias utilizadas nesse fluxo de dados. (ex: sistemas, aplicações, bancos de dados que suportam o fluxo, etc.)
Locais de ArmazenamentoIndicar os locais onde o dado é coletado, armazenado, tratado ou processado. Nesse momento, deve-se indicar se é internamente ou externamente.
Origem dos DadosIndicar as principais origens dos dados (entradas) e canais de captura de dados (ex: site, aplicativos, estabelecimentos físicos, SAC, parceiros, empresas coligadas, etc.)
Campanhas de MarketingInformar como os dados pessoais são tratados visando campanhas de marketing. Indicar também no mapeamento de dados quais os tipos de dados pessoais são utilizados. 
Compartilhamento de dados com parceirosIndicar os principais parceiros com os quais os dados são compartilhados – parceiros de negócio ou parceiros de tecnologia/dados (ex: slack, escritório de contabilidade terceirizado, emissor de NFe, etc.)
Empresas coligadasIndicar no mapeamento de dados as empresas coligadas do grupo econômico cujos dados são compartilhados entre si.
Localidades do tratamentoIndicar os países, estados e localidade onde sua empresa possui atividade.
Transferência Internacional de dados
  • Plataformas de cloud (ex: amazon aws, microsoft azure, google cloud);
  • Data centers terceirizados;
  • Software terceirizados;
  • Transferência de dados pessoais para a sede da empresa no exterior.
Base legalIndicar a base legal para realização do tratamento de dados referente ao fluxo descrito.
Política de PrivacidadeA Política de privacidade referente ao fluxo descrito está atualizada e atende aos requisitos da LGPD? Ela está disponível em todas as fases da coleta de dados?
Dados de menores de idadeIdentificar se no fluxo analisado há a coleta de dados pessoais de menores de idade (18 anos incompletos). Verificar se todos os registro possuem data de nascimento informada e válida. 
Retenção e extinção de dadosIdentificar a política de retenção e extinção (descarte) dos dados. Caso não existente, avaliar as boas práticas do setor da empresa e por categoria de dados. 
Segurança da InformaçãoIdentificar os principais controles de segurança da informação estabelecidos para proteger os dados coletados, armazenados, processados, compartilhados e transferidos. 
Direito dos TitularesAvaliar se o fluxo permite que o titular do dado pessoal tratado exerça seus direitos previstos nas normas de proteção de dados.

Webinar: Realizando o mapeamento de dados

Como dica para quem tá iniciando os estudos sobre mapeamento de dados, deixamos o vídeo do Webinar “Realizando o mapeamento de dados” do Instituto Infnet e apresentação de Carolina Braga.

Mapeamento de Dados para LGPD | Aprendendo sobre Data Science

Templates e Planilhas para Data Mapping para Download (Mapeamento de Dados)

O Departamento de Privacidade e Segurança da Informação da Secretaria de Governo Digital disponibilizou alguns templates de documentos, incluindo inventário de dados, neste link.

Para link direto de download do template em formato de planilha para Inventário de Dados Pessoais, acesse esse link.

Para baixar um exemplo de planilha de Inventário de Dados Pessoais disponibilizado pela Secretaria de Governo Digital, acesse esse link.

Qual o produto do Inventário de Dados?

O produto do Inventário de Dados é um documento detalhado que lista e descreve todas as informações sobre os dados pessoais tratados por uma organização. Esse documento geralmente inclui informações como:

  • Tipos de dados coletados e processados.
  • Finalidade do tratamento dos dados.
  • Base legal para o tratamento dos dados.
  • Fonte dos dados (por exemplo, coletados dos titulares, de parceiros comerciais, etc.).
  • Destinatários ou categorias de destinatários dos dados (por exemplo, prestadores de serviços, autoridades, etc.).
  • Transferências internacionais de dados, caso existam.
  • Prazos de retenção dos dados.
  • Medidas de segurança adotadas para proteção dos dados.
  • Nome e contato do Encarregado de Proteção de Dados (DPO), quando aplicável.
  • Informações sobre os direitos dos titulares dos dados e como exercê-los.

O Inventário de Dados é uma ferramenta essencial para auxiliar na conformidade com as leis de proteção de dados, como a Lei Geral de Proteção de Dados (LGPD) e o Regulamento Geral de Proteção de Dados (GDPR) da União Europeia. Ele fornece uma visão abrangente dos dados pessoais tratados pela organização, permitindo uma melhor gestão da privacidade e garantindo a proteção dos direitos dos titulares dos dados. Além disso, o Inventário de Dados também é útil para fins de auditoria, fiscalização e para responder a solicitações de autoridades reguladoras e titulares dos dados.

Com as informações coletadas no processo do mapeamento de dados, é possível termos a dimensão de todos os dados que a empresa trata, gerando um fluxograma dos dados que será utilizado para a elaboração de documentos como: relatório de impacto de proteção de dados, política de gestão de crises, manual de procedimentos e controles internos em proteção de dados, entre outros.

mapeamento de dados lgpd
Imagem: Mapeamento de dados – Dados de processo do cliente e mapa de calor. Fonte: Data Mapping – Aim4Gain.

Registro Simplificado de Operações de Tratamento de Dados Pessoais

A Autoridade Nacional de Proteção de Dados (ANPD) tornou público o modelo de registro simplificado das operações de tratamento de dados pessoais voltado aos Agentes de Tratamento de Pequeno Porte.

O documento disponibilizado pela a ANPD apresenta 8 (oito) campos para serem preenchidos, como:

1. Informações de Contato;

2. Categorias de pessoas titulares;

3. Dados Pessoais tratados;

4. Compartilhamento

5. Medidas de segurança;

6. Processo Finalidade e Hipótese Legal

7. Período de armazenamento;

8. Observações

Para acessar o Modelo de registro simplificado de operações de tratamento de dados pessoas disponibilizado pela ANPD, clique aqui: pdf.

Entenda como a ANPD irá realizar a Dosimetria para aplicação de multas pecuniárias em casos de violação à LGPD

Confirma o texto completo sobre a Norma de Dosimetria da ANPD para aplicação de sanções administrativas previstas na LGPD.

Para Assessoria Jurídica e Adequação às leis de Proteção de Dados (Consultoria LGPD), contate agora os nossos Advogados

Assessoria Jurídica para Adequação à LGPD

Referências – O que é Mapeamento de Dados

[1] Adaptado de LGPD: Lei Geral de Proteção de Dados pessoais: manual de implementação. Viviane Nóbrega Maldonado (coord.). São Paulo: Thomson Reuters Brasil, 2019.

[2] Practical Advice Data Inventories and Data Maps

Graziela Brandao
Graziela Brandao
Sócia Fundadora do BL ConsultoriaDigital (OAB/SP 374.780). Possui Mestrado em Ciências Humanas e Sociais Aplicadas pela Faculdade de Ciências Aplicadas da UNICAMP. Advogada com atuação profissional nas áreas de Direito Digital e Compliance Digital, com foco em proteção de dados, Compliance PLDFT e criptoativos. Especialista em Análise Regulatória para novas tecnologias. Possui certificação (DPDE) em Privacy and Data Protection pela EXIN. Pós-graduanda em Legal Tech: Direito, Inovação e Startups pela PUC-Minas. Professora coordenadora do Curso de Direito Digital e Indústria 4.0 da Escola Superior de Direito de Campinas.

Posts Relacionados

Fale Conosco

    Categorias

    Assine nossa Newsletter

    Open chat
    Olá, tudo bem? Como podemos te ajudar?
    Olá! Como podemos ajudar?