O mapeamento de dados, ou também conhecido como inventário de dados, data mapping ou data flow, refere-se a um documento essencial quando estamos no processo de adequação às normas de proteção de dados (LGPD, GDPR, entre outras).
O mapeamento de dados desempenha um papel crucial na adequação à LGPD, pois permite que as empresas obtenham uma visão clara e abrangente de como os dados pessoais são coletados, armazenados, processados e compartilhados em suas operações. Ao identificar e documentar todas as informações pessoais tratadas, bem como os fluxos de dados internos e externos, as empresas podem avaliar riscos e vulnerabilidades em relação à privacidade dos titulares de dados
Essa compreensão detalhada possibilita a implementação de medidas adequadas de segurança, a revisão e atualização de políticas de privacidade, a obtenção de consentimento adequado dos titulares e a garantia do cumprimento das obrigações legais. O mapeamento de dados não apenas auxilia na conformidade com a LGPD, mas também fortalece a confiança dos clientes, minimiza riscos de violação de dados e contribui para a construção de uma cultura de proteção de dados em toda a organização.
Quais são os principais objetivos do mapeamento de dados?
Os principais objetivos do mapeamento de dados são:
Conhecimento e visibilidade: Identificar e compreender todos os dados pessoais coletados, processados e armazenados pela empresa, incluindo sua origem, finalidade e fluxo, permitindo uma visão abrangente dos dados em toda a organização.
Conformidade com a LGPD: Assegurar que o tratamento de dados esteja em conformidade com os requisitos da Lei Geral de Proteção de Dados, garantindo a proteção da privacidade e dos direitos dos titulares de dados.
Gestão de riscos: Identificar potenciais vulnerabilidades e riscos relacionados à privacidade dos dados, possibilitando a implementação de medidas adequadas de segurança e mitigação de riscos.
Implementação de medidas de proteção: Permitir a adoção de medidas técnicas e organizacionais para proteger os dados pessoais contra acessos não autorizados, vazamentos ou violações de segurança.
Revisão de políticas e procedimentos: Avaliar a eficácia das políticas e procedimentos de proteção de dados existentes e implementar atualizações ou melhorias necessárias.
Gestão de consentimento: Verificar se o consentimento dos titulares de dados foi obtido adequadamente e que a finalidade para a qual os dados foram coletados está devidamente informada.
Melhoria da governança de dados: Fortalecer a governança de dados na empresa, promovendo a transparência e a responsabilização em relação ao tratamento de dados pessoais.
Preparação para auditorias e fiscalizações: Facilitar a disponibilidade e apresentação de informações relevantes para fins de auditorias ou fiscalizações de autoridades reguladoras.
Em resumo, o mapeamento de dados é uma etapa essencial para garantir uma gestão responsável e segura dos dados pessoais, fortalecendo a confiança dos clientes e a conformidade com as leis de proteção de dados.
Algumas empresas desenvolveram softwares que auxiliam no mapeamento de dados. Aqui você pode encontrar o relatório completo sobre fornecedores de tecnologia de privacidade elaborado pelo iapp.
Vale lembrar que apesar desses softwares serem muito úteis, o processo de mapeamento é abrangente e requer uma análise humana mais profunda. Ademais, os dados físicos também precisam ser mapeados, sendo um dos pontos não cobertos por essas ferramentas.
Como elaborar um Mapeamento de Dados – Data Mapping?
Um mapeamento de dados deve ser elaborado em conjunto pelos múltiplos setores das empresas com auxílio técnico e jurídico para análises das possíveis vulnerabilidades encontradas.
Elaborar um Mapeamento de Dados (Data Mapping) envolve várias etapas. A seguir, destacamos algumas orientações para ajudá-lo a criar um mapeamento de dados eficiente:
Identifique os dados: Faça um levantamento de todos os tipos de dados pessoais que sua empresa coleta, armazena, processa ou compartilha, tanto internamente quanto externamente. Isso inclui informações sobre clientes, funcionários, fornecedores e outros parceiros comerciais.
Determine a finalidade e a base legal: Para cada categoria de dados, identifique a finalidade para a qual eles estão sendo coletados e qual a base legal que permite o tratamento desses dados.
Identifique os fluxos de dados: Mapeie como os dados pessoais fluem dentro da organização, desde a coleta até o armazenamento, processamento e compartilhamento com terceiros. Isso inclui transferências para fornecedores, prestadores de serviços e outros parceiros.
Avalie os riscos: Identifique possíveis vulnerabilidades e riscos relacionados à privacidade e segurança dos dados em cada etapa do fluxo de dados. Isso ajuda a tomar medidas proativas para mitigar riscos.
Documente o mapeamento: Registre todas as informações obtidas em um documento formal, incluindo detalhes sobre os tipos de dados, a finalidade, a base legal, os fluxos de dados e as medidas de segurança adotadas.
Atualize regularmente: O mapeamento de dados não é uma tarefa única. É fundamental revisar e atualizar o mapeamento periodicamente, especialmente quando houver mudanças nos processos ou novas operações de tratamento de dados.
Comunique as partes envolvidas: Informe a equipe interna e os principais stakeholders sobre o mapeamento de dados, suas implicações e as medidas a serem adotadas para garantir a conformidade com as leis de proteção de dados.
Implemente medidas corretivas: Caso o mapeamento de dados identifique alguma não conformidade ou risco significativo, tome as medidas necessárias para corrigir a situação e garantir a conformidade com as leis de proteção de dados.
Lembre-se de que o mapeamento de dados é essencial para garantir uma gestão responsável e segura dos dados pessoais, bem como para cumprir as exigências da Lei Geral de Proteção de Dados (LGPD) e outras regulamentações de privacidade aplicáveis.
A seguir, apresentamos alguns pontos essenciais [1] que devem estar contidos no mapeamento de dados.
| Tema | Item |
| Tipo de Dados | Categorias de dados trafegadas nesse fluxo (ex: cadastrais, transacionais, especiais, sensíveis, trabalhistas, etc.) |
| Volume de Dados | O volume de dados trafegados nesse fluxo e a frequência desse tráfego (ex: online, diária, semanal, mensal, etc.) |
| Etapas do fluxo de dados | Descrição das etapas de tratamento do fluxo: coleta, armazenagem, sanitização, enriquecimento, processamento, segmentação, inferências, transferências, descarte. |
| Tecnologias | Apontar no mapeamento de dados as principais tecnologias utilizadas nesse fluxo de dados. (ex: sistemas, aplicações, bancos de dados que suportam o fluxo, etc.) |
| Locais de Armazenamento | Indicar os locais onde o dado é coletado, armazenado, tratado ou processado. Nesse momento, deve-se indicar se é internamente ou externamente. |
| Origem dos Dados | Indicar as principais origens dos dados (entradas) e canais de captura de dados (ex: site, aplicativos, estabelecimentos físicos, SAC, parceiros, empresas coligadas, etc.) |
| Campanhas de Marketing | Informar como os dados pessoais são tratados visando campanhas de marketing. Indicar também no mapeamento de dados quais os tipos de dados pessoais são utilizados. |
| Compartilhamento de dados com parceiros | Indicar os principais parceiros com os quais os dados são compartilhados – parceiros de negócio ou parceiros de tecnologia/dados (ex: slack, escritório de contabilidade terceirizado, emissor de NFe, etc.) |
| Empresas coligadas | Indicar no mapeamento de dados as empresas coligadas do grupo econômico cujos dados são compartilhados entre si. |
| Localidades do tratamento | Indicar os países, estados e localidade onde sua empresa possui atividade. |
| Transferência Internacional de dados |
|
| Base legal | Indicar a base legal para realização do tratamento de dados referente ao fluxo descrito. |
| Política de Privacidade | A Política de privacidade referente ao fluxo descrito está atualizada e atende aos requisitos da LGPD? Ela está disponível em todas as fases da coleta de dados? |
| Dados de menores de idade | Identificar se no fluxo analisado há a coleta de dados pessoais de menores de idade (18 anos incompletos). Verificar se todos os registro possuem data de nascimento informada e válida. |
| Retenção e extinção de dados | Identificar a política de retenção e extinção (descarte) dos dados. Caso não existente, avaliar as boas práticas do setor da empresa e por categoria de dados. |
| Segurança da Informação | Identificar os principais controles de segurança da informação estabelecidos para proteger os dados coletados, armazenados, processados, compartilhados e transferidos. |
| Direito dos Titulares | Avaliar se o fluxo permite que o titular do dado pessoal tratado exerça seus direitos previstos nas normas de proteção de dados. |
Webinar: Realizando o mapeamento de dados
Como dica para quem tá iniciando os estudos sobre mapeamento de dados, deixamos o vídeo do Webinar “Realizando o mapeamento de dados” do Instituto Infnet e apresentação de Carolina Braga.
Mapeamento de Dados para LGPD | Aprendendo sobre Data Science
Templates e Planilhas para Data Mapping para Download (Mapeamento de Dados)
O Departamento de Privacidade e Segurança da Informação da Secretaria de Governo Digital disponibilizou alguns templates de documentos, incluindo inventário de dados, neste link.
Para link direto de download do template em formato de planilha para Inventário de Dados Pessoais, acesse esse link.
Para baixar um exemplo de planilha de Inventário de Dados Pessoais disponibilizado pela Secretaria de Governo Digital, acesse esse link.
Qual o produto do Inventário de Dados?
O produto do Inventário de Dados é um documento detalhado que lista e descreve todas as informações sobre os dados pessoais tratados por uma organização. Esse documento geralmente inclui informações como:
- Tipos de dados coletados e processados.
- Finalidade do tratamento dos dados.
- Base legal para o tratamento dos dados.
- Fonte dos dados (por exemplo, coletados dos titulares, de parceiros comerciais, etc.).
- Destinatários ou categorias de destinatários dos dados (por exemplo, prestadores de serviços, autoridades, etc.).
- Transferências internacionais de dados, caso existam.
- Prazos de retenção dos dados.
- Medidas de segurança adotadas para proteção dos dados.
- Nome e contato do Encarregado de Proteção de Dados (DPO), quando aplicável.
- Informações sobre os direitos dos titulares dos dados e como exercê-los.
O Inventário de Dados é uma ferramenta essencial para auxiliar na conformidade com as leis de proteção de dados, como a Lei Geral de Proteção de Dados (LGPD) e o Regulamento Geral de Proteção de Dados (GDPR) da União Europeia. Ele fornece uma visão abrangente dos dados pessoais tratados pela organização, permitindo uma melhor gestão da privacidade e garantindo a proteção dos direitos dos titulares dos dados. Além disso, o Inventário de Dados também é útil para fins de auditoria, fiscalização e para responder a solicitações de autoridades reguladoras e titulares dos dados.
Com as informações coletadas no processo do mapeamento de dados, é possível termos a dimensão de todos os dados que a empresa trata, gerando um fluxograma dos dados que será utilizado para a elaboração de documentos como: relatório de impacto de proteção de dados, política de gestão de crises, manual de procedimentos e controles internos em proteção de dados, entre outros.
Registro Simplificado de Operações de Tratamento de Dados Pessoais
A Autoridade Nacional de Proteção de Dados (ANPD) tornou público o modelo de registro simplificado das operações de tratamento de dados pessoais voltado aos Agentes de Tratamento de Pequeno Porte.
O documento disponibilizado pela a ANPD apresenta 8 (oito) campos para serem preenchidos, como:
1. Informações de Contato;
2. Categorias de pessoas titulares;
3. Dados Pessoais tratados;
4. Compartilhamento
5. Medidas de segurança;
6. Processo Finalidade e Hipótese Legal
7. Período de armazenamento;
8. Observações
Para acessar o Modelo de registro simplificado de operações de tratamento de dados pessoas disponibilizado pela ANPD, clique aqui: pdf.
Entenda como a ANPD irá realizar a Dosimetria para aplicação de multas pecuniárias em casos de violação à LGPD
Confirma o texto completo sobre a Norma de Dosimetria da ANPD para aplicação de sanções administrativas previstas na LGPD.
Para Assessoria Jurídica e Adequação às leis de Proteção de Dados (Consultoria LGPD), contate agora os nossos Advogados
Referências – O que é Mapeamento de Dados
[1] Adaptado de LGPD: Lei Geral de Proteção de Dados pessoais: manual de implementação. Viviane Nóbrega Maldonado (coord.). São Paulo: Thomson Reuters Brasil, 2019.
