O mapeamento de dados, ou ainda, o data mapping, data flow ou inventário de dados referem-se a um documento essencial quando estamos no processo de adequação às normas de proteção de dados (LGPD, GDPR, CCPA). O documento – ou planilha – de mapeamento de dados devem refletir o caminho percorrido pelo dado pessoal dentro da empresa, incluindo os processos e procedimentos pelos quais o dado transita. Ou seja, qual a origem (como foi capturado?), a base legal que respalda o tratamento deste dado pessoal, o nível de segurança da base de dados a qual o dado pertence, entre outras informações necessárias para a análise de vulnerabilidades técnicas e jurídicas.
O mapeamento de dados torna-se cada vez mais popular com a entrada em vigor das legislações de proteção de dados (GDPR, por exemplo). No Brasil, para atender aos requisitos de adequação à LGPD é imprescindível realizar o mapeamento de dados, uma vez que é este documento que nos dará um panorama geral de como a empresa está lidando com a questão da privacidade e segurança da informação.
Índice
- Quais são os principais objetivos do mapeamento de dados?
- Como elaborar um Mapeamento de Dados – Data Mapping?
- Templates para data mapping (Mapeamento de Dados)
- Qual o produto do inventário de dados?
- Referências – O que é Mapeamento de Dados
- Série LGPD na Prática
- Série LGPD na Prática: Como implementar Direitos e Garantias dos titulares de dados pessoais?
- Série LGPD na Prática: O que é e como fazer um RIPDP – Relatório de Impacto à Proteção de Dados Pessoais?
- Série LGPD na Prática: Plano de Respostas a Incidentes de Segurança em Dados Pessoais
- Série LGPD na Prática: Adequação de Contratos
- Série LGPD na Prática: Inventário de Regulamentações
- Série LGPD na Prática: DPO – Quem é, o que faz e quais as responsabilidades do Encarregado de Proteção de Dados?
- Série LGPD na Prática: Privacidade e Proteção de Dados na captação de recursos financeiros por Startups
- Série LGPD na Prática: Elaboração do Plano de Ação do Projeto de Implementação e Adequação à LGPD
- Para Assessoria Jurídica e Adequação às leis de Proteção de Dados (Consultoria LGPD), contate agora os nossos Advogados
- BL Consultoria e Advocacia Digital
Quais são os principais objetivos do mapeamento de dados?
Um dos principais objetivos do mapeamento de dados é diagnosticar a forma como a empresa lida com a privacidade e a segurança da informação de seus clientes, colaboradores e parceiros terceirizados, cumprindo, desta forma, a exigência constante no art. 37 da LGPD onde estipula que o controlador e o operador devem manter registro das operações de tratamento de dados pessoais que realizarem.
Algumas empresas desenvolveram softwares que auxiliam no mapeamento de dados. Aqui você pode encontrar o relatório completo sobre fornecedores de tecnologia de privacidade elaborado pelo iapp.
Vale lembrar que apesar desses softwares serem muito úteis, o processo de mapeamento é abrangente e requer uma análise humana mais profunda. Ademais, os dados físicos também precisam ser mapeados, sendo um dos pontos não cobertos por essas ferramentas.
Acesse agora a nossa RegWiki e saiba mais sobre regulação de Proteção de Dados!
Como elaborar um Mapeamento de Dados – Data Mapping?
Um mapeamento de dados deve ser elaborado em conjunto pelos múltiplos setores das empresas com auxílio técnico e jurídico para análises das possíveis vulnerabilidades encontradas.
A seguir, apresento alguns pontos essenciais [1] que devem estar contidos no mapeamento de dados.
| Tema | Item |
| Tipo de Dados | Categorias de dados trafegadas nesse fluxo (ex: cadastrais, transacionais, especiais, sensíveis, trabalhistas, etc.) |
| Volume de Dados | O volume de dados trafegados nesse fluxo e a frequência desse tráfego (ex: online, diária, semanal, mensal, etc.) |
| Etapas do fluxo de dados | Descrição das etapas de tratamento do fluxo: coleta, armazenagem, sanitização, enriquecimento, processamento, segmentação, inferências, transferências, descarte. |
| Tecnologias | Apontar as principais tecnologias utilizadas nesse fluxo de dados. (ex: sistemas, aplicações, bancos de dados que suportam o fluxo, etc.) |
| Locais de Armazenamento | Indicar os locais onde o dado é coletado, armazenado, tratado ou processado. Nesse momento, deve-se indicar se é internamente ou externamente. |
| Origem dos Dados | Indicar as principais origens dos dados (entradas) e canais de captura de dados (ex: site, aplicativos, estabelecimentos físicos, SAC, parceiros, empresas coligadas, etc.) |
| Campanhas de Marketing | Informar como os dados pessoais são tratados visando campanhas de marketing. Indicar quais os tipos de dados pessoais são utilizados. |
| Compartilhamento de dados com parceiros | Indicar os principais parceiros com os quais os dados são compartilhados – parceiros de negócio ou parceiros de tecnologia/dados (ex: slack, escritório de contabilidade terceirizado, emissor de NFe, etc.) |
| Empresas coligadas | Indicar as empresas coligadas do grupo econômico cujos dados são compartilhados entre si. |
| Localidades do tratamento | Indicar os países, estados e localidade onde sua empresa possui atividade. |
| Transferência Internacional de dados |
|
| Base legal | Indicar a base legal para realização do tratamento de dados referente ao fluxo descrito. |
| Política de Privacidade | A Política de privacidade referente ao fluxo descrito está atualizada e atende aos requisitos da LGPD? Ela está disponível em todas as fases da coleta de dados? |
| Dados de menores de idade | Identificar se no fluxo analisado há a coleta de dados pessoais de menores de idade (18 anos incompletos). Verificar se todos os registro possuem data de nascimento informada e válida. |
| Retenção e extinção de dados | Identificar a política de retenção e extinção (descarte) dos dados. Caso não existente, avaliar as boas práticas do setor da empresa e por categoria de dados. |
| Segurança da Informação | Identificar os principais controles de segurança da informação estabelecidos para proteger os dados coletados, armazenados, processados, compartilhados e transferidos. |
| Direito dos Titulares | Avaliar se o fluxo permite que o titular do dado pessoal tratado exerça seus direitos previstos nas normas de proteção de dados. |
Como dica para quem tá iniciando os estudos sobre mapeamento de dados, deixo o vídeo do Webinar “Realizando o mapeamento de dados” do Instituto Infnet e apresentação de Carolina Braga.
Templates para data mapping (Mapeamento de Dados)
A ICO (Information Commissioner’s Office) disponibiliza em seu site alguns templates de mapeamento de dados em conformidade com a GDPR. Para acessar os templates, clique aqui.
Se tiver dúvidas quanto ao preenchimento da planilha, entre em contato conosco através do email contato@blconsultoriadigital.com.br que prontamente iremos te auxiliar.
Qual o produto do inventário de dados?
Com as informações coletadas no processo do mapeamento de dados, é possível termos a dimensão de todos os dados que a empresa trata, gerando um fluxograma dos dados que será utilizado para a elaboração de documentos como: relatório de impacto de proteção de dados, política de gestão de crises, manual de procedimentos e controles internos em proteção de dados, entre outros. Veja o exemplo abaixo:
Imagem: Dados de processo do cliente e mapa de calor. Fonte: Aim4Gain.
Referências – O que é Mapeamento de Dados
[1] Adaptado de LGPD: Lei Geral de Proteção de Dados pessoais: manual de implementação. Viviane Nóbrega Maldonado (coord.). São Paulo: Thomson Reuters Brasil, 2019.
[2] https://www.aim4gain.com/blog/practical-advice-data-inventories-and-data-maps-part-2/
Série LGPD na Prática
Conheça a série LGPD na Prática, que tem por objetivo auxiliar na disseminação e compartilhamento de informações acerca da adequação dos procedimentos em atendimento à Lei Geral de Proteção de Dados – LGPD.
Para Assessoria Jurídica e Adequação às leis de Proteção de Dados (Consultoria LGPD), contate agora os nossos Advogados
Para mais informações ou se tiver dúvidas sobre Direito Digital, em especial acerca dos temas: Proteção de Dados (Consultoria LGPD), Aspectos Regulatórios e Compliance de novas tecnologias, entre em contato pelo e-mail contato@blconsultoriadigital.com.br ou fale com um Advogado online agora.
BL Consultoria e Advocacia Digital
Escritório jurídico voltado para o mundo conectado que busca auxiliar empresas e startups a desenvolverem seus projetos (Pesquisa, Desenvolvimento e Inovação) de forma ética e eficiente com atuação especializada em Direito Digital e Análise Regulatória para novas tecnologias. Estamos localizado em dois endereços: em São Paulo-SP, na Av. Paulista, 575 – conjunto 1903 – Bela Vista, CEP 01311-911 e em Campinas-SP, na Rua Antônio Lapa, 280 – 6o andar, Cambuí. Para mais informações ou consultoria jurídica com nossos advogados, agende uma reunião pelo link ou ligue +55 11 3090 5979.
