O mapeamento de dados, ou ainda, o data mapping, data flow ou inventário de dados referem-se a um documento essencial quando estamos no processo de adequação às normas de proteção de dados (LGPD, GDPR, CCPA). O documento – ou planilha de mapeamento de dados devem refletir o caminho percorrido pelo dado pessoal dentro da empresa, incluindo os processos e procedimentos pelos quais o dado transita. Ou seja, qual a origem (como foi capturado?), a base legal que respalda o tratamento deste dado pessoal, o nível de segurança da base de dados a qual o dado pertence, entre outras informações necessárias para a análise de vulnerabilidades técnicas e jurídicas.
O mapeamento de dados torna-se cada vez mais popular com a entrada em vigor das legislações de proteção de dados (GDPR, por exemplo). No Brasil, para atender aos requisitos de adequação à LGPD é imprescindível realizar o mapeamento de dados, uma vez que é este documento que nos dará um panorama geral de como a empresa está lidando com a questão da privacidade e segurança da informação.
Índice
- Quais são os principais objetivos do mapeamento de dados?
- Como elaborar um Mapeamento de Dados – Data Mapping?
- Templates para data mapping (Mapeamento de Dados)
- Qual o produto do inventário de dados?
- Referências – O que é Mapeamento de Dados
- Série LGPD na Prática
- Série LGPD na Prática: Como implementar Direitos e Garantias dos titulares de dados pessoais?
- Série LGPD na Prática: O que é e como fazer um RIPDP – Relatório de Impacto à Proteção de Dados Pessoais?
- Série LGPD na Prática: Plano de Respostas a Incidentes de Segurança em Dados Pessoais
- Série LGPD na Prática: Adequação de Contratos
- Série LGPD na Prática: Inventário de Regulamentações
- Série LGPD na Prática: DPO – Quem é, o que faz e quais as responsabilidades do Encarregado de Proteção de Dados?
- Série LGPD na Prática: Privacidade e Proteção de Dados na captação de recursos financeiros por Startups
- Série LGPD na Prática: Elaboração do Plano de Ação do Projeto de Implementação e Adequação à LGPD
- Para Assessoria Jurídica e Adequação às leis de Proteção de Dados (Consultoria LGPD), contate agora os nossos Advogados
- BL Consultoria e Advocacia Digital
Quais são os principais objetivos do mapeamento de dados?
Um dos principais objetivos do mapeamento de dados é diagnosticar a forma como a empresa lida com a privacidade e a segurança da informação de seus clientes, colaboradores e parceiros terceirizados, cumprindo, desta forma, a exigência constante no art. 37 da LGPD – Lei Geral de Proteção de Dados onde estipula que o controlador e o operador devem manter registro das operações de tratamento de dados pessoais que realizarem.
Algumas empresas desenvolveram softwares que auxiliam no mapeamento de dados. Aqui você pode encontrar o relatório completo sobre fornecedores de tecnologia de privacidade elaborado pelo iapp.
Vale lembrar que apesar desses softwares serem muito úteis, o processo de mapeamento é abrangente e requer uma análise humana mais profunda. Ademais, os dados físicos também precisam ser mapeados, sendo um dos pontos não cobertos por essas ferramentas.
Como elaborar um Mapeamento de Dados – Data Mapping?
Um mapeamento de dados deve ser elaborado em conjunto pelos múltiplos setores das empresas com auxílio técnico e jurídico para análises das possíveis vulnerabilidades encontradas.
A seguir, apresento alguns pontos essenciais [1] que devem estar contidos no mapeamento de dados.
| Tema | Item |
| Tipo de Dados | Categorias de dados trafegadas nesse fluxo (ex: cadastrais, transacionais, especiais, sensíveis, trabalhistas, etc.) |
| Volume de Dados | O volume de dados trafegados nesse fluxo e a frequência desse tráfego (ex: online, diária, semanal, mensal, etc.) |
| Etapas do fluxo de dados | Descrição das etapas de tratamento do fluxo: coleta, armazenagem, sanitização, enriquecimento, processamento, segmentação, inferências, transferências, descarte. |
| Tecnologias | Apontar no mapeamento de dados as principais tecnologias utilizadas nesse fluxo de dados. (ex: sistemas, aplicações, bancos de dados que suportam o fluxo, etc.) |
| Locais de Armazenamento | Indicar os locais onde o dado é coletado, armazenado, tratado ou processado. Nesse momento, deve-se indicar se é internamente ou externamente. |
| Origem dos Dados | Indicar as principais origens dos dados (entradas) e canais de captura de dados (ex: site, aplicativos, estabelecimentos físicos, SAC, parceiros, empresas coligadas, etc.) |
| Campanhas de Marketing | Informar como os dados pessoais são tratados visando campanhas de marketing. Indicar também no mapeamento de dados quais os tipos de dados pessoais são utilizados. |
| Compartilhamento de dados com parceiros | Indicar os principais parceiros com os quais os dados são compartilhados – parceiros de negócio ou parceiros de tecnologia/dados (ex: slack, escritório de contabilidade terceirizado, emissor de NFe, etc.) |
| Empresas coligadas | Indicar no mapeamento de dados as empresas coligadas do grupo econômico cujos dados são compartilhados entre si. |
| Localidades do tratamento | Indicar os países, estados e localidade onde sua empresa possui atividade. |
| Transferência Internacional de dados |
|
| Base legal | Indicar a base legal para realização do tratamento de dados referente ao fluxo descrito. |
| Política de Privacidade | A Política de privacidade referente ao fluxo descrito está atualizada e atende aos requisitos da LGPD? Ela está disponível em todas as fases da coleta de dados? |
| Dados de menores de idade | Identificar se no fluxo analisado há a coleta de dados pessoais de menores de idade (18 anos incompletos). Verificar se todos os registro possuem data de nascimento informada e válida. |
| Retenção e extinção de dados | Identificar a política de retenção e extinção (descarte) dos dados. Caso não existente, avaliar as boas práticas do setor da empresa e por categoria de dados. |
| Segurança da Informação | Identificar os principais controles de segurança da informação estabelecidos para proteger os dados coletados, armazenados, processados, compartilhados e transferidos. |
| Direito dos Titulares | Avaliar se o fluxo permite que o titular do dado pessoal tratado exerça seus direitos previstos nas normas de proteção de dados. |
Como dica para quem tá iniciando os estudos sobre mapeamento de dados, deixo o vídeo do Webinar “Realizando o mapeamento de dados” do Instituto Infnet e apresentação de Carolina Braga.
Templates para data mapping (Mapeamento de Dados)
A ICO (Information Commissioner’s Office) disponibiliza em seu site alguns templates de mapeamento de dados em conformidade com a GDPR. Para acessar os templates, clique aqui.
Planilha de Mapeamento de Dados
Se tiver dúvidas quanto ao preenchimento da planilha de mapemeanto de dados, entre em contato conosco através do email contato@blconsultoriadigital.com.br que prontamente iremos te auxiliar.
Qual o produto do inventário de dados?
Com as informações coletadas no processo do mapeamento de dados, é possível termos a dimensão de todos os dados que a empresa trata, gerando um fluxograma dos dados que será utilizado para a elaboração de documentos como: relatório de impacto de proteção de dados, política de gestão de crises, manual de procedimentos e controles internos em proteção de dados, entre outros. Veja o exemplo abaixo:
Imagem: Mapeamento de dados – Dados de processo do cliente e mapa de calor. Fonte: Aim4Gain.
Referências – O que é Mapeamento de Dados
[1] Adaptado de LGPD: Lei Geral de Proteção de Dados pessoais: manual de implementação. Viviane Nóbrega Maldonado (coord.). São Paulo: Thomson Reuters Brasil, 2019.
[2] Practical Advice Data Inventories and Data Maps
Série LGPD na Prática
Conheça a série LGPD na Prática, que tem por objetivo auxiliar na disseminação e compartilhamento de informações acerca da adequação dos procedimentos em atendimento à Lei Geral de Proteção de Dados – LGPD.
Para Assessoria Jurídica e Adequação às leis de Proteção de Dados (Consultoria LGPD), contate agora os nossos Advogados
Para mais informações ou se tiver dúvidas sobre Direito Digital, em especial acerca dos temas: Proteção de Dados (Consultoria LGPD), Aspectos Regulatórios e Compliance de novas tecnologias, entre em contato pelo e-mail contato@blconsultoriadigital.com.br ou fale com um Advogado online agora.
BL Consultoria e Advocacia Digital
Escritório jurídico voltado para o mundo conectado que busca auxiliar empresas e startups a desenvolverem seus projetos (Pesquisa, Desenvolvimento e Inovação) de forma ética e eficiente com atuação especializada em Direito Digital e Análise Regulatória para novas tecnologias. Estamos localizado em dois endereços: em São Paulo-SP, na Av. Paulista, 575 – conjunto 1903 – Bela Vista, CEP 01311-911 e em Campinas-SP, na Rua Antônio Lapa, 280 – 6o andar, Cambuí. Para mais informações ou consultoria jurídica com nossos advogados, agende uma reunião pelo link ou ligue +55 11 3090 5979.
