O que é o mapeamento de dados?

mapeamento de dados

O mapeamento de dados, ou ainda, o data mapping, data flow ou inventário de dados referem-se a um documento essencial quando estamos no processo de adequação às normas de proteção de dados (LGPD, GDPR, CCPA).  O documento – ou planilha de mapeamento de dados devem refletir o caminho percorrido pelo dado pessoal dentro da empresa, incluindo os processos e procedimentos pelos quais o dado transita. Ou seja, qual a origem (como foi capturado?), a base legal que respalda o tratamento deste dado pessoal, o nível de segurança da base de dados a qual o dado pertence, entre outras informações necessárias para a análise de vulnerabilidades técnicas e jurídicas.

O mapeamento de dados torna-se cada vez mais popular com a entrada em vigor das legislações de proteção de dados (GDPR, por exemplo). No Brasil, para atender aos requisitos de adequação à LGPD é imprescindível realizar o mapeamento de dados, uma vez que é este documento que nos dará um panorama geral de como a empresa está lidando com a questão da privacidade e segurança da informação.

Assessoria Jurídica para Avaliação de Impacto à Proteção de Dados

Quais são os principais objetivos do mapeamento de dados?

Um dos principais objetivos do mapeamento de dados é diagnosticar a forma como a empresa lida com a privacidade e a segurança da informação de seus clientes, colaboradores e parceiros terceirizados, cumprindo, desta forma, a exigência constante no art. 37 da LGPD – Lei Geral de Proteção de Dados onde estipula que o controlador e o operador devem manter registro das operações de tratamento de dados pessoais que realizarem. 

Algumas empresas desenvolveram softwares que auxiliam no mapeamento de dados.  Aqui você pode encontrar o relatório completo sobre fornecedores de tecnologia de privacidade elaborado pelo iapp.

Vale lembrar que apesar desses softwares serem muito úteis, o processo de mapeamento é abrangente e requer uma análise humana mais profunda. Ademais, os dados físicos também precisam ser mapeados, sendo um dos pontos não cobertos por essas ferramentas. 

Como elaborar um Mapeamento de Dados – Data Mapping?

Um mapeamento de dados deve ser elaborado em conjunto pelos múltiplos setores das empresas com auxílio técnico e jurídico para análises das possíveis vulnerabilidades encontradas. 

A seguir, apresento alguns pontos essenciais [1] que devem estar contidos no mapeamento de dados. 

TemaItem
Tipo de DadosCategorias de dados trafegadas nesse fluxo (ex: cadastrais, transacionais, especiais, sensíveis, trabalhistas, etc.)
Volume de DadosO volume de dados trafegados nesse fluxo e a frequência desse tráfego (ex: online, diária, semanal, mensal, etc.)
Etapas do fluxo de dadosDescrição das etapas de tratamento do fluxo: coleta, armazenagem, sanitização, enriquecimento, processamento, segmentação, inferências, transferências, descarte.
TecnologiasApontar no mapeamento de dados as principais tecnologias utilizadas nesse fluxo de dados. (ex: sistemas, aplicações, bancos de dados que suportam o fluxo, etc.)
Locais de ArmazenamentoIndicar os locais onde o dado é coletado, armazenado, tratado ou processado. Nesse momento, deve-se indicar se é internamente ou externamente.
Origem dos DadosIndicar as principais origens dos dados (entradas) e canais de captura de dados (ex: site, aplicativos, estabelecimentos físicos, SAC, parceiros, empresas coligadas, etc.)
Campanhas de MarketingInformar como os dados pessoais são tratados visando campanhas de marketing. Indicar também no mapeamento de dados quais os tipos de dados pessoais são utilizados. 
Compartilhamento de dados com parceirosIndicar os principais parceiros com os quais os dados são compartilhados – parceiros de negócio ou parceiros de tecnologia/dados (ex: slack, escritório de contabilidade terceirizado, emissor de NFe, etc.)
Empresas coligadasIndicar no mapeamento de dados as empresas coligadas do grupo econômico cujos dados são compartilhados entre si.
Localidades do tratamentoIndicar os países, estados e localidade onde sua empresa possui atividade.
Transferência Internacional de dados
  • Plataformas de cloud (ex: amazon aws, microsoft azure, google cloud);
  • Data centers terceirizados;
  • Software terceirizados;
  • Transferência de dados pessoais para a sede da empresa no exterior.
Base legalIndicar a base legal para realização do tratamento de dados referente ao fluxo descrito.
Política de PrivacidadeA Política de privacidade referente ao fluxo descrito está atualizada e atende aos requisitos da LGPD? Ela está disponível em todas as fases da coleta de dados?
Dados de menores de idadeIdentificar se no fluxo analisado há a coleta de dados pessoais de menores de idade (18 anos incompletos). Verificar se todos os registro possuem data de nascimento informada e válida. 
Retenção e extinção de dadosIdentificar a política de retenção e extinção (descarte) dos dados. Caso não existente, avaliar as boas práticas do setor da empresa e por categoria de dados. 
Segurança da InformaçãoIdentificar os principais controles de segurança da informação estabelecidos para proteger os dados coletados, armazenados, processados, compartilhados e transferidos. 
Direito dos TitularesAvaliar se o fluxo permite que o titular do dado pessoal tratado exerça seus direitos previstos nas normas de proteção de dados.
Adequação à LGPD

Como dica para quem tá iniciando os estudos sobre mapeamento de dados, deixo o vídeo do Webinar “Realizando o mapeamento de dados” do Instituto Infnet e apresentação de Carolina Braga.

Templates para data mapping (Mapeamento de Dados)

A ICO (Information Commissioner’s Office) disponibiliza em seu site alguns templates de mapeamento de dados em conformidade com a GDPR. Para acessar os templates, clique aqui.

Planilha de Mapeamento de Dados

Se tiver dúvidas quanto ao preenchimento da planilha de mapemeanto de dados, entre em contato conosco através do email contato@blconsultoriadigital.com.br que prontamente iremos te auxiliar.

Qual o produto do inventário de dados?

Com as informações coletadas no processo do mapeamento de dados, é possível termos a dimensão de todos os dados que a empresa trata, gerando um fluxograma dos dados que será utilizado para a elaboração de documentos como: relatório de impacto de proteção de dados, política de gestão de crises, manual de procedimentos e controles internos em proteção de dados, entre outros. Veja o exemplo abaixo:

mapeamento de dados lgpd

Imagem: Mapeamento de dados – Dados de processo do cliente e mapa de calor. Fonte: Aim4Gain.

Referências – O que é Mapeamento de Dados

[1] Adaptado de LGPD: Lei Geral de Proteção de Dados pessoais: manual de implementação. Viviane Nóbrega Maldonado (coord.). São Paulo: Thomson Reuters Brasil, 2019.

[2] Practical Advice Data Inventories and Data Maps

Série LGPD na Prática

Conheça a série LGPD na Prática, que tem por objetivo auxiliar na disseminação e compartilhamento de informações acerca da adequação dos procedimentos em atendimento à Lei Geral de Proteção de Dados – LGPD.

Para Assessoria Jurídica e Adequação às leis de Proteção de Dados (Consultoria LGPD), contate agora os nossos Advogados

Para mais informações ou se tiver dúvidas sobre Direito Digital, em especial acerca dos temas: Proteção de Dados (Consultoria LGPD),  Aspectos Regulatórios e Compliance de novas tecnologias, entre em contato pelo e-mail contato@blconsultoriadigital.com.br  ou fale com um Advogado online agora.

BL Consultoria e Advocacia Digital

Escritório jurídico voltado para o mundo conectado que busca auxiliar empresas e startups a desenvolverem seus projetos (Pesquisa, Desenvolvimento e Inovação) de forma ética e eficiente com atuação especializada em Direito Digital e Análise Regulatória para novas tecnologias. Estamos localizado em dois endereços: em São Paulo-SP, na Av. Paulista, 575 – conjunto 1903 – Bela Vista, CEP 01311-911 e em Campinas-SP, na Rua Antônio Lapa, 280 – 6o andar, Cambuí. Para mais informações ou consultoria jurídica com nossos advogados, agende uma reunião pelo link ou ligue  +55 11 3090 5979.

Share on facebook
Share on twitter
Share on linkedin
Share on whatsapp
Share on telegram
Graziela Brandao
Graziela Brandao
Sócia Fundadora do BL ConsultoriaDigital (OAB/SP 374.780). Possui Mestrado em Ciências Humanas e Sociais Aplicadas pela Faculdade de Ciências Aplicadas da UNICAMP. Advogada com atuação profissional nas áreas de Direito Digital e Compliance Digital, com foco em proteção de dados, Compliance PLDFT e criptoativos. Especialista em Análise Regulatória para novas tecnologias. Possui certificação (DPDE) em Privacy and Data Protection pela EXIN. Pós-graduanda em Legal Tech: Direito, Inovação e Startups pela PUC-Minas. Professora coordenadora do Curso de Direito Digital e Indústria 4.0 da Escola Superior de Direito de Campinas.
Graziela Brandao
Graziela Brandao
Sócia Fundadora do BL ConsultoriaDigital (OAB/SP 374.780). Possui Mestrado em Ciências Humanas e Sociais Aplicadas pela Faculdade de Ciências Aplicadas da UNICAMP. Advogada com atuação profissional nas áreas de Direito Digital e Compliance Digital, com foco em proteção de dados, Compliance PLDFT e criptoativos. Especialista em Análise Regulatória para novas tecnologias. Possui certificação (DPDE) em Privacy and Data Protection pela EXIN. Pós-graduanda em Legal Tech: Direito, Inovação e Startups pela PUC-Minas. Professora coordenadora do Curso de Direito Digital e Indústria 4.0 da Escola Superior de Direito de Campinas.

Posts Relacionados

Fale Conosco

Categorias

Assine nossa Newsletter

Confira Mais Conteúdos