O que é o mapeamento de dados?

Compartilhe!

O mapeamento de dados, ou ainda, o data mapping, data flow ou inventário de dados referem-se a um documento essencial quando estamos no processo de adequação às normas de proteção de dados (LGPD, GDPR, CCPA).  O documento – ou planilha – de mapeamento de dados devem refletir o caminho percorrido pelo dado pessoal dentro da empresa, incluindo os processos e procedimentos pelos quais o dado transita. Ou seja, qual a origem (como foi capturado?), a base legal que respalda o tratamento deste dado pessoal, o nível de segurança da base de dados a qual o dado pertence, entre outras informações necessárias para a análise de vulnerabilidades técnicas e jurídicas.

mapeamento de dados lgpd
O mapeamento de dados refere-se a um documento essencial quando estamos no processo de adequação às normas de proteção de dados, como a LGPD no Brasil.

O mapeamento de dados torna-se cada vez mais popular com a entrada em vigor das legislações de proteção de dados (GDPR, por exemplo). No Brasil, para atender aos requisitos de adequação à LGPD é imprescindível realizar o mapeamento de dados, uma vez que é este documento que nos dará um panorama geral de como a empresa está lidando com a questão da privacidade e segurança da informação.

Quais são os principais objetivos do mapeamento de dados?

Um dos principais objetivos do mapeamento de dados é diagnosticar a forma como a empresa lida com a privacidade e a segurança da informação de seus clientes, colaboradores e parceiros terceirizados, cumprindo, desta forma, a exigência constante no art. 37 da LGPD onde estipula que o controlador e o operador devem manter registro das operações de tratamento de dados pessoais que realizarem. 

Algumas empresas desenvolveram softwares que auxiliam no mapeamento de dados.  Aqui você pode encontrar o relatório completo sobre fornecedores de tecnologia de privacidade elaborado pelo iapp.

Vale lembrar que apesar desses softwares serem muito úteis, o processo de mapeamento é abrangente e requer uma análise humana mais profunda. Ademais, os dados físicos também precisam ser mapeados, sendo um dos pontos não cobertos por essas ferramentas. 

Acesse agora a nossa RegWiki e saiba mais sobre regulação de Proteção de Dados!

Como elaborar um Data Mapping?

Um mapeamento de dados deve ser elaborado em conjunto pelos múltiplos setores das empresas com auxílio técnico e jurídico para análises das possíveis vulnerabilidades encontradas. 

A seguir, apresento alguns pontos essenciais [1] que devem estar contidos no mapeamento de dados. 

TemaItem
Tipo de DadosCategorias de dados trafegadas nesse fluxo (ex: cadastrais, transacionais, especiais, sensíveis, trabalhistas, etc.)
Volume de DadosO volume de dados trafegados nesse fluxo e a frequência desse tráfego (ex: online, diária, semanal, mensal, etc.)
Etapas do fluxo de dadosDescrição das etapas de tratamento do fluxo: coleta, armazenagem, sanitização, enriquecimento, processamento, segmentação, inferências, transferências, descarte.
TecnologiasApontar as principais tecnologias utilizadas nesse fluxo de dados. (ex: sistemas, aplicações, bancos de dados que suportam o fluxo, etc.)
Locais de ArmazenamentoIndicar os locais onde o dado é coletado, armazenado, tratado ou processado. Nesse momento, deve-se indicar se é internamente ou externamente.
Origem dos DadosIndicar as principais origens dos dados (entradas) e canais de captura de dados (ex: site, aplicativos, estabelecimentos físicos, SAC, parceiros, empresas coligadas, etc.)
Campanhas de MarketingInformar como os dados pessoais são tratados visando campanhas de marketing. Indicar quais os tipos de dados pessoais são utilizados. 
Compartilhamento de dados com parceirosIndicar os principais parceiros com os quais os dados são compartilhados – parceiros de negócio ou parceiros de tecnologia/dados (ex: slack, escritório de contabilidade terceirizado, emissor de NFe, etc.)
Empresas coligadasIndicar as empresas coligadas do grupo econômico cujos dados são compartilhados entre si.
Localidades do tratamentoIndicar os países, estados e localidade onde sua empresa possui atividade.
Transferência Internacional de dados
  • Plataformas de cloud (ex: amazon aws, microsoft azure, google cloud);
  • Data centers terceirizados;
  • Software terceirizados;
  • Transferência de dados pessoais para a sede da empresa no exterior.
Base legalIndicar a base legal para realização do tratamento de dados referente ao fluxo descrito.
Política de PrivacidadeA Política de privacidade referente ao fluxo descrito está atualizada e atende aos requisitos da LGPD? Ela está disponível em todas as fases da coleta de dados?
Dados de menores de idadeIdentificar se no fluxo analisado há a coleta de dados pessoais de menores de idade (18 anos incompletos). Verificar se todos os registro possuem data de nascimento informada e válida. 
Retenção e extinção de dadosIdentificar a política de retenção e extinção (descarte) dos dados. Caso não existente, avaliar as boas práticas do setor da empresa e por categoria de dados. 
Segurança da InformaçãoIdentificar os principais controles de segurança da informação estabelecidos para proteger os dados coletados, armazenados, processados, compartilhados e transferidos. 
Direito dos TitularesAvaliar se o fluxo permite que o titular do dado pessoal tratado exerça seus direitos previstos nas normas de proteção de dados.

Como dica para quem tá iniciando os estudos sobre mapeamento de dados, deixo o vídeo do Webinar “Realizando o mapeamento de dados” do Instituto Infnet e apresentação de Carolina Braga.

Templates para data mapping (Mapeamento de Dados)

A ICO (Information Commissioner’s Office) disponibiliza em seu site alguns templates de mapeamento de dados em conformidade com a GDPR. Para acessar os templates, clique aqui.

Se tiver dúvidas quanto ao preenchimento da planilha, entre em contato conosco através do email contato@blconsultoriadigital.com.br que prontamente iremos te auxiliar.

Qual o produto do inventário de dados?

Com as informações coletadas no processo do mapeamento de dados, é possível termos a dimensão de todos os dados que a empresa trata, gerando um fluxograma dos dados que será utilizado para a elaboração de documentos como: relatório de impacto de proteção de dados, política de gestão de crises, manual de procedimentos e controles internos em proteção de dados, entre outros. Veja o exemplo abaixo:

mapeamento de dados lgpd

Imagem: Dados de processo do cliente e mapa de calor. Fonte: Aim4Gain.

Referências – O que é Mapeamento de Dados

[1] Adaptado de LGPD: Lei Geral de Proteção de Dados pessoais: manual de implementação. Viviane Nóbrega Maldonado (coord.). São Paulo: Thomson Reuters Brasil, 2019.

[2] https://www.aim4gain.com/blog/practical-advice-data-inventories-and-data-maps-part-2/

Série LGPD na Prática

Conheça a série LGPD na Prática, que tem por objetivo auxiliar na disseminação e compartilhamento de informações acerca da adequação dos procedimentos em atendimento à Lei Geral de Proteção de Dados – LGPD.

Para Assessoria Jurídica e Adequação à LGPD contate nossos Advogados

Para mais informações ou se tiver dúvidas sobre Direito Digital, em especial acerca dos temas: Proteção de Dados ( LGPD ) ,  Aspectos Regulatórios e Compliance de novas tecnologias, entre em contato pelo e-mail contato@blconsultoriadigital.com.br  ou fale com um Advogado online agora.

BL Consultoria e Advocacia Digital

Escritório jurídico voltado para o mundo conectado que busca auxiliar empresas e startups a desenvolverem seus projetos (Pesquisa, Desenvolvimento e Inovação) de forma ética e eficiente com atuação especializada em Direito Digital e Análise Regulatória para novas tecnologias. Estamos localizado em dois endereços: em São Paulo-SP, na Av. Paulista, 575 – conjunto 1903 – Bela Vista, CEP 01311-911 e em Campinas-SP, na Rua Antônio Lapa, 280 – 6o andar, Cambuí. Para mais informações ou consultoria jurídica com nossos advogados, agende uma reunião pelo link ou ligue  +55 11 3090 5979.


Compartilhe!