fbpx Skip to main content
Mapeamento de DadosPrivacidade

Como mapear os dados para se adequar a LGPD?

By 21 de abril de 2021junho 10th, 2021No Comments

A Lei Geral de Proteção de Dados Pessoais (LGPD) é uma realidade no Brasil e todas as empresas que realizam o tratamento de dados pessoais precisam estar preparadas para recebê-la.

Já escrevemos sobre este tema no artigo Como se adequar a LGPD. Hoje, vamos detalhar como mapear os dados dos titulares, que é um importante passo do processo de adequação da empresa à LGPD.

Primeiramente, vamos entender o porquê é necessário mapear os dados. O objetivo principal deste processo é entender como funciona a estrutura da sua empresa e analisar o trajeto que os dados percorrem, desde a sua coleta (porta de entrada dos dados), à forma como são processados e tratados, até chegarmos ao seu descarte, para levantar quais dados são tratados pela empresa, quais atividades de tratamento são realizadas, quais dados são compartilhados, quem tem acesso aos dados, os riscos que um incidente de segurança pode ocasionar aos titulares, se os direitos dos titulares estão sendo atendidos e identificar as não conformidades (Gaps) com a lei. 

É através do mapeamento que a empresa entenderá o cenário de privacidade e proteção dos dados, elaborando assim, planos de ação para minimizar os riscos em cada etapa, criar processos para atender aos direitos dos titulares e resolver os Gaps, que são os pontos da lei que a empresa ainda não atende.

Podemos dizer que este é um dos principais pontos a serem levados em conta no processo de adequação à LGPD.

Identificação da jornada dos dados

 

Iniciando o processo de mapeamento, a empresa deverá identificar toda a jornada dos dados dos titulares:

  • Qual a origem dos dados e por quais canais são coletados? (site, aplicativos, atendimento, SAC, etc).
  • Eles estão categorizados? (dados pessoais, sensíveis, etc).
  • Qual a finalidade? Há base legal e necessidade de tratamento dos dados?
  • Como, por quem e para qual finalidade será realizado o tratamento dos dados?
  • Como são armazenados os dados na empresa?
  • Eles são compartilhados com alguém?
  • Existe um canal de fácil acesso entre sua empresa e o titular dos dados?
  • Há uma política de retenção, descarte e compartilhamento dos dados?
  • Já identificou quem poderá ter acesso aos dados e quais serão estes dados?
  • Existe um DPO (Data Protection Officer) na empresa que zelará pela privacidade da informação?

Mapeamento dos dados ou Data Mapping

 

Uma vez identificada como é a jornada da informação na sua empresa, agora é hora de começar a mapear todos os dados tratados. O ideal neste processo é contar com a colaboração de cada departamento de sua empresa: RH, Comercial, SAC, Marketing, Financeiro, e assim por diante. Este passo é importante pois cada um deles utiliza um tipo de dado específico para sua finalidade; também porque os processos de jornada e propósitos são diferentes. Por exemplo, é provável que o setor financeiro utilize dados como CPF, conta bancária e situação financeira, enquanto o Marketing, só necessite do e-mail para o envio de promoções. 

O papel do Departamento Jurídico também é muito importante, pois ele analisará, juntamente com o responsável pela adequação à LGPD, se as bases legais para cada finalidade de tratamento estão corretas e as possíveis vulnerabilidades dos processos e contratos, tanto com os titulares como com os operadores e controladores.

Após cada departamento organizar e descrever como utiliza e trata os dados dos titulares, o responsável pela adequação à LGPD poderá classificar as informações, dar recomendações sobre quem realmente precisa ter acesso a elas, implantar uma política de minimização de dados e até solicitar o descarte dos dados coletadas em excesso sem necessidade.

Sendo assim, é muito importante que o responsável pela adequação à Lei entenda todos os processos, cultura e objetivos da empresa e tenha conhecimento da LGPD, da legislação trabalhista, da legislação específica do setor ou que seja assessorado por uma consultoria especializada, além de contar com o comprometimento de todos os funcionários da empresa. Esse cenário é essencial para propor um Plano de Ação que reduza a probabilidade de ocorrerem incidentes de segurança que possam acarretar risco ou dano relevante, além de poder atender aos direitos dos titulares.

Principais pontos de mapeamento

 

Vamos elencar os principais pontos que devem ser considerados no mapeamento:

  • Classificar os tipos de dados: origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato, filiação a organização de caráter religioso, filosófico ou político, dados referentes à saúde, vida sexual,  genético ou biométrico, comprovação de identidade oficial (como por exemplo, número de RG, CPF, CNH), financeiro, nomes de usuário ou senhas de sistemas de informação, dado de geolocalização, etc.
  • Identificar os titulares: funcionários, prestadores de serviço, clientes, consumidores, usuários, pacientes de serviço de saúde, crianças ou adolescentes, etc.
  • Descrever as etapas do fluxo de dados: coleta, armazenamento, processamento, eliminação, etc.
  • Tecnologia: apontar quais as tecnologias utilizadas no fluxo de dados (banco de dados, planilha eletrônica, serviços em nuvem, papel, etc).
  • Armazenamento: identificar os locais de armazenamento dos dados (dentro da empresa, filiais, fornecedores). 
  • Origem: identificar por onde os dados são captados (site, comercial, recepção, telefone, e-mail, SAC, etc).
  • Tratamento: informar quais atividades são realizadas com os dados.
  • Compartilhamento: mapear se os dados são compartilhados e, em caso positivo, com quais parceiros, grupo econômico, governo, empresas e fornecedores de negócio e indicar se eles são operadores ou controladores do dado. 
  • Transferência internacional de dados: identificar se o controlador ou operador é internacional, além das plataformas em que podem ser compartilhados os dados, por exemplo, plataformas em nuvem, data centers, etc.
  • Localidade de tratamento: indicar os países onde o dado é tratado ou armazenado para poder identificar se os mesmos possuem leis compatíveis com a LGPD.
  • Política de retenção e extinção dos dados: estabelecer os prazos de retenção e extinção dos dados.
  • Segurança da informação: estabelecer os controles de segurança da informação para proteger os dados em poder da empresa ou de operadores.
  • Direito dos titulares: verificar se os dados estão armazenados de forma a permitir que o titular exerça seus direitos.
  • Transparência e Política de Privacidade: verificar se a política de privacidade descreve os dados, tratamentos, finalidades, compartilhamento conforme o levantamento no mapeamento e se essas informações são comunicadas aos titulares.

Precisa de um sistema para gerenciar seu programa de privacidade? Conheça a LGPD Azul.

Sua empresa está preparada?

 

Como vimos, existem muitos pontos e processos a serem mapeados. É um trabalho que exige atenção e comprometimento de todos, pois se a empresa não mapeia corretamente um determinado dado, processo, ou indica uma base legal que não esteja de acordo com o tratamento realizado, ela poderá ter prejuízos éticos, de reputação e financeiros. Por isso, a elaboração de um Plano de Ação bem estruturado deve ser feito pensando em soluções personalizadas para cada empresa e voltado a minimizar os riscos identificados internamente. Este poderá incluir mudanças na organização, tais como: novos processos, adequação de políticas comerciais e operacionais, nova política de privacidade, entre outras.

Contar com a supervisão de especialistas, tanto da área jurídica quanto técnica, é de extrema importância para que a adequação à LGPD seja eficaz. Em alguns casos, a contratação de uma consultoria ou a utilização de softwares específicos para adequação também poderá ser de grande valia para minimizar riscos de tempo e dinheiro do processo de adequação.