O documento fornece informações sobre o que é mapeamento de dados, seus objetivos e como elaborar um mapa de dados para adequação à LGPD. Explica que o mapeamento de dados documenta o fluxo de dados pessoais na empresa e é essencial para análise de vulnerabilidades. Fornece detalhes sobre como preencher um mapa de dados, incluindo categorias de dados, volume, fluxo, tecnologias, segurança e mais.
2. BL Consultoria e
Advocacia Digital
O BL Consultoria Digital é um
escritório jurídico focado em Direito
Digital e Análise Regulatória para
novas tecnologias.
Trabalhamos com empresas e
startups, prestando consultoria e
assessoria jurídica voltadas à
prevenção e mitigação de litígios,
contando com uma rede de
parceiros jurídicos que formam um
sistema com soluções completas
para todos os segmentos de
negócios.
Sobre nós...
3. O que é o mapeamento de dados? (I)
O mapeamento de dados, ou ainda, o data mapping, data
flow ou inventário de dados referem-se a um documento
essencial quando estamos no processo de adequação às
normas de proteção de dados (LGPD, GDPR, CCPA).
O documento – ou planilha – de mapeamento de dados
devem refletir o caminho percorrido pelo dado pessoal
dentro da empresa, incluindo os processos e procedimentos
pelos quais o dado transita.
4. O que é o mapeamento de dados? (II)
Ou seja, qual a origem (como foi capturado?), a base legal
que respalda o tratamento deste dado pessoal, o nível de
segurança da base de dados a qual o dado pertence, entre
outras informações necessárias para a análise de
vulnerabilidades técnicas e jurídicas.
5. O que é o mapeamento de dados? (III)
O mapeamento de dados torna-se cada vez mais popular
com a entrada em vigor das legislações de proteção de
dados (GDPR, por exemplo). No Brasil, para atender aos
requisitos de adequação à LGPD é imprescindível realizar o
mapeamento de dados, uma vez que é este documento que
nos dará um panorama geral de como a empresa está
lidando com a questão da privacidade e segurança da
informação.
6. Quais são os principais objetivos do
mapeamento de dados? (I)
Um dos principais objetivos do mapeamento de dados é
diagnosticar a forma como a empresa lida com a
privacidade e a segurança da informação de seus clientes,
colaboradores e parceiros terceirizados, cumprindo, desta
forma, a exigência constante no art. 37 da LGPD onde
estipula que o controlador e o operador devem manter
registro das operações de tratamento de dados pessoais que
realizarem.
7. Quais são os principais objetivos do
mapeamento de dados? (II)
Algumas empresas desenvolveram softwares que auxiliam
no mapeamento de dados. Você pode encontrar o relatório
completo sobre fornecedores de tecnologia de privacidade
elaborado pelo iapp em seu site.
8. Quais são os principais objetivos do
mapeamento de dados? (III)
Vale lembrar que apesar desses softwares serem muito úteis,
o processo de mapeamento é abrangente e requer uma
análise humana mais profunda. Ademais, os dados físicos
também precisam ser mapeados, sendo um dos pontos não
cobertos por essas ferramentas.
9. Como elaborar um Data Mapping? (I)
Um mapeamento de dados deve ser elaborado em conjunto pelos
múltiplos setores das empresas com auxílio técnico e jurídico para
análises das possíveis vulnerabilidades encontradas. A seguir,
apresento alguns pontos essenciais [1] que devem estar contidos
no mapeamento de dados.
10. Como elaborar um Data Mapping? (II)
Tema Item
Tipo de Dados Categorias de dados trafegadas nesse fluxo (ex:
cadastrais, transacionais, especiais, sensíveis,
trabalhistas, etc.)
Volume de Dados O volume de dados trafegados nesse fluxo e a
frequência desse tráfego (ex: online, diária, semanal,
mensal, etc.)
11. Como elaborar um Data Mapping? (III)
Tema Item
Etapas do fluxo de Descrição das etapas de tratamento do fluxo: coleta,
Dados armazenagem, sanitização, enriquecimento,
processamento, segmentação, inferências,
transferências, descarte.
Tecnologias Apontar as principais tecnologias utilizadas nesse
fluxo de dados. (ex: sistemas, aplicações, bancos de
dados que suportam o fluxo, etc.)
12. Como elaborar um Data Mapping? (IV)
Tema Item
Locais de Indicar os locais onde o dado é coletado, armazenado,
Armazenamento tratado ou processado. Nesse momento, deve-se
indicar se é internamente ou externamente.
Origem dos Dados Indicar as principais origens dos dados (entradas) e
canais de captura de dados (ex: site, aplicativos,
estabelecimentos físicos, SAC, parceiros, empresas
coligadas, etc.)
13. Como elaborar um Data Mapping? (V)
Tema Item
Campanhas de Informar como os dados pessoais são tratados visando
Marketing campanhas de marketing. Indicar quais os tipos de
dados pessoais são utilizados.
Compartilhamento de Indicar os principais parceiros com os quais os dados
dados com parceiros são compartilhados – parceiros de negócio ou
parceiros de tecnologia/dados (ex: slack, escritório de
contabilidade terceirizado, emissor de NFe, etc.)
14. Como elaborar um Data Mapping? (VI)
Tema Item
Empresas coligadas Indicar as empresas coligadas do grupo econômico
cujos dados são compartilhados entre si.
Localidades do Indicar os países, estados e localidade onde sua
tratamento empresa possui atividade.
15. Como elaborar um Data Mapping? (VII)
Tema Item
Transferência - Plataformas de Cloud (ex: Amazon AWS, Microsoft
Internacional de dados Azure, Google Cloud);
- Data centers terceirizados;
- Software terceirizados
- Transferência de dados pessoais para a sede da
empresa no exterior.
Base legal Indicar a base legal para realização do tratamento de
dados referente ao fluxo descrito.
16. Como elaborar um Data Mapping? (VIII)
Tema Item
Política de Privacidade A Política de privacidade referente ao fluxo descrito
está atualizada e atende aos requisitos da LGPD? Ela
está disponível em todas as fases da coleta de dados?
Dados de menores de Identificar se no fluxo analisado há a coleta de dados
idade pessoais de menores de idade (18 anos incompletos).
Verificar se todos os registro possuem data de
nascimento informada e válida.
17. Como elaborar um Data Mapping? (IX)
Tema Item
Retenção e extinção Identificar a política de retenção e extinção (descarte)
de dados dos dados. Caso não existente, avaliar as boas práticas
do setor da empresa e por categoria de dados.
Segurança da Identificar os principais controles de segurança da
informação informação estabelecidos para proteger os dados
coletados, armazenados, processados, compartilhados
e transferidos.
18. Como elaborar um Data Mapping? (X)
Tema Item
Direito dos Titulares Avaliar se o fluxo permite que o titular do dado
pessoal tratado exerça seus direitos previstos nas
normas de proteção de dados.
19. Templates para data mapping
A ICO (Information Commissioner’s Office)
disponibiliza em seu site alguns templates de
mapeamento de dados em conformidade com a
GDPR.
Se tiver dúvidas quanto ao preenchimento da
planilha, entre em contato conosco através do email
contato@blconsultoriadigital.com.br
que prontamente iremos te auxiliar.
20. Qual o produto do inventário de
dados? (I)
Com as informações coletadas no processo do
mapeamento de dados, é possível termos a dimensão de
todos os dados que a empresa trata, gerando um
fluxograma dos dados que será utilizado para a elaboração
de documentos como: relatório de impacto de proteção de
dados, política de gestão de crises, manual de
procedimentos e controles internos em proteção de dados,
entre outros.
22. Referências – O que é Mapeamento de
Dados
[1] Adaptado de LGPD: Lei Geral de Proteção de Dados pessoais:
manual de implementação. Viviane Nóbrega Maldonado (coord.). São
Paulo: Thomson Reuters Brasil, 2019.
[2] https://www.aim4gain.com/blog/practical-advice-data-
inventories-and-data-maps-part-2/
23. Para saber mais sobre Proteção de
Dados, Análise Regulatória e Adaptação
à LGPD e GDPR
Para mais informações ou se tiver dúvidas sobre Direito Digital,
em especial acerca dos temas: Proteção de Dados
(LGPD & GDPR), Aspectos Regulatórios e Compliance de novas
tecnologias e regulação de criptoativos, entre em contato pelo
e-mail
contato@blconsultoriadigital.com.br.