Mapeamento de dados: o que é e qual sua importância na LGPD

Com a entrada em vigor da Lei Geral de Proteção de Dados (LGPD), o processo de adequação à lei passou a ser uma urgência e uma necessidade para todas as empresas e organizações. O primeiro passo na jornada para estar em conformidade com a LGPD é o mapeamento de dados pessoais.

O mapeamento é o processo pelo qual é possível conhecer de maneira aprofundada as atividades de tratamento de dados da organização. Isto é, entender quais dados pessoais são manipulados e por onde trafegam, identificando, em detalhes, os fluxos existentes no interior e para fora da empresa.

Neste artigo, nós vamos falar um pouco mais sobre o que é o mapeamento de dados e qual é a sua importância na adequação à LGPD.

Fale conosco

Faça um diagnóstico

O que é mapeamento de dados?

O mapeamento de dados, também conhecido como data mapping ou inventário de dados, é a análise do caminho que o dado pessoal percorre desde o momento em que é coletado pela organização até o seu descarte (ou não, visto que muitos dados ficam armazenados por prazo indeterminado, o que vai contra a legislação).

Ou seja, o mapeamento permite entender como os dados pessoais são coletados e como se movem pela empresa. Identifica-se, assim, se os dados manuseados são de clientes, colaboradores, diretores, parceiros e outros.

O objetivo principal desse processo é identificar a origem dos dados e os canais utilizados para coleta, quais dados são tratados, por onde eles fluem, com quem são compartilhados e onde e em quais formatos estão armazenados.

Além disso, o mapeamento de dados permite analisar quais as categorias dos dados que estão de posse da empresa, com qual finalidade eles são coletados, qual a hipótese legal que justifica o tratamento dos dados e o grau de risco envolvido na coleta de cada informação.

Qual a importância do mapeamento de dados para a LGPD?

Fazer um mapeamento de dados é primordial para estar em conformidade com a LGPD. Afinal, o conhecimento adquirido no mapeamento de dados é o que permite criar um plano de governança e de adequação à lei.

Sem o data mapping, não é possível identificar os riscos aos quais a empresa está exposta, como tratamento irregular, coleta desnecessária de dados sensíveis, o uso de sistemas de armazenamento suscetíveis a invasões ou até mesmo problemas relacionados à contratação de terceiros.

A partir do mapeamento de dados, é possível definir qual é o melhor caminho para a adequação à lei, de forma efetiva.

Além disso, o mapeamento de dados também garante à organização ter clareza e entendimento na gestão dos dados. Afinal de contas, só é possível proteger aquilo que se conhece.

Como fazer o mapeamento de dados na prática

Equipe multidisciplinar

Primeiro, é importante entender que o mapeamento de dados deve ser um trabalho multidisciplinar. Ou seja, realizado em conjunto com vários setores da empresa, com ajuda técnica e jurídica para análise das possíveis vulnerabilidades que sejam encontradas.

Se quiser ampliar a discussão sobre este assunto, leia o nosso artigo “Adequação à LGPD: é melhor fazer com o time interno ou contratar uma consultoria?”.

Abordagem por departamento

Sugere-se que a coleta de informações seja feita conforme os departamentos da organização. Isto porque deve-se identificar os fluxos que perpassam cada setor, inclusive aqueles que iniciam em um e terminam ou são compartilhados em outro.

Cada setor tem as suas particularidades e trata os dados de forma diferente, por mais padronizados que sejam os processos dentro da empresa. Essas distinções não podem ser ignoradas e devem ser identificadas para a elaboração de um plano de ação completo e eficaz.

Diagnóstico de dados

Com o plano de ação feito, os responsáveis técnicos e jurídicos pela adequação serão capazes de fazer o processo de mapeamento em si. Isso inclui:

Aplicar questionários e entrevistas para mapear todo o clico de vida dos dados pessoais dentro da empresa;
Entender como é feito o compartilhamento dos dados com terceiros;
Organizar e classificar as informações, identificando as bases legais da LGPD que justificam o tratamento daqueles dados;
Avaliar os documentos já existentes (normas, políticas, processos, procedimentos, contratos, etc.);
Fazer a identificação de ativos e o mapeamento da topologia (servidores, aplicações e serviços).

Avaliação de riscos

Com base nessa análise, é possível identificar riscos e descartar a coleta de dados que não sejam necessários ou cujo tratamento não esteja em conformidade com a lei.

Além disso, é preciso avaliar todas as vulnerabilidades apontadas em relação à Segurança da Informação, que é um dos pontos mais importantes da adequação à LGPD. Afinal, é preciso garantir que os dados estejam seguros, minimizando o risco de vazamentos, perda e roubo de dados.

Nesse sentido, um ponto importante é definir o acesso aos dados pessoais. Com o mapeamento feito, é preciso entender quem realmente necessita acessar determinado dado pessoal dentro da empresa, restringindo ao máximo o acesso a dados de terceiros. Isso ajuda a minimizar o risco de vazamentos.

Onde buscar ajuda para iniciar o mapeamento?

Fazer o mapeamento de dados é o primeiro e mais importante passo na adequação à LGPD.

Por isso, é importante que a equipe responsável pelo data mapping e pelo programa de conformidade tenha uma base técnica sólida e uma compreensão aprofundada do negócio e das rotinas da empresa. Portanto, a escolha desse time deve ser feita com muita responsabilidade.

Aqui na Get Privacy contamos com equipe multidisciplinar especializada em proteção de dados pessoais e práticas de governança, oferecendo soluções personalizadas que abrangem três pilares imprescindíveis à adequação: jurídico, compliance e segurança da informação.

Fale conosco para saber como podemos ajudar a sua empresa na adequação à LGPD.

Ligue para (41) 2391-0966 (Whatsapp) ou escreva para a gente.