SLAP.law

Data Mapping e sua Importância para se Adequar à LGPD

O Data Mapping representa uma atividade fundamental em qualquer processo de adaptação à LGPD. Veja aqui como cumprir as exigências em relação ao mapeamento de dados.

O Data Mapping representa uma atividade fundamental em qualquer processo de adaptação à LGPD. Veja aqui como cumprir as exigências em relação ao mapeamento de dados.

Data mapping e sua relação com a Lei Geral de Proteção de Dados

Hoje se fala muito em estar adequado à Lei Geral de Proteção de Dados (LGPD) e, para tanto, a grande maioria dos empresários e empreendedores desconhecem que, para estar em conformidade com a legislação, exige-se muito mais que uma Política de Privacidade disponível no site. 

Até mesmo para confeccionar uma política de privacidade são necessários procedimentos anteriores, que requerem um profundo conhecimento do tratamento e fluxo de dados pessoais que uma empresa realiza. E é através do Data Mapping que se descobre como uma empresa realiza o tratamento de dados pessoais. Também se descobre quais os fluxos de dados pessoais, se há ou não compartilhamento de dados, entre outras informações. 

O que é Data Mapping?

O Data Mapping é, objetivamente, uma planilha, que contém todas as informações possíveis em relação ao tratamento de dados, de acordo com o que a lei exige que seja identificado. Essa relação pode ser representada de várias maneiras, por exemplo, com um diagrama, esboço ou mapa mental.

Mapear dados pessoais significa criar uma relação entre os dados processados ​​e outros aspectos da organização que os processa, como:

  • processos de negócios que usam dados pessoais;
  • pessoas autorizadas a tratar dados pessoais;
  • as operações de tratamento realizadas sobre os dados (por exemplo, aquisição, consulta, modificação, cancelamento, etc.);
  • os recursos ( ativos) usados ​​para processar os dados (por exemplo, infraestruturas físicas, hardware, software, PCs clientes, impressoras, etc.)

De qualquer forma, o mapeamento de dados pessoais é um processo que deve considerar quaisquer alterações que ocorram em uma ou mais das quatro áreas indicadas: processos, pessoas, operações e recursos.

Como identificar os dados que devem ser mapeados?

Por exemplo, você sabe qual é a origem dos dados usados para captação de clientela? Sua organização trata os dados conforme uma das bases legais que a lei prevê? Será mesmo que o tratamento dos dados pessoais da empresa precisa do consentimento expresso?

A organização efetua algum tipo de eliminação dos dados pessoais? A organização usa criptografia de dados? Há transferência internacional de dados?

Se você desconhece as respostas para essas perguntas, saiba que elas são imprescindíveis para a empresa estar em acordo com a lei. Através deste mapeamento de dados se identifica, também, todos os gaps que a empresa tem, isto é, tudo que tem que ser ajustado nos procedimentos internos e externos da organização, para que esta não sofra as consequências de não estar adequada à LGPD

E como funciona o DATA mapping? 

O Data Mapping faz parte de um dos passos para todo o projeto de implementação à LGPD. Sendo um dos primeiros e mais relevantes, pode ser feito através de entrevistas e questionários aos principais gestores da empresa. Por exemplo, os representantes dos recursos humanos, do marketing, do comercial, da área de suprimentos, todos estes tratam dados pessoais de alguma forma. Logo, devem se reportar ao responsável pelo plano de adequação, informando de toda a coleta, armazenamento, acesso, descarte e eliminação, que são realizados.

O responsável pela implementação do plano, por sua vez, organiza e compila todas as informações num documento (planilha) onde fica destacado tudo o que é feito pela empresa. A partir do documento concluído será possível visualizar todas as demais etapas do plano que precisam ser perfectibilizadas.

Por exemplo, ajustes nos contratos com os parceiros, eliminar dados pessoais quando necessário, viabilizar os direitos dos titulares de dados (direito exigido por lei), redação da política de privacidade, identificação da necessidade ou não do Relatório de Impacto à Privacidade, entre outros. 

Data Mapping: um exemplo prático

No mapeamento será descoberto se de alguma forma há o tratamento de dados sensíveis, tais como: origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político. Assim como, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural/física).

Se houver esse tipo de tratamento, conforme dispõe a lei, o simples consentimento genérico não é suficiente para possibilitar o tratamento. Será preciso mais que isso. Nesse sentido, é que o mapeamento dos dados possibilita a descoberta de todos os gaps da sua empresa. 

Outro exemplo, muito comum, é a ausência de descarte de dados pela Empresa. As organizações têm a cultura de armazenar os dados sem nunca eliminá-los. Saiba que isso nem sempre é possível. O tratamento de dados tem que ter um ciclo (início, meio e fim) e é através do mapeamento que será catalogado quando cada tipo de dado pessoal deverá ser eliminado. 

Conclusão

Assim, veja-se o quão importante é a empresa ter o Data Mapping – documento que cataloga o tratamento dos dados pessoais. Caso haja qualquer notificação pelo uso de dados pessoais, seja por um titular de dados pessoais ou seja pela Autoridade Nacional de Proteção de Dados, a resposta preferencialmente estará disponível para a organização no referido documento, com todo o fluxo de dados que ela precisa ter ciência.

Sem contar que é através do mapeamento que se descobre todas as falhas no tratamento que precisarão ser sanadas. 


Gostou deste conteúdo? No blog do Slap Law você encontra um hub de conteúdo sobre direito empresarial, startups, empreendedorismo e todos os aspectos da legislação importantes para quem está iniciando ou em pleno desenvolvimento de sua startup.

Compartilhe

Você também pode gostar!