Se sua empresa quer estar adequada à LGPD, você precisa entender o que é um Data Mapping

Hoje se fala muito em estar adequado à Lei Geral de Proteção de Dados (LGPD) e, para tanto, a grande maioria dos empresários e empreendedores desconhecem que, para estar em conformidade com a legislação, exige-se muito mais que uma  Política de Privacidade disponível no site. 

Até mesmo para confeccionar uma política de privacidade são necessários procedimentos anteriores, que requerem um profundo conhecimento do tratamento e fluxo de dados pessoais que uma empresa realiza. E é através do Data Mapping que se descobre como uma empresa realiza o tratamento de dados pessoais. Também se descobre quais os fluxos de dados pessoais, se há ou não compartilhamento de dados, entre outras informações. 

O Data Mapping é, objetivamente, uma planilha, que contém todas as informações possíveis em relação ao tratamento de dados, de acordo com o que a lei exige que seja identificado. Por exemplo, você sabe qual é a origem dos dados usados para captação de clientela? Sua organização trata os dados conforme uma das bases legais que a lei prevê? Será mesmo que o tratamento dos dados pessoais da empresa precisa do consentimento expresso? A organização efetua algum tipo de eliminação dos dados pessoais? A organização usa criptografia de dados? Há transferência internacional de dados?

Se você desconhece as respostas para essas perguntas, saiba que elas são imprescindíveis para a empresa estar em acordo com a lei. Através deste mapeamento de dados se identifica, também, todos os gaps que a empresa tem, isto é, tudo que tem que ser ajustado nos procedimentos internos e externos da organização, para que esta não sofra as consequências de não estar adequada à LGPD. 

E como funciona o mapeamento de dados? 

O Data Mapping faz parte de um dos passos para todo o projeto de implementação à LGPD. Sendo um dos primeiros e mais relevantes, pode ser feito através de entrevistas e questionários aos principais gestores da empresa. Por exemplo, os representantes dos recursos humanos, do marketing, do comercial, da área de suprimentos, todos estes tratam dados pessoais de alguma forma e devem se reportar ao responsável pelo plano de adequação, informando de toda a coleta, armazenamento, acesso, descarte e eliminação, que são realizados.

O responsável pela implementação do plano, por sua vez, organiza e compila todas as informações num documento (planilha) onde fica destacado tudo o que é feito pela empresa. A partir do documento concluído será possível visualizar todas as demais etapas do plano que precisam ser perfectibilizadas. Por exemplo, ajustes nos contratos com os parceiros, eliminar dados pessoais quando necessário, viabilizar os direitos dos titulares de dados (direito exigido por lei), redação da política de privacidade, identificação da necessidade ou não do Relatório de Impacto à Privacidade, entre outros. 

Um exemplo prático: no mapeamento será descoberto se de alguma forma há o tratamento de dados sensíveis (origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural/física). Se houver esse tipo de tratamento, conforme dispõe a lei, o simples consentimento genérico não é suficiente para possibilitar o tratamento. Será preciso mais que isso. Nesse sentido, é que o mapeamento dos dados possibilita a descoberta de todos os gaps da sua empresa. 

Outro exemplo, muito comum, é a ausência de descarte de dados pela Empresa. As organizações têm a cultura de armazenar os dados sem nunca eliminá-los. Saiba que isso nem sempre é possível. O tratamento de dados tem que ter um ciclo (início, meio e fim) e é através do mapeamento que será catalogado quando cada tipo de dado pessoal deverá ser eliminado. 

Assim, veja-se o quão importante é a empresa ter o Data Mapping – documento que cataloga o tratamento dos dados pessoais. Caso haja qualquer notificação pelo uso de dados pessoais, seja por um titular de dados pessoais ou seja pela Autoridade Nacional de Proteção de Dados, a resposta preferencialmente estará disponível para a organização no referido documento, com todo o fluxo de dados que ela precisa ter ciência. Sem contar que é através do mapeamento que se descobre todas as falhas no tratamento que precisarão ser sanadas. 

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Veja mais insights do slap.LAW