O mapeamento de dados, ou data mapping, é um inventário de dados ou uma formulação de documento essencial quando estamos preparando o caminho para a adequação às regras de proteção de dados estabelecidas pela LGPD.
Essa função é cada vez mais necessária para as empresas que pretendem “estar em conformidade” com a Lei Geral de Proteção de Dados Pessoais – LGPD. É esse documento que permitirá uma visão completa dos dados tratados dentro da empresa e mostrar como a questão de privacidade e segurança da informação está sendo levada em conta.
O mapeamento deve refletir o caminho seguido pelo dado dentro da empresa e dos procedimentos pelo qual transita. Deve mostrar a origem – onde foi obtido, que alterações sofre, qual a legalidade de sua manutenção, qual o nível de segurança de sua base de dados e, até, quando será excluído após uso. Isso dará uma clara visão das vulnerabilidades, ou qualidade de segurança, com relação a aspectos técnicos e/ou jurídicos.
O artigo 37 da LGPD determina que o controlador e o operador devam manter registro das operações de tratamento dos dados pessoais que executarem, sendo esse então o principal objetivo do mapeamento de dados. Assim o mapeamento dos dados tem como meta indicar e relatar a forma com que a empresa lida com os aspectos já citados de privacidade e segurança dos dados de seus clientes, colaboradores e terceirizados.
Algumas empresas de software desenvolveram aplicações que auxiliam nesse mapeamento, mas nada vai substituir a análise humana, pessoal e específica, que cada empresa precisará fazer dos dados sob sua guarda. Além disso, os dados físicos, em papel ou outro meio, também precisam ser analisados e isso, nenhum software vai fazer.
Como a lei europeia, GDPR, já está em ação há mais tempo, já foram desenvolvidas algumas planilhas que poderão ser utilizadas como referência e apoio nas atividades a serem desenvolvidas por nossas empresas. A ICO (Information Commissioner’s Office), órgão de controle inglês, tem disponível vários modelos em seu site.
Com as informações coletadas no processo do mapeamento de dados, é possível termos a dimensão de todos os dados que a empresa trata, gerando um fluxograma dos dados que será utilizado para a elaboração de documentos como: relatório de impacto de proteção de dados, política de gestão de crises, manual de procedimentos e controles internos em proteção de dados, entre outros.
Como fazer então, o mapeamento de dados?
Devemos iniciar o processo respondendo a algumas questões, que deverão identificar a estrutura atual e a maturidade no tratamento de dados da empresa:
– Inventariar os dados tratados pela empresa;
– Compreender o fluxo dos dados e o ciclo de vida dos dados;
– Por onde entram os dados e para que são coletados;
– Identificar onde os dados ficam armazenados (planilhas, banco de dados, outros);
– Quem são os responsáveis pela coleta e guarda dos dados;
– Identificar ferramentas e processos envolvidos no tratamento dos dados;
– Compreender o objetivo do negócio e identificar até que ponto a lei se aplica;
– Identificar quais dados são realmente necessários para o objetivo da empresa;
– Identificar como e quando os dados deixam de ser necessários;
– Criar processos claros para o descarte dos dados não mais necessários.
Dessa forma teremos uma base clara para os passos seguintes no caminho da conformidade, adequando ferramentas e sistemas para garantir a segurança da informação e a geração de rotinas de consentimento para uso dos dados.
O caminho para a conformidade não é pequeno e o tempo não é nosso aliado……
Mas podemos ajudar no processo. Bom trabalho!
