mãos tocando um tablet e fazendo mapeamento de dados

O que é e como fazer um mapeamento de dados?

Uma das primeiras e cruciais etapas em um projeto de adequação à LGPD é o mapeamento de dados ou data-mapping. Essa prática, além de ser primeiramente uma obrigação legal, conforme o art. 37 da LGPD e regulamentações da ANPD, revela-se como um instrumento valioso para as empresas aprimorarem processos e fortalecerem a segurança no tratamento de dados pessoais.

O mapeamento de dados não é apenas uma formalidade legal, é principalmente uma oportunidade estratégica para aprimorar a eficiência no tratamento de dados. Essencialmente, consiste em identificar, documentar e visualizar o fluxo de dados dentro da organização, desde a coleta até a exclusão.

O que é o ROPA?

No contexto global de regulamentação de privacidade e proteção de dados, costumeiramente é usada a nomenclatura do ROPA (Record Of Processing Activities) para se referir ao “registro das operações de tratamento de dados pessoais” do qual diz respeito o art. 37 da LGPD.

Aproveitando-se das diretrizes da legislação europeia (Art. 30 GDPR), o conceito do ROPA destaca-se como um “diário” das atividades de tratamento. Nesse sentido, a harmonização com padrões internacionais torna-se valor de grande relevância para muitas organizações multinacionais, demandando uma abordagem holística na gestão de dados.

É importante distinguir os conceitos entre mapeamento de dados e ROPA, pois o primeiro abrange um ecossistema mais amplo, envolvendo uma série de elementos como mapas visuais de fluxo de dados, adequação a normas ISO, NIST, entre outros.

O processo do ROPA não é meramente burocrático, ele é essencial para demonstrar como a coleta, uso e exclusão de dados são conduzidos. Esses registros não apenas atestam a conformidade, mas também desempenham um papel crucial como subsídio em procedimentos fiscalizatórios da Autoridade Nacional de Proteção de Dados (ANPD) e até mesmo no cumprimento de obrigações perante os titulares de dados.

 

 LEIA TAMBÉM: Comitê de Privacidade e Proteção de Dados Pessoais: o que é, afinal? 

 

A importância da realização de um mapeamento de dados

Seja para grandes corporações ou negócios menores, a criação acessível dos registros de mapeamento de dados é uma parte vital do processo de conformidade com a legislação.

Pequenas empresas se beneficiam de um modelo simplificado de registro de operações de tratamento de dados pessoais, especialmente destinado aos Agentes de Tratamento de Pequeno Porte (ATPP), obedecendo regulamento específico da ANPD. Essa abordagem simplificada visa tornar o processo mais acessível, incluindo apenas campos essenciais para que a ANPD, em suas atividades fiscalizatórias, receba as informações básicas para o exercício das atividades fiscalizatórias.

Já para empresas de maior porte, a automação desse processo é estratégica, transformando o documento em constante evolução. Ferramentas especializadas, como o One Trust, tornam-se estratégicas para corporações com tratamento de dados mais complexo, oferecendo automação, monitoramento contínuo e adaptação às mudanças regulatórias, assegurando uma gestão robusta e ágil da privacidade e proteção de dados.

 

O que inclui um mapeamento de dados?

  • Atores envolvidos: a identificação dos agentes de tratamento e do encarregado, fornecendo clareza sobre as responsabilidades e envolvimento de cada parte no processamento de dados, bem como sua posição como controlador e operador conforme a legislação;
  • Finalidade: a definição explícita do propósito para o qual a instituição utiliza os dados pessoais, assegurando transparência e alinhamento com as expectativas dos titulares;
  • Base legal: hipótese que autoriza o tratamento, referindo-se aos artigos 7º e 11 da LGPD, garantindo conformidade com as disposições legais;
  • Tipos de Dados Pessoais envolvidos no tratamento;
  • Categorias de titulares;
  • Tempo de retenção;
  • Método de descarte;
  • Identificação das instituições com as quais os dados pessoais são compartilhados, destacando parcerias e fluxos de dados externos;
  • Existência de transferência internacional de dados;
  • Medidas de segurança adotadas atualmente.

 

Passo a Passo de um Mapeamento de Dados

O processo de mapeamento de dados pode ser conduzido de maneira eficaz, seguindo as seguintes etapas:

 

1. Identificação dos setores envolvidos

Inicie identificando os setores da organização responsáveis por atividades de tratamento de dados pessoais. Nesta etapa, é crucial sensibilizar desde lideranças até as pessoas da linha de frente da operação que lidam com dados pessoais. Só assim será possível compreender os fluxos de dados de uma organização para estabelecer uma base sólida de conformidade.

 

2. Entrevistas com gestores, líderes e colaboradores do operacional e formalização de documento com as atividades de tratamento

Em seguida, será necessário conduzir entrevistas detalhadas com gestores líderes e colaboradores do operacional desses setores. Essas conversas possibilitam o regular preenchimento dos documentos, discriminando as informações mencionadas no último tópico.

Mas além do cumprimento dos requisitos legais de preenchimento do documento, essa etapa deve ser muito bem conduzida de forma a buscar produzir insights valiosos sobre as práticas atuais, desafios e requisitos específicos de cada área.

 

3. Mapeamento dos fluxos de dados

Após as entrevistas, será possível realizar o mapeamento minucioso dos fluxos de dados. Isso envolve entender como os dados entram, são processados e eventualmente excluídos em cada setor identificado, incluindo fluxos dentro da mesma organização, bem como o compartilhamento para organizações externas.

 

4. Visualização dos dados em mapa e apontamento de lacunas

Finalmente, mapeados os fluxos, é viável criar uma visualização clara dos dados coletados e das atividades de tratamento. Essa representação gráfica oferece uma compreensão intuitiva de como os dados fluem pela organização, identificando pontos críticos e oportunidades de otimização.

Ao seguir essas etapas de maneira diligente, a organização não apenas atende aos requisitos legais, mas também estabelece uma base sólida para uma gestão eficiente e segura dos dados pessoais. Esse processo contínuo de mapeamento não apenas assegura a conformidade, mas também impulsiona a transparência e confiança na manipulação de dados.

 

Conclusão

Em síntese, o mapeamento de dados transcende a mera obrigação legal, emergindo como uma ferramenta essencial na construção de uma cultura sólida de segurança e transparência no manejo de dados pessoais.

Contudo, assegurar a eficácia e segurança desse procedimento é de importância equiparada. Nesse cenário, destaca-se a relevância de buscar orientação junto a uma consultoria jurídica especializada e experiente. Um escritório de advocacia com profundo conhecimento na condução de projetos de adequação à LGPD para empresas de variados portes torna-se um parceiro estratégico, garantindo conformidade e tranquilidade no tratamento de dados.

 

Imagem com CTA "Conte com a Expertise de Profissionais"

Fale o que você pensa

O seu endereço de e-mail não será publicado.