Fazer o mapeamento de dados LGPD corretamente é indispensável para manter-se em conformidade com a nova lei que prevê a proteção de dados pessoais. Esse processo se caracteriza como um inventário de dados, uma vez que mostra todos os caminhos percorridos pelas informações que transitam nos procedimentos executados pela empresa.
A partir da construção desse documento, você tem uma visão ampla de todos os dados que são tratados na sua companhia, apontando como a privacidade e segurança da informação estão sendo aplicadas, bem como quais são as possíveis vulnerabilidades — condição que evidencia o que precisa ser modificado para atender às exigências da LGPD.
Quer evitar erros? Confira como fazer o mapeamento de dados de acordo com os parâmetros jurídicos!
Entenda com a LGPD aborda o mapeamento de dados
Antes de qualquer coisa, é necessário entender a importância do mapeamento de dados na LGPD. A legislação determina que a Autoridade Nacional de Proteção de Dados Pessoais (ANPD), que é responsável por fiscalizar o cumprimento da LGPD, pode pedir ao controlador do Relatório de Impacto à Proteção de Dados Pessoais (RIPD) para conferir o inventário de dados. A não apresentação do documento pode resultar em complicações com a lei.
Com esse documento, a instituição fiscalizadora pode entender quais são os tipos de dados pessoais que circulam pela sua empresa e como são tratados. Dessa forma, ela pode orientar sobre as melhores práticas a serem seguidas para aumentar a privacidade e segurança dos clientes.
Conheça a estrutura interna dos dados da empresa
Você sabe quais são os processos pelos quais os dados passam ao entrar e sair da sua empresa? Faça uma vistoria completa das atividades exercidas na companhia, colocando em relatório em quais etapas os dados pessoais são recolhidos e os demais procedimentos pelos quais eles passam.
Por meio dessa fase, é possível entender como funciona a sua estrutura de dados e se há pouca ou muita movimentação de informações pessoais, o que também facilita a execução de análises futuras para verificar onde estão os pontos fracos e fortes do tratamento de dados.
Separe os dados em categorias
O próximo passos consiste em separar todos os dados por categorias, como cadastrais, trabalhistas, sensíveis, especiais e transacionais. Feito isso, é preciso indicar qual é o volume de dados existentes no fluxo da organização e a frequência em que são trafegados: se é diária, semanal ou mensal. Nomeie quem são as pessoas que acessam essas informações.
Descreva as etapas do tratamento de dados
Esse é o momento de descrever com riqueza de detalhes as etapas de tratamento do fluxo, que geralmente são: coleta das informações, armazenagem nos sistemas internos, sanitização, enriquecimento dos dados, processamento, análise para segmentação, possíveis interferências, transferências e descarte (quando o dado não é mais útil).
Aqui, o responsável pelo documento também deve deixar claro quais são os tipos de tecnologias empregados em cada etapa do fluxo de informações, como sistemas digitais e banco de dados. Indique ainda em quais locais os dados são coletados, armazenados e processados.
Mostre qual é a origem das informações
As empresas costumam utilizar diferentes estratégias para obter os dados que necessitam para desenvolver as suas atividades. Assim sendo, insira a sua origem documento — podendo ser canais de capturas, como estabelecimentos físicos, site, aplicativos, parceiros, empresas coligadas, entre outros meios.
Indique a base legal da atividade da empresa
O último processo é indicar a base legal pela qual a empresa está autorizada a realizar o tratamento de dados de acordo com o fluxo descrito nas etapas anteriores. Depois, analise se os procedimentos apresentados estão em conformidade com a política de privacidade da LGPD.
Identifique também quais são os controles de segurança utilizados para garantir a proteção dos dados coletados e tratados pela organização. É altamente recomendado falar tanto das políticas de segurança quanto das ferramentas implementas para essa finalidade.
Como você viu, o mapeamento de dados LGPD é de extrema relevância para a sua adequação à nova lei, além de comprovar que o seu negócio está seguindo as diretrizes determinadas. Devido ao fato de essa tarefa ser minuciosa e demandar tempo e cautela, o ideal é buscar uma empresa especializada em segurança da informação, que seja capaz de oferecer todo o suporte necessário para cumpri-la com o máximo de eficiência e praticidade.
Precisa de ajuda para fazer o mapeamento de dados? Entre em contato com a Athena Security e descubra como adequar a sua empresa à LGPD!
Thiago Cabral
Bacharel em administração e pós-graduado em Gestão e Governança de TI pela FIAP. Com cerca de 10 anos de experiência no mercado de segurança da informação, ajudou a fundar a empresa Athena Security, onde atua como Sócio-Diretor responsável pelas estratégias de Marketing e pela qualidade de atendimento ao cliente. Acredita que a chave para o sucesso é a especialização, atendimento consultivo e visão inovadora.
