LGPD: O QUE NÃO PODE FALTAR EM UM MAPEAMENTO DE DADOS (DATA MAPPING)

LGPD: O QUE NÃO PODE FALTAR EM UM MAPEAMENTO DE DADOS (DATA MAPPING)

Um dos principais documentos utilizados na implementação de um programa de adequação à LGPD é o Mapeamento de Dados (Data Mapping).

Você já leu em algum lugar ou escutou que “os dados são o novo petróleo”?

Originalmente, a frase “data is the new oil”, foi criada pelo inglês Clive Humby, matemático especializado em ciência de dados, conquistou espaço cativo no mundo dos negócios. 

E não é para menos. E a explicação está na nossa frente. 

Dados são informações que permitem identificar um indivíduo, como nome, telefone, e-mail, CPF, preferências. 

Ao utilizar seu smartphone, por exemplo, você já deve ter inserido diversos dados para ter acesso a um aplicativo ou criar uma rede social.

Isso significa que milhares de pessoas estão constantemente deixando seus dados na internet. E eles são valiosos para empresas que querem monitorar o perfil do seu público.

Ao estarem nos holofotes do mundo inteiro, não é de se surpreender: a regulamentação de dados se tornou pauta de muitos governos.

É claro que o Brasil não ficará de fora. 

Com inspiração no regulamento europeu, foi criada a Lei Geral de Proteção de Dados (Lei nº 13.709), em 2018, destinada a regular a proteção de dados. 

O primeiro passo para implementação da LGPD é o mapeamento de dados, também conhecido como “data mapping”, “data flow” ou inventário de dados. 

Esse documento é o alicerce para o bom desenvolvimento da implementação da LGPD na empresa. 

O mapeamento de dados resultará em um diagnóstico completo de como a empresa está lidando até o momento em relação à privacidade e a segurança da informação de terceiros. 

Dessa forma, após o levantamento dos dados utilizados pela empresa, será possível analisar e identificar as vulnerabilidades existentes de acordo com a legislação, a fim de, posteriormente, adotar as medidas cabíveis. 

Como elaborar o data mapping?

Primeiro. Sozinho você não sairá do lugar. 

O mapeamento de dados deve ser realizado com a colaboração de múltiplos setores da empresa, além de auxílio técnico e jurídico para futuras análises. 

Para tanto, o primeiro passo é fazer uma reunião de kick-off para definição do cronograma, protocolos de comunicação, identificação dos líderes estratégicos e formação de um comitê da Privacidade. 

Diante disso, deve ser realizado o treinamento e engajamento dos envolvidos para iniciar o processo de conscientização e compreensão da lei.

Segundo. Elabore o formulário que será a base do seu data mapping.

É preciso criar um formulário com todos os questionamentos necessários para desenvolver o data mapping da empresa.

Esse formulário precisa ser preenchido por todos os envolvidos no projeto de implementação, pois a partir dos dados coletados desses questionários será possível a análise de maturidade e o mapeamento do tratamento de dados.

No formulário, serão questionados, por exemplo:

  1. O tipo de dados pessoais coletados;
  2. A natureza dos dados; 

A forma de cadastro digital do banco de dados da empresa;

  1. Prazo de armazenamento;
  2. Acesso interno.

Ainda, você poderá fazer entrevistas complementares com os líderes para averiguação e detalhamento sobre as formas de tratamento dos dados pessoais.

Terceiro. Você precisa analisar cada dado coletado.

Nessa etapa, deve ser analisado as hipóteses legais do tratamento a partir de cada dado coletado com o trinômio da finalidade, necessidade e adequação.

Segundo o artigo 7º da LGPD, o tratamento de dados pessoais por empresas (pessoas jurídicas de direito privado) somente poderá ser realizado nas seguintes hipóteses:

  1. mediante o fornecimento de consentimento pelo titular;
  2. para o cumprimento de obrigação legal ou regulatória;
  3. para a realização de estudos por órgão de pesquisa;
  4. quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados;
  5. para o exercício regular de direitos em processo judicial, administrativo ou arbitral;
  6. para a proteção da vida ou da incolumidade física do titular ou de terceiro;
  7. para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;
  8. quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais; ou
  9. para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente.

Todas hipóteses listadas acima são consideradas bases legais para tratamento dos dados pessoais. 

Isso significa que sempre que você for tratar dados pessoais, é obrigatório que o tratamento esteja justificado com uma dessas bases legais. Do contrário, você estará infringindo a LGPD e suas normas.

Junto com a base legal, sua empresa precisa justificar esse tratamento com finalidades específicas e lícitas, que devem ser claras e transparentes aos titulares dos dados.

A elaboração do mapeamento ou inventário de dados é ponto crucial para o processo de implementação, já que é a partir dele que todos os documentos obrigatórios para adequação à LGPD serão elaborados.

Um exemplo clássico – e bem comum no nosso dia a dia – é a Política de Privacidade, que é responsável por deixar os titulares de dados cientes de como os seus dados são tratados.

Finalize o data mapping com o Laudo Final de Diagnóstico

Ao fazer o levantamento de todas essas informações sobre o modo como os dados pessoais são tratados, é hora de elaborar um Laudo Final do Diagnóstico contendo a matriz de riscos e roadmap do plano de adequação.

Feito isso, reúna o Comitê da Privacidade para apresentação e aprovação dos resultados.

Na Juddi você encontra documentos adequados à LGPD e disponíveis para criação e personalização, conforme as suas necessidades e caso específico.

Você pode criar o DPA – contrato utilizado para estabelecer as regras entre Controlador e Operador, a Política de Privacidade e os Termos de Uso, por exemplo.

Cadastre-se gratuitamente e faça o teste!

Deixe uma resposta

%d blogueiros gostam disto: