Entenda os motivos que ensejam o mapeamento de dados e, mais do que isso, entenda como fazê-lo!
A Lei Geral de Proteção de Dados (Lei 13.709/2018), desde sua entrada em vigor, em setembro de 2020, vem fazendo com que empresas – dos mais diversos portes – tenham que se adequar aos seus ditames. É o que chamamos de PROCESSO E/OU PROGRAMA DE ADEQUAÇÃO À LEI GERAL DE PROTEÇÃO DE DADOS.
Chama-se PROCESSO por, de fato, tratar-se de uma série de etapas e procedimentos a serem desenvolvidos e desencadeados dentro da realidade de cada instituição para que estejam de acordo com o que a lei brasileira dita.
Mas chama-se também de PROGRAMA pois espera-se o cultivo, a permanência e a cultura da proteção de dados. Isso significa que a proteção de dados terá de ser reiterada diariamente na prática da empresa ou instituição, através do esforço interno de diretores e colaboradores.
Encarando como programa ou processo, o fato é que até atingirem um estágio de conformidade suficiente, a instituição deverá enfrentar várias etapas como, por exemplo, a revisão de procedimentos e condutas internas, revisões contratuais, treinamentos de conscientização, instauração de processos de due diligence com fornecedores ou parceiros, entre outros.
No entanto, antes de todas essas etapas descritas acima, deverá ocorrer o que chamamos de MAPEAMENTO DE DADOS, INVENTÁRIO DE DADOS ou DATA MAPPING.
Nada mais é do que mapear todos os dados pessoais dos quais a empresa ou instituição faz uso dentro da sua realidade de funcionamento. Além disso, será no data mapping que a empresa ou instituição classificará e encontrará correspondências e respaldos jurídicos – as chamadas bases legais – para sua utilização. Sem dúvidas, a depender do porte ou do setor de atuação da empresa, essa pode ser uma tarefa bastante complexa e delicada.
O art. 37 da Lei Geral de Proteção de Dados determina que o controlador e o operador devem manter registro das operações de tratamento de dados pessoais que realizarem.
Isso significa que a empresa ou instituição deverão ter registrados os dados tratados para sua atividade, o porquê desse tratamento, a base legal que embasa o tratamento, a origem destes dados, entre outras coisas.
Aqui, importa pontuarmos dois tópicos extremamente relevantes que justificam o mapeamento.
Primeiramente, inventariar os dados ajudam a promover um diagnóstico bastante aguçado da realidade do tratamento de dados do controlador ou operador. Significa que é a partir do mapeamento que serão reconhecidos os pontos críticos e delicados, o uso excessivo e desnecessário de alguns dados, procedimentos que precisam ser revisados ou, até quem sabe, totalmente reformulados dentro da empresa ou instituição.
O mapeamento proporciona, portanto, uma visão panorâmica de todos os fluxos internos envolvendo ou não o tratamento de dados pessoais. É claro que, se bem feito, poderá promover transformações gerais nos procedimentos internos, não somente no que tange aos dados, mas também no que diz respeito à boas práticas de compliance e governança.
Em um segundo momento, é muito importante entendermos que o data mapping criará todo o embasamento para o desenvolvimento e redação do Relatório de Impacto, definido como a “documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco” pelo art. 5º, XVII da LGPD.
É aqui onde queríamos chegar!
Já existem algumas ferramentas bastante difundidas para realização do mapeamento de dados. No entanto, por se tratar de um trabalho bastante minucioso e manual, o Legal Hub, em parceria com seus professores experts, desenvolveram uma planilha de data mapping. E você pode, gratuitamente, fazer o download dela aqui.
Vamos lá! Mão na massa! Abaixo iremos descrever ao que se refere cada um dos campos presentes na planilha, para que você possa aproveitá-la em sua integralidade.
PLANILHA DE DATA MAPPING .
Dado | Qual é o dado a ser mapeado? Ex: nome; número de CPF; telefone.
Tipo | Qual é o tipo do dado? É um dado pessoal ou é um dado pessoal sensível?
Fonte | Qual a origem desse dado? Ele veio de um formulário? Ele foi extraído de um contrato? Ele veio de uma inscrição em um evento online? Ele veio através de um e-mail? De uma conversa no whatsapp?
Motivo | Por que esse dado está sendo coletado? É para admissão de um funcionário? É para redigir um contrato? É para compor uma base de leads? É para prestação de um serviço?
Base Legal | Qual é a base legal que fundamenta o tratamento dessa dado pelo controlador? Para isso, estude as bases legais presentes no art. 7º da Lei Geral de Proteção de Dados.
Tratamento do Dado | Onde esse dado é armazenado? No servidor interno? Em um software? Em uma base de dados criptografada? Em uma planilha? Em algum tipo de nuvem compartilhada?
Eliminação | Qual é a política de eliminação desse dado? Quando ele será eliminado? Em 5 anos, 10 anos? Qual é o ciclo de vida dele?
Consentimento? | Se esse dado tem como base legal o consentimento, o controlador já obteve, de fato, o consentimento advindo do titular dos dados?
Compartilhamento | Esse dado é compartilhado com algum outro setor da empresa ou com alguma empresa terceirizada ou terceira?
Maior de Idade? | Os titulares dessas dados são, via de regra, maiores de idade? Ou existem menores entre eles?
Impacto Pessoal | De 1 a 5, qual é o impacto que o vazamento desse dado causaria? Considere, nesta classificação, que a nota 5 corresponde ao dado sensível (o maior impacto).
Missão Crítica | Esse dado é indispensável ou dispensável para a atividade da empresa ou instituição em questão? Para fazer essa classificação, lembre-se: não há nada de errado em tratar dados, muito pelo contrário. O que é errado é tratá-los indevidamente e sem respaldo legal. Por isso, busque, na missão crítica, entender a verdadeira necessidade e pertinência do tratamento desse dado para o controlador. Se ele é indispensável, não há problema, mas encontre a base legal correta para ele.
lembre-se: #naosejaumdinossauro
Cookie | Duração | Descrição |
---|---|---|
cookielawinfo-checkbox-analytics | 11 months | This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics". |
cookielawinfo-checkbox-functional | 11 months | The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional". |
cookielawinfo-checkbox-necessary | 11 months | This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary". |
cookielawinfo-checkbox-others | 11 months | This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other. |
cookielawinfo-checkbox-performance | 11 months | This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance". |
viewed_cookie_policy | 11 months | The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data. |