DATA MAPPING NO PROGRAMA DE ADEQUAÇÃO À LGPD: POR QUE E COMO FAZER?
Entenda os motivos que ensejam o mapeamento de dados e, mais do que isso, entenda como fazê-lo!
A Lei Geral de Proteção de Dados (Lei 13.709/2018), desde sua entrada em vigor, em setembro de 2020, vem fazendo com que empresas – dos mais diversos portes – tenham que se adequar aos seus ditames. É o que chamamos de PROCESSO E/OU PROGRAMA DE ADEQUAÇÃO À LEI GERAL DE PROTEÇÃO DE DADOS.
Chama-se PROCESSO por, de fato, tratar-se de uma série de etapas e procedimentos a serem desenvolvidos e desencadeados dentro da realidade de cada instituição para que estejam de acordo com o que a lei brasileira dita.
Mas chama-se também de PROGRAMA pois espera-se o cultivo, a permanência e a cultura da proteção de dados. Isso significa que a proteção de dados terá de ser reiterada diariamente na prática da empresa ou instituição, através do esforço interno de diretores e colaboradores.
Encarando como programa ou processo, o fato é que até atingirem um estágio de conformidade suficiente, a instituição deverá enfrentar várias etapas como, por exemplo, a revisão de procedimentos e condutas internas, revisões contratuais, treinamentos de conscientização, instauração de processos de due diligence com fornecedores ou parceiros, entre outros.
No entanto, antes de todas essas etapas descritas acima, deverá ocorrer o que chamamos de MAPEAMENTO DE DADOS, INVENTÁRIO DE DADOS ou DATA MAPPING.
No que consiste o data mapping?
Nada mais é do que mapear todos os dados pessoais dos quais a empresa ou instituição faz uso dentro da sua realidade de funcionamento. Além disso, será no data mapping que a empresa ou instituição classificará e encontrará correspondências e respaldos jurídicos – as chamadas bases legais – para sua utilização. Sem dúvidas, a depender do porte ou do setor de atuação da empresa, essa pode ser uma tarefa bastante complexa e delicada.
Mas por que é necessário inventariar os dados?
O art. 37 da Lei Geral de Proteção de Dados determina que o controlador e o operador devem manter registro das operações de tratamento de dados pessoais que realizarem.
Isso significa que a empresa ou instituição deverão ter registrados os dados tratados para sua atividade, o porquê desse tratamento, a base legal que embasa o tratamento, a origem destes dados, entre outras coisas.
Aqui, importa pontuarmos dois tópicos extremamente relevantes que justificam o mapeamento.
Primeiramente, inventariar os dados ajudam a promover um diagnóstico bastante aguçado da realidade do tratamento de dados do controlador ou operador. Significa que é a partir do mapeamento que serão reconhecidos os pontos críticos e delicados, o uso excessivo e desnecessário de alguns dados, procedimentos que precisam ser revisados ou, até quem sabe, totalmente reformulados dentro da empresa ou instituição.
O mapeamento proporciona, portanto, uma visão panorâmica de todos os fluxos internos envolvendo ou não o tratamento de dados pessoais. É claro que, se bem feito, poderá promover transformações gerais nos procedimentos internos, não somente no que tange aos dados, mas também no que diz respeito à boas práticas de compliance e governança.
Em um segundo momento, é muito importante entendermos que o data mapping criará todo o embasamento para o desenvolvimento e redação do Relatório de Impacto, definido como a “documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco” pelo art. 5º, XVII da LGPD.
Como fazer o data mapping?
É aqui onde queríamos chegar!
Já existem algumas ferramentas bastante difundidas para realização do mapeamento de dados. No entanto, por se tratar de um trabalho bastante minucioso e manual, o Legal Hub, em parceria com seus professores experts, desenvolveram uma planilha de data mapping. E você pode, gratuitamente, fazer o download dela aqui.
Como usar a planilha?
Vamos lá! Mão na massa! Abaixo iremos descrever ao que se refere cada um dos campos presentes na planilha, para que você possa aproveitá-la em sua integralidade.
PLANILHA DE DATA MAPPING .
Dado | Qual é o dado a ser mapeado? Ex: nome; número de CPF; telefone.
Tipo | Qual é o tipo do dado? É um dado pessoal ou é um dado pessoal sensível?
Fonte | Qual a origem desse dado? Ele veio de um formulário? Ele foi extraído de um contrato? Ele veio de uma inscrição em um evento online? Ele veio através de um e-mail? De uma conversa no whatsapp?
Motivo | Por que esse dado está sendo coletado? É para admissão de um funcionário? É para redigir um contrato? É para compor uma base de leads? É para prestação de um serviço?
Base Legal | Qual é a base legal que fundamenta o tratamento dessa dado pelo controlador? Para isso, estude as bases legais presentes no art. 7º da Lei Geral de Proteção de Dados.
Tratamento do Dado | Onde esse dado é armazenado? No servidor interno? Em um software? Em uma base de dados criptografada? Em uma planilha? Em algum tipo de nuvem compartilhada?
Eliminação | Qual é a política de eliminação desse dado? Quando ele será eliminado? Em 5 anos, 10 anos? Qual é o ciclo de vida dele?
Consentimento? | Se esse dado tem como base legal o consentimento, o controlador já obteve, de fato, o consentimento advindo do titular dos dados?
Compartilhamento | Esse dado é compartilhado com algum outro setor da empresa ou com alguma empresa terceirizada ou terceira?
Maior de Idade? | Os titulares dessas dados são, via de regra, maiores de idade? Ou existem menores entre eles?
Impacto Pessoal | De 1 a 5, qual é o impacto que o vazamento desse dado causaria? Considere, nesta classificação, que a nota 5 corresponde ao dado sensível (o maior impacto).
Missão Crítica | Esse dado é indispensável ou dispensável para a atividade da empresa ou instituição em questão? Para fazer essa classificação, lembre-se: não há nada de errado em tratar dados, muito pelo contrário. O que é errado é tratá-los indevidamente e sem respaldo legal. Por isso, busque, na missão crítica, entender a verdadeira necessidade e pertinência do tratamento desse dado para o controlador. Se ele é indispensável, não há problema, mas encontre a base legal correta para ele.
lembre-se: #naosejaumdinossauro