Em vigor desde 2020, a Lei Geral de Proteção de Dados (LGPD) dispõe sobre o tratamento de dados de pessoas físicas por parte das empresas. Assim, tudo o que envolve a coleta, a guarda, o compartilhamento e a eliminação de informações pessoais precisa ser autorizado pelos proprietários.
No artigo 37, a LGPD diz que todo o processamento interno de dados pessoais precisa ser registrado. Ou seja, todo o percurso das informações tem que estar documentado. Por isso, é fundamental que as organizações efetuem o mapeamento de dados, prática também conhecida por data mapping.
O que é data mapping
O objetivo do mapeamento é identificar a maneira como as informações estão sendo utilizadas, para que os princípios de privacidade e segurança estabelecidos na lei sejam obedecidos.
O processo resulta na criação de um arquivo, que pode ser uma planilha ou uma representação em forma de fluxograma. É o inventário de dados. Ele é produzido a partir da análise do ciclo de vida informacional.
Convencionalmente, este ciclo compreende 7 etapas:
Coleta: os responsáveis devem determinar que somente os dados necessários sejam coletados;
Processamento: esta etapa precisa obedecer ao que é disposto nos artigos 3º e 7º, sobre os propósitos de utilização. Caso não se enquadrem, não pode ser realizado.
Análise: deve considerar como os dados estão sendo efetivamente usados, se estão cumprindo ou não as finalidades;
Compartilhamento: os titulares precisam concordar com o repasse das informações;
Armazenamento: só podem ser mantidos até que as finalidades sejam alcançadas;
Reutilização: o reprocessamento precisa ser consentido, se houver uma mudança de finalidade;
Eliminação: os dados devem ser excluídos assim que deixarem de ser úteis.
Leia também: O que é a Lei Geral de Proteção de Dados (LGPD).
Como elaborar um mapeamento de dados
Antes de tudo, os responsáveis pela elaboração do inventário de dados precisam conhecer a estrutura interna da empresa, para que o relatório final esteja de acordo com a realidade.
O data mapping pode ser feito em formato de planilha, o que permite que seja produzido e interpretado de forma mais simples. Mas o recomendável é que a produção dele seja em um software específico, com recursos desenhados para a criação deste tipo de documento, que deve ser atualizado constantemente.
Ele precisa ser claro e com uma descrição completa dos processos durante o percurso interno do conteúdo. Por esse motivo, o relatório precisa estar claro, contendo a descrição dos processos de tratamento, dando destaque aos dados sensíveis, que permitem a identificação ou exposição da pessoa, como gênero, religião, etnia, dentre outros.
Independentemente do formato, se planilha, fluxograma ou outros, o conteúdo de um inventário eficiente precisa, no mínimo, ser composto por:
Classificação dos titulares dos dados (clientes, fornecedores, colaboradores etc.)
Identificação os dados coletados, como nomes, endereços, formas de contato e documentos;
Localização do armazenamento;
Formas de coleta;
Finalidade da informação;
Definição dos colaboradores autorizados a acessar os dados;
Apuração da base legal para a utilização de cada uma das informações;
Detecção da sensibilidade dos dados;
Destinação em caso de compartilhamento;
Período de guarda;
Procedimentos de exclusão
Esse é um resumo do que deve compor um inventário básico. Para obter um relatório funcional e completo, sua empresa precisa contar com a assessoria de uma consultoria de TI qualificada. Acesse o nosso site e entenda mais sobre como podemos ajudar você.