Quando falamos em adequação de uma empresa aos critérios trazidos pela Lei Geral de Proteção de Dados (LGPD), estamos visando os critérios baseados na busca da conformidade da lei.
Desta forma, o mapeamento dos dados pessoais torna-se imprescindível para entender o panorama do tratamento dos dados pessoais na atividade empresarial.
O mapeamento dos dados é conhecido por diversos nomes, tais como, inventário de dados, data mapping, data flow, ROPA, dentre outros. Esse é o documento que analisa o fluxo dos dados dentro da empresa, sendo a espinha dorsal para uma boa adequação da LGPD na rotina empresarial.
Mapeamento dos dados na LGPD
O mapeamento tem como seu objetivo enxergar as operações, fluxos e procedimentos do tratamento dos dados dentro da empresa, verificando a privacidade, proteção dos dados e segurança da informação.
O termo mapeamento de dados não se encontra propriamente expresso da Lei 13.709/2018. No entanto, em seu artigo 37, é possível verificar que o legislador comanda ao controlador e operador dos dados de manter registros das operações de tratamento de dados pessoais que realizarem.
Art. 37. O controlador e o operador devem manter registro das operações de tratamento de dados pessoais que realizarem, especialmente quando baseado no legítimo interesse.
Assim, resta claro que o mapeamento é o processo mais abrangente e que requer uma análise criteriosa, detalhada e profunda do tratamento dos dados pessoais dentro da empresa. Desta forma, é extremamente importante que seja executado de forma correta a fim de registrar o caminho dos dados pessoais e aplicar excelente plano de ação para adequação da LGPD.
O mapeamento dos dados deve fornecer à empresa todas as informações necessárias, claras e concentradas em um único documento, a fim de facilitar a gestão dos riscos e conformidade com a lei, além de otimizar todo o trabalho do consultor e do Encarregado de Proteção de Dados (DPO) na implantação da Lei Geral de Proteção de Dados.
Principais pontos do mapeamento da LGPD
O mapeamento do fluxo de dados deve passar pelas diversas áreas ou setores da empresa e pelos seus processos empresariais, envolvendo uma dinâmica multidisciplinar de análises técnicas e jurídicas.
A atividade de mapear os dados pessoais empresariais não é algo relativamente simples e necessita de um mergulho no cenário da empresa, entendendo os seus processos, atividade empresarial, normativas e legislações aplicáveis.
Ademais, tanto a adequação completa quanto o mapeamento requer envolvimento e apoio de toda alta direção para completa aderência da empresa.
A seguir, destacam-se pontos importantes, mas não exaustivos para compor um bom mapeamento dos dados para adequação da LGPD:
- Identificação do setor e processo analisado
- Detalhamento do processo
- Identificação dos dados coletados e dados sensíveis envolvidos
- Motivo ou finalidade para tratamento dos dados
- Origem dos dados e fase de tratamento
- Tipo ou forma de armazenamento dos dados
- Compartilhamento dos dados (interno e externo)
- Registros gerados pelo processo (meio físico ou eletrônico)
- Sistemas e segurança envolvidos no processo
- Definição de hipóteses de tratamento determinadas por Lei
- Avaliação dos riscos com plano de ação
O mapeamento deve trazer uma fotografia da realidade resultante do tratamento dos dados pessoais da empresa, contendo o detalhamento dos processos e estando em constante revisão e atualização. Engana-se quem acredita que o mapeamento somente deve ser realizado uma vez e apenas na implantação inicial da LGPD, ele é vivo, assim como a LGPD dentro da empresa.
Quais as saídas do mapeamento da LGPD?
Como vimos, o mapeamento traz todas as informações sobre o fluxo e tratamento dos dados empresarial, passando por cada área/setor e cada processo. Desta forma, com estas informações coletadas, é possível entender a gestão dos dados e criar um Programa de Proteção dos Dados Pessoais.
Ao finalizar o mapeamento, será possível verificar:
- Os riscos envolvidos em cada processo
- Definir planos de ação para mitigar ou eliminar os riscos
- Elaborar Relatório de Impacto de Proteção de Dados – RIPD
- Estabelecer procedimentos e fluxos
- Verificar treinamentos necessário para cultura da privacidade
- Revisar, verificar e confeccionar documentos jurídicos
- Confeccionar Políticas Internas
- Garantir o atendimento aos direitos dos titulares
- Definir controles internos para monitoramento da proteção de dados
- Garantir a continuidade da LGPD dentro da empresa (governança)
Por fim, como já explicado, o mapeamento dos dados pessoais é uma tarefa que exige conhecimento empresarial, entendimento da LGPD e demais legislações envolvidas a depender do segmento empresarial. Desta forma, é recomendado o suporte de uma consultoria especializada em privacidade e proteção de dados para compor a conformidade com a lei e evidências necessárias da adequação na rotina empresarial.
Relembrando, o mapeamento bem executado é a espinha dorsal para compor um caminho seguro da adequação e implantação dos requisitos da Lei Geral de Proteção de Dados na estrutura empresarial, além de assegurar excelente governança e continuidade do Programa de Proteção dos Dados.
Leia outros artigos da autora:
Robô Advogado em tribunal? O que muda na Advocacia
O impacto da primeira delegacia de fraudes biométricas no Brasil
Como incorporar o blockchain nas empresas
Os dados pessoais no Metaverso
Apertando o Play da Continuidade da LGPD
As campanhas de e-mail marketing com aplicação da LGPD
O passo a passo para elaborar Relatório de Impacto à Proteção de Dados – RIPD
Fabíola Grimaldi: Advogada e gestora especializada em consultoria empresarial, digital e proteção de dados para empresas, negócios digitais, e-commerce e Startups. Fundadora do portal de cursos direitotech.com.br
