Com a entrada em vigor da Lei Geral de Proteção de Dados (Lei 13.709/2018, a “LGPD”) muitas empresas têm se deparado com desafios para a implementação. A Lei exige que as organizações passem a adotar procedimentos claros e medidas técnicas adequadas para proteção de dados, representando uma verdadeira mudança de mindset.
A Lei assegura a transparência no tratamento dos dados pessoais, prevendo uma série de direitos ao titular. O artigo 18 da Lei enquadra como direitos: a confirmação acerca da existência do tratamento, acesso aos dados, correção de dados incompletos, inexatos ou desatualizados, anonimização, bloqueio ou eliminação de dados desnecessários. O artigo 37, por sua vez, estabelece a necessidade do controlador e operador manterem registro das operações de tratamento de dados pessoais que realizarem, especialmente quando baseado no legítimo interesse.
Apesar das diretrizes impostas, na prática, a maior parte das empresas processam muito mais dados do que imaginam, não tendo controle das entradas, do que armazenam, compartilham e descartam. Diante de tal cenário, as organizações passaram a se deparar com o seguinte questionamento: qual seria o passo inicial para adequação à LGPD?
Para que as empresas possam avaliar os riscos existentes quanto à privacidade e segurança da informação, é imprescindível que seja feito o mapeamento de fluxo de dados.
O data mapping ou mapeamento de dados se refere ao processo de rastreamento e catalogação dos dados coletados e processados por determinada organização, identificando como estes são usados, onde e como são armazenados e como se propagam. Basicamente, consiste em um processo de realização de um inventário de todos os dados coletados e processados para mapear todo o ciclo de vida da informação.
Pelo data mapping é possível que as organizações possam identificar como determinado dado foi capturado, mapear usos não esperados, eliminar transferências de dados desnecessárias, evitar vazamento de informações e assegurar que os titulares dos dados tenham ciência de como estes estão sendo usados. Em suma, é possível diagnosticar como determinada organização lida com a privacidade e segurança da informação e mitigar os riscos de violação.
A atividade de mapeamento de dados não é simples. Para que seja realizada, deve ser feito um levantamento inicial do cenário de todos os setores da corporação que lidam com dados. Ou seja, deve-se ter conhecimento de todas as áreas da organização e aprovação da diretoria para tanto, sendo necessária a manutenção constante do monitoramento do fluxo.
Para o mapeamento efetivo, é necessário: entender fluxo de dados, descrevê-lo e identificar os seus elementos-chave. Os elementos-chave para o mapeamento de dados devem incluir os seguintes pontos:
- Identificação de quais dados são processados;
- Especificação dos dados sensíveis;
- Indicação da base jurídica para o processamento de dados;
- Determinação do motivo pelo qual os dados estão sendo coletados;
- Especificação das pessoas que têm dados coletados e quem possui acesso a estes;
- Identificação do formato de armazenamento dos dados (exemplo: banco de dados, cópia impressa ou digital);
- Delimitação temporal do armazenamento dos dados;
- Identificação das condições sob as quais os dados são armazenados;
- Especificação do método de transferência de dados, ou seja, como os dados são coletados e compartilhados;
- Entendimento dos protocolos adotados internamente para proteção de dados
Não há um modelo pré-definido de mapeamento de dados. Na prática, o layout do mapeamento dependerá das atividades praticadas pela organização no que tange ao processamento de dados e o orçamento existente. Muitas empresas optam pela contratação de um software voltado para o mapeamento de dados. Normalmente por meio do software, é possível navegar pelo inventário de dados, fluxograma, extrair a análise e detalhes dos dados. Alguns softwares são mais robustos e exigem know-how técnico para manuseio. Por outro lado, também é possível a criação de um mapeamento próprio que poderá ser um documento ou planilha especificando a utilização dos dados.
Ter um mapeamento sólido mitiga os riscos de violações à privacidade e assegura que nenhum dado saia ou entre em determinada organização sem que seja contabilizado. Trata-se de uma boa prática de negócio que auxilia na implementação do conceito de Privacy by Design.
Veja mais: Visual Law como meio para Privacy by Design
Observa-se que a privacidade e proteção de dados devem estar integradas na própria estrutura de negócio. O data mapping permite que determinada empresa tenha a comprovação da adoção de uma cultura de privacidade de forma ampla. Além disso, é muito útil para a elaboração dos relatórios de impacto à proteção de dados pessoais (“RIPDP”), que tem como objetivo assegurar que o tratamento de dados pessoais não cause danos aos direitos do titular de dados.
Portanto, compreender o data mapping como ferramenta para adequação à LGPD e aproveitar os seus recursos possibilita não só a proteção dos dados dos usuários como também do próprio negócio.
Referências:
Artigo 18 da Lei nº 13.709/2018: “O titular dos dados pessoais tem direito a obter do controlador, em relação aos dados do titular por ele tratados, a qualquer momento e mediante requisição: I - confirmação da existência de tratamento; II - acesso aos dados; III - correção de dados incompletos, inexatos ou desatualizados; IV - anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto nesta Lei”.
Artigo 37 da Lei nº 13.709/2018: “O controlador e o operador devem manter registro das operações de tratamento de dados pessoais que realizarem, especialmente quando baseado no legítimo interesse”.
DEARIE, KJ. What is Data Mapping? The Importance of Data Mapping for GDPR Compliance.
Disponível em <https://termly.io/resources/articles/gdpr-data-mapping/>.
Acesso em 07 de abril de 2021.
IT GOVERNANCE. Data Flow Mapping Under the GDPR. Green Paper. February, 2021.
GDPR Data Mapping: Whats is it and how to comply.
Disponível em < https://www.itgovernance.co.uk/gdpr-data-mapping>. Acesso em 07 de abril de 2021.
HEALEY, Robert. Data Mapping and GDPR Compliance – What your business needs to know.
Disponível em <https://formiti.com/data-mapping-and-gdpr-compliance-what-your-business-needs-to-know/>.
Acesso em 08 de abril de 2021.
