Artigos

LGPD – Qual a importância do Mapa de Dados?

Por 28 de agosto de 2020 Sem comentários

*Yuri Carneiro

Na Lei Geral de Proteção de Dados (LGPD), o Mapa ou Inventário de Dados Pessoais é um documento que contém uma relação que detalha quais  processos organizacionais realizam atividades de tratamento de dados pessoais, demonstrando todo o ciclo de vida destes dados. Esse material é extremamente importante, pois ele possibilita a organização visualizar com clareza em quais processos internos / externos são executadas atividades de tratamento de dados pessoais e quais dados são tratados, além de ser requisitado pelo  Art. 37° da LGPD, que determina que o controlador e o operador devem manter registro das operações de tratamento de dados pessoais que realizam.

O processo de mapeamento de dados pessoais

 O processo de mapeamento de dados pode ser realizado de algumas formas, como por exemplo, por meio de uma análise Top Down – entrevistas com cada uma das áreas de negócio da organização ou preenchimento de questionários pelos responsáveis – ou por análise Bottom Up – por meio de ferramentas de Data Discovery que fazem uma varredura nos equipamentos da empresa para indicar quais  são os dados pessoais existentes. As duas análises se complementam e podem ter seus resultados consolidados para compor o Mapa de Dados levando em consideração todo o ciclo de vida da informação, ou seja:

  • Coleta: os dados pessoais devem obedecer ao princípio da necessidade e da finalidade;
  • Processamento: só pode ser realizado nas hipóteses previstas no Art. 7° da LGPD;
  • Compartilhamento: os titulares devem autorizar o compartilhamento e têm o direito de saber com quem os dados são compartilhados;
  • Armazenamento: os dados pessoais devem possuir um calendário de retenção de dados;
  • Reutilização: a cada mudança de finalidade, o Titular deve realizar um novo consentimento para o Controlador;
  • Descarte: os dados devem ser descartados após o término de seu tratamento e finalidade;

A lei requisita também o tratamento de dados pessoais deve obedecer a dez princípios, conforme Artigo 6° – Finalidade, Adequação, Necessidade, Livre Acesso, Qualidade dos Dados, Transparência, Segurança, Prevenção, Não Discriminação e Responsabilização e Prestação de Contas – e cada atividade de tratamento deve estar associada a uma base legal que justifica e demonstra a necessidade da organização em realizar tal atividade. Conforme o Artigo 7º, o tratamento só poderá ser realizado nas seguintes hipóteses:

  • Consentimento pelo titular;
  • Cumprimento de obrigação legal ou regulatória;
  • Pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres;
  • Para a realização de estudos por órgão de pesquisa;
  • Execução de contrato;
  • Exercício regular de direitos em processo judicial, administrativo ou arbitral;
  • Proteção da vida ou da incolumidade física do titular ou de terceiros;
  • Para a tutela da saúde;
  • Interesses legítimos do controlador ou de terceiros;
  • Proteção do crédito

Em uma análise Top Down, após finalização das entrevistas ou preenchimento dos questionários com os responsáveis das áreas que realizam atividades de tratamento de dados pessoais, teremos um arquivo contendo minimamente:

  • Uma descrição do processo e atividades de tratamento;
  • Dados pessoais tratados durante a execução do processo;
  • Base Legal associada ao tratamento;
  • Origem do Dado Pessoal;
  • Se há ou não Dados Sensíveis associados ao tratamento;
  • Se há ou não revisão periódica dos dados;
  • Se há ou não calendário de retenção de dados;
  • Política de descarte das informações;
  • Sistemas de informação envolvidos no processamento;
  • Quem tem acesso aos dados;
  • Com quem ele é compartilhado e como ocorre esse compartilhamento;

Esse mapeamento de dados servirá como base para elaboração do relatório de impacto à proteção de dados pessoais, que pode ser solicitado pela Agência Nacional de Proteção de Dados (ANPD) a qualquer momento, conforme Artigo 38. Esse relatório é uma documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos, bem como medidas, salvaguardas e mecanismos de mitigação de risco.

Conclusão

O Mapa ou Inventário de Dados Pessoais é um instrumento importante na implementação da LGPD na sua organização, pois é a partir dele que entendemos onde estão os riscos associados ao tratamento de dados pessoais em cada um dos processos da empresa. Além disso, ele é um requisito exigido por Lei e, portanto, de suma importância para garantia da conformidade legal da sua companhia.

*Yuri Carneiro é Especialista GRC e Segurança da Informação da [SAFEWAY]

Sobre a [SAFEWAY]

 SAFEWAY é uma empresa de Segurança da Informação, reconhecida pelos seus clientes por oferecer soluções de alto valor agregado, através de projetos em Segurança da Informação que atendam integralmente às necessidades do negócio. Nesses anos de experiência, acumulamos, com muito orgulho, diversos projetos de sucesso que nos renderam credibilidade e destaque em nossos clientes, os quais constituem em grande parte, as 100 maiores empresas do Brasil.

Hoje através de mais de 22 parcerias estratégicas com fabricantes globais e de nosso SOC, a SAFEWAY é considerada uma one stop shopping com as melhores soluções de tecnologia, processos e pessoas.

Vamos tornar o mundo um lugar mais seguro para viver e fazer negócios!