COMO FAZER O MAPEAMENTO DE DADOS DA LGPD?

Elaborar um mapeamento de dados ou data flow significa descobrir quais são os dados que a empresa coleta, tanto de seus funcionários e parceiros quanto dos clientes, identificar quais são as pessoas que têm acesso a eles e qual o tratamento que eles recebem uma vez que foram armazenados. É evidente que, sem um mapeamento cuidadoso, o restante do processo de adequação será ineficiente. 

Dessa forma, o objetivo do presente artigo consiste justamente em explicitar, em algumas etapas, como se faz um mapeamento de dados em vista da adequação à LGPD. Além disso, aqui também está exposto um quadro acerca dos tipos de dados e da importância de cada um deles. 

O QUE É A LGPD?

Vigente desde o dia 18 de setembro de 2020 a Lei Geral de Proteção de Dados  Pessoais (LGPD) estabeleceu um regulamento sobre a forma como as empresas devem armazenar e tratar os dados pessoais de seus clientes, o que serve para proteger melhor a privacidade no mundo digital. 

Essa lei ganhou legitimidade constitucional em fevereiro de 2022, uma vez que a proteção de dados pessoais se tornou um direito fundamental. Dessa forma, nos últimos anos iniciou-se uma corrida no meio da iniciativa privada para se adequar à nova lei e evitar as sanções penais da LGPD. 

A INFLUÊNCIA DA LGPD NA GESTÃO DE DADOS 

Exemplificando, antes da LGPD, os dados pessoais poderiam ser coletados indiscriminadamente, apenas com um consentimento genérico do titular. Hoje em dia, por outro lado, o consentimento diz respeito à finalidade específica da coleta.

 Isso faz com que seja essencial ter um controle sobre cada dado coletado e que a finalidade da coleta dele esteja clara, para que seja deletado o quanto antes após cumprir sua função. 

A influência da LGPD, portanto, é a necessidade de criação de um sistema para análise e controle das informações pessoais que determinada empresa armazena, o que visa garantir a segurança dos dados e a privacidade de seus titulares.  

Sabe-se que o processo de adequação é longo e moroso. No entanto, é possível fracioná-lo em algumas etapas essenciais. Dentre elas destaca-se o mapeamento de dados que é justamente a parte do processo em que se estabelece o controle inicial sobre os dados coletados. 

QUAL A IMPORTÂNCIA DO MAPEAMENTO DE DADOS? 

A importância do mapeamento de dados consiste em ser um relatório do caminho que todos os dados percorrem uma vez que tenham sido coletados pela empresa. Esse processo resultará em um inventário de dados, a partir do qual será possível manter um controle do fluxo dos dados de todos os clientes e parceiros, bem como traçar um plano de ação para a adequação à LGPD. 

Ademais, uma vez feito o mapeamento a empresa ganhará maior credibilidade e transparência, porquanto poderá fornecer a seus clientes informações sobre todo o tratamento que os dados deles recebem dentro da empresa. 

QUAIS SÃO OS DADOS PROTEGIDOS PELA LGPD? 

A LGPD dispõe sobre o tratamento de dados pessoais, os quais, de acordo com a lei, são classificados em dados pessoais sensíveis ou não-sensíveis. 

Assim, considera-se que o dado pessoal seja “uma informação relacionada a pessoa natural identificada ou identificável”; e, por outro lado, que o dado pessoal sensível seja “sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.” 

A principal diferença entre esses dois tipos de dados é a intensidade de regulamentação que a lei impõe: os dados sensíveis estão mais rígidamente protegidos, de forma que devem ser manejados com o máximo de cuidado possível. 

COMO ELABORAR UM MAPEAMENTO DE DADOS? 

• Formação de comitê

Em primeiro lugar deve-se reunir um time de pessoas que conheçam toda a estrutura interna da empresa, de outra forma o inventário de dados não terá correspondência com a realidade. Outro elemento necessário na equipe será alguém com os conhecimentos técnicos e jurídicos necessários para resolver as inadequações encontradas. 

Ademais, mesmo que o inventário de dados possa ser feito em uma planilha e sem ajuda externa, é recomendável que a empresa contrate um serviço de assessoria para elaboração desse tipo de documento. 

•  Identificação dos dados

Após a estruturação de um time, deve-se analisar as seguintes questões quanto aos dados coletados pela empresa: 

1. quais dentre eles são protegidos pela legislação; 
2. quem terá acesso a eles;  
3. onde serão armazenados;  
4. que tipo de proteção digital recebem;  
5. como será feita a destruição desses dados; 
6. como funcionará o fluxo desses dados dentro da empresa; 
7. qual a origem dos dados; 
8. Com qual finalidade foram coletados. 

•  Elaboração do fluxograma 

Ressalta-se que o inventário de dados resultante deve ser preciso, conter descrições sobre todos os processos aos quais são submetidos os dados e estar constantemente atualizado. Vale lembrar também que o data flow não deve ser pensado apenas em vista dos dados que a empresa coletou até hoje, mas também em vista dos dados dos futuros clientes.

•  Análise em relação à LGPD

De acordo com o Art. 6 da LGPD, há certas condições específicas sob as quais se deve operar para o tratamento de dados pessoais. À título de exemplo: 

1. Os dados coletados devem obedecer à estrita finalidade do propósito informado ao seu titular; 
2. O tratamento dos dados é limitado ao mínimo necessário para a realização de suas finalidades; 
3. O tratamento deve ser compatível com as finalidades informadas ao titular; 

Desse modo, o último passo do mapeamento de dados em vista da adequação à LGPD consiste justamente em procurar as inadequações, ou seja, descobrir quais são os tratamentos dispensáveis, quais os dados armazenados sem propósito, qual o contraste entre a finalidade para que foram coletados e sua real utilização, etc… 

DATA DISCOVERY E MAPEAMENTO DE DADOS 

Você já ouviu falar em data discovery? 

Trata-se de um processo utilizado para melhorar a coleta de dados e otimizar os processos de análise. Em suma, é uma abordagem que permite a apreensão mais eficiente de padrões em meio a grandes volumes de dados, ou seja, é um processo que pode ser articulado em conjunto com o mapeamento e trazer benefícios à sua empresa.

 Em geral, pode-se dividir o data discovery em três partes: primeiro, a preparação; depois, a análise visual; e, por fim, a análise guiada.  

O data discovery consiste em uma busca direcionada para os dados que contenham determinados atributos. Assim, pode-se utilizar esse processo para identificar os dados relacionados à adequação LGPD e facilitar o mapeamento. 

Isso porque existem diversas empresas que, mesmo tendo um processo de tratamento automatizado, por vezes não diferenciam os dados, o que resulta na movimentação desnecessária de informações e um prejuízo para a parte organizacional. 

Recomenda-se a utilização de softwares para o data discovery, visto que pode facilitar a adequação à LGPD e a gestão de dados dentro da empresa. 

O mapeamento de dados exige uma qualificação técnica, por isso recomenda-se o auxílio de uma consultoria jurídica personalizada para o processo.

Dante Dalcegio