Iniciando o processo de mapeamento, a empresa deverá identificar toda a jornada dos dados dos titulares:
Qual a origem dos dados e por quais canais são coletados? (site, aplicativos, atendimento, SAC, etc).
Eles estão categorizados? (dados pessoais, sensíveis, etc).
Qual a finalidade? Há base legal e necessidade de tratamento dos dados?
Como, por quem e para qual finalidade será realizado o tratamento dos dados?
Como são armazenados os dados na empresa?
Eles são compartilhados com alguém?
Existe um canal de fácil acesso entre sua empresa e o titular dos dados?
Há uma política de retenção, descarte e compartilhamento dos dados?
Já identificou quem poderá ter acesso aos dados e quais serão estes dados?
Existe um DPO (Data Protection Officer) na empresa que zelará pela privacidade da informação?
Mapeamento dos dados ou Data Mapping
Uma vez identificada como é a jornada da informação na sua empresa, agora é hora de começar a mapear todos os dados tratados. O ideal neste processo é contar com a colaboração de cada departamento de sua empresa: RH, Comercial, SAC, Marketing, Financeiro, e assim por diante. Este passo é importante pois cada um deles utiliza um tipo de dado específico para sua finalidade; também porque os processos de jornada e propósitos são diferentes. Por exemplo, é provável que o setor financeiro utilize dados como CPF, conta bancária e situação financeira, enquanto o Marketing, só necessite do e-mail para o envio de promoções.
O papel do Departamento Jurídico também é muito importante, pois ele analisará, juntamente com o responsável pela adequação à LGPD, se as bases legais para cada finalidade de tratamento estão corretas e as possíveis vulnerabilidades dos processos e contratos, tanto com os titulares como com os operadores e controladores.
Após cada departamento organizar e descrever como utiliza e trata os dados dos titulares, o responsável pela adequação à LGPD poderá classificar as informações, dar recomendações sobre quem realmente precisa ter acesso a elas, implantar uma política de minimização de dados e até solicitar o descarte dos dados coletadas em excesso sem necessidade.
Sendo assim, é muito importante que o responsável pela adequação à Lei entenda todos os processos, cultura e objetivos da empresa e tenha conhecimento da LGPD, da legislação trabalhista, da legislação específica do setor ou que seja assessorado por uma consultoria especializada, além de contar com o comprometimento de todos os funcionários da empresa. Esse cenário é essencial para propor um Plano de Ação que reduza a probabilidade de ocorrerem incidentes de segurança que possam acarretar risco ou dano relevante, além de poder atender aos direitos dos titulares.
Principais pontos de mapeamento
Vamos elencar os principais pontos que devem ser considerados no mapeamento:
Classificar os tipos de dados: origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato, filiação a organização de caráter religioso, filosófico ou político, dados referentes à saúde, vida sexual, genético ou biométrico, comprovação de identidade oficial (como por exemplo, número de RG, CPF, CNH), financeiro, nomes de usuário ou senhas de sistemas de informação, dado de geolocalização, etc.
Identificar os titulares: funcionários, prestadores de serviço, clientes, consumidores, usuários, pacientes de serviço de saúde, crianças ou adolescentes, etc.
Descrever as etapas do fluxo de dados: coleta, armazenamento, processamento, eliminação, etc.
Tecnologia: apontar quais as tecnologias utilizadas no fluxo de dados (banco de dados, planilha eletrônica, serviços em nuvem, papel, etc).
Armazenamento: identificar os locais de armazenamento dos dados (dentro da empresa, filiais, fornecedores).
Origem: identificar por onde os dados são captados (site, comercial, recepção, telefone, e-mail, SAC, etc).
Tratamento: informar quais atividades são realizadas com os dados.
Compartilhamento: mapear se os dados são compartilhados e, em caso positivo, com quais parceiros, grupo econômico, governo, empresas e fornecedores de negócio e indicar se eles são operadores ou controladores do dado.
Transferência internacional de dados: identificar se o controlador ou operador é internacional, além das plataformas em que podem ser compartilhados os dados, por exemplo, plataformas em nuvem, data centers, etc.
Localidade de tratamento: indicar os países onde o dado é tratado ou armazenado para poder identificar se os mesmos possuem leis compatíveis com a LGPD.
Política de retenção e extinção dos dados: estabelecer os prazos de retenção e extinção dos dados.
Segurança da informação: estabelecer os controles de segurança da informação para proteger os dados em poder da empresa ou de operadores.
Direito dos titulares: verificar se os dados estão armazenados de forma a permitir que o titular exerça seus direitos.
Transparência e Política de Privacidade: verificar se a política de privacidade descreve os dados, tratamentos, finalidades, compartilhamento conforme o levantamento no mapeamento e se essas informações são comunicadas aos titulares.
Vivamus eget est in odio tempor interdum. Mauris maximus fermentum arcu, ac finibus ante. Sed mattis risus at ipsum elementum,
ut auctor turpis cursus. Sed sed odio pharetra, aliquet velit cursus, vehicula enim. Mauris porta aliquet magna, eget laoreet ligula.
Sed mattis risus at ipsum elementum, ut auctor turpis cursus. Sed sed odio pharetra, aliquet.