LGPD – O Mapeamento de Dados

Entendendo o Mapeamento de Dados

Dentro da LGPD existe o processo de mapeamento de dados é uma etapa importante que consiste em identificar, documentar e organizar as informações sobre os dados pessoais tratados por uma organização é estabelecido que as empresas devem conhecer e controlar quais dados pessoais são coletados, como são utilizados, onde são armazenados, quem tem acesso a eles e por quanto tempo são retidos. O mapeamento de dados é uma forma de atender a essas exigências legais.

Eis algumas etapas comuns no processo de mapeamento de dados:

1. Identificação dos dados pessoais: É necessário identificar todos os dados pessoais coletados e processados pela organização. Isso pode incluir informações como nome, endereço, número de telefone, e-mail, CPF, entre outros.

2. Levantamento das fontes de dados: É importante identificar as diferentes fontes de onde os dados são obtidos. Isso pode envolver sistemas internos, formulários online, interações com clientes, entre outros.

3. Análise das finalidades do tratamento: É preciso compreender as finalidades para as quais os dados são coletados e utilizados. Por exemplo, os dados podem ser coletados para realizar uma transação comercial, enviar newsletters ou fornecer suporte ao cliente.

4. Mapeamento dos fluxos de dados: É necessário traçar os caminhos pelos quais os dados pessoais são transmitidos dentro da organização, incluindo os departamentos ou sistemas que os recebem ou processam.

5. Avaliação das bases legais: Verificar se a organização possui uma base legal para tratar os dados pessoais. A LGPD prevê várias bases legais possíveis, como o consentimento do titular dos dados, o cumprimento de obrigação legal, o exercício regular de direitos em processo judicial, entre outros.

6. Registro e documentação: É fundamental documentar todas as informações coletadas durante o processo de mapeamento de dados. Isso inclui a criação de um inventário de dados que contenha detalhes sobre os tipos de dados coletados, as finalidades do tratamento, as bases legais, os responsáveis pelo tratamento, entre outras informações relevantes.

Este processo auxilia as organizações na compreensão e no gerenciamento adequado dos dados pessoais que possuem, permitindo a adoção de medidas de segurança e o cumprimento das obrigações estabelecidas pela lei. O processo de mapeamento pode variar dependendo das particularidades de cada organização, mas as etapas mencionadas acima geralmente são as mais aplicáveis. Recomenda-se buscar orientação especializada para garantir o cumprimento correto da LGPD e de outras leis de proteção de dados.

O que o titular dos dados precisa observar?

Como titular dos dados, você também tem direitos e interesses relacionados ao mapeamento de dados realizado pelas organizações que coletam e processam suas informações pessoais.

Atenção! Eis algumas informações importantes que você precisa saber sobre o mapeamento de dados:

1. Transparência: As organizações devem ser transparentes sobre o tratamento de seus dados pessoais. Isso significa que elas devem fornecer informações claras e acessíveis sobre como seus dados são coletados, utilizados, compartilhados e armazenados. Essas informações geralmente estão disponíveis nas políticas de privacidade ou avisos de privacidade das empresas.

2. Acesso aos seus dados: Como titular dos dados, você tem o direito de solicitar acesso aos seus dados pessoais que estão sendo processados por uma organização. Isso inclui saber quais dados estão sendo coletados, a finalidade do tratamento, as bases legais, entre outras informações relevantes.

3. Retificação e atualização de dados: Caso identifique que os dados pessoais que uma organização possui sobre você estão incorretos, desatualizados, incompletos ou inconsistentes, você tem o direito de solicitar a retificação ou atualização dessas informações.

4. Portabilidade dos dados: Em alguns casos, você tem o direito de solicitar a portabilidade dos seus dados pessoais. Isso significa que você pode pedir para receber seus dados em um formato estruturado e de uso comum, de modo a transferi-los para outra organização, caso deseje.

5. Limitação do tratamento: Você tem o direito de solicitar a limitação do tratamento de seus dados pessoais em determinadas circunstâncias, por exemplo, se contestar a exatidão dos dados ou se o tratamento estiver sendo realizado de forma ilegal.

6. Exclusão dos dados: Em certas situações, você tem o direito de solicitar a exclusão de seus dados pessoais pelas organizações. Essa solicitação pode ser feita, por exemplo, quando os dados não forem mais necessários para a finalidade original do tratamento ou quando você retira o consentimento fornecido anteriormente.

É importante ressaltar que esses são direitos gerais e que sua aplicação pode variar dependendo da legislação de proteção de dados aplicada no setor que está mapeando seus dados. Além disso, é fundamental que você esteja ciente de seus direitos, leia atentamente as políticas de privacidade das organizações e, se necessário, entre em contato com elas para exercer seus direitos.

Controlador: Como deve fazer o processo?

Como controlador de dados, você tem a responsabilidade de garantir o cumprimento adequado das disposições da Lei Geral de Proteção de Dados Pessoais (LGPD) e tomar cuidados específicos para proteger os dados pessoais dos titulares.

Fique Atento! Eis alguns cuidados importantes que você precisa ter:

1. Conformidade legal: Certifique-se de que sua organização está em conformidade com todas as obrigações legais estabelecidas pela LGPD. Isso inclui a implementação de medidas de segurança apropriadas, obtenção de bases legais para o tratamento dos dados, respeito aos direitos dos titulares, entre outras exigências legais.

2. Nomeação de encarregado de proteção de dados: Designe um encarregado de proteção de dados (DPO, na sigla em inglês) dentro de sua organização, quando aplicável. O DPO é responsável por garantir o cumprimento da LGPD e atuar como ponto de contato entre a organização, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).

3. Políticas de privacidade: Elabore e disponibilize uma política de privacidade clara e acessível aos titulares dos dados. Essa política deve informar de maneira transparente sobre as práticas de coleta, uso, armazenamento e compartilhamento de dados pessoais pela sua organização.

4. Consentimento válido: Se o tratamento dos dados pessoais depender de consentimento do titular, certifique-se de obter um consentimento válido e específico para cada finalidade do tratamento. O consentimento deve ser obtido de forma inequívoca, por meio de uma manifestação livre, informada e explícita do titular.

5. Segurança dos dados: Implemente medidas de segurança adequadas para proteger os dados pessoais contra acesso não autorizado, divulgação, alteração ou destruição. Isso pode incluir a adoção de políticas de segurança, criptografia, acesso restrito aos dados, monitoramento de sistemas, entre outras práticas de segurança.

6. Gestão de incidentes: Desenvolva um plano de resposta a incidentes de segurança da informação para lidar com possíveis violações de dados. Isso envolve a identificação rápida de incidentes, a adoção de medidas corretivas, a notificação aos titulares afetados e, se necessário, à ANPD.

7. Retenção adequada dos dados: Estabeleça uma política de retenção de dados que defina por quanto tempo os dados pessoais serão mantidos e quando serão excluídos de forma segura, de acordo com as finalidades do tratamento e com a legislação aplicável.

8. Auditoria e revisão: Realize auditorias internas periodicamente para avaliar o cumprimento das políticas de proteção de dados, revisar procedimentos e identificar possíveis melhorias em relação à proteção dos dados pessoais.

Lembrando que esses cuidados são apenas algumas diretrizes gerais, e é sempre importante buscar orientação jurídica especializada para garantir a conformidade completa com a LGPD e outras leis de proteção de dados específicas de sua área de atuação.

Não podemos deixar de lado também

Além de toda informação passada temos alguns alguns pontos que podem ser úteis para o mapeamento de dados:

1. Avaliação de riscos: Durante o processo de mapeamento, é importante realizar uma avaliação de riscos para identificar possíveis vulnerabilidades e ameaças aos dados pessoais. Isso ajuda a priorizar medidas de proteção e estabelecer estratégias de mitigação de riscos.

2. Categorias especiais de dados: A LGPD trata de maneira específica as categorias especiais de dados pessoais, como informações sobre saúde, raça, orientação sexual, crenças religiosas, entre outras. Ao mapear esses dados, é necessário ter um cuidado especial devido às restrições adicionais impostas pela lei ao seu tratamento.

3. Transferência internacional de dados: Caso a organização transfira dados pessoais para fora do país, é importante compreender as implicações legais e garantir que sejam aplicadas salvaguardas adequadas para proteger os dados durante a transferência. A LGPD estabelece regras específicas para a transferência internacional de dados.

4. Revisão periódica: O mapeamento de dados não deve ser visto como um processo único e estático. É recomendável realizar revisões periódicas para garantir que as informações estejam atualizadas e refletindo com precisão os dados pessoais tratados pela organização.

5. Privacidade desde o projeto (Privacy by Design): Ao realizar o mapeamento de dados, é recomendável considerar os princípios de privacidade desde o projeto. Isso implica incorporar medidas de proteção de dados desde o início do desenvolvimento de novos produtos, serviços ou sistemas, garantindo que a privacidade seja considerada de forma proativa.

6. Conscientização e treinamento: Promova a conscientização sobre a importância da proteção de dados entre os colaboradores da organização. Realize treinamentos regulares para garantir que todos os envolvidos no tratamento de dados pessoais compreendam suas responsabilidades e os requisitos legais.

7. Manutenção de registros: Mantenha registros atualizados sobre o mapeamento de dados realizados, as atividades de tratamento de dados, as bases legais, os prazos de retenção e as medidas de segurança implementadas. Esses registros podem ser úteis para demonstrar a conformidade com a LGPD, caso seja necessário.

Precisamos entender que o mapeamento de dados é um processo contínuo e dinâmico, que deve ser adaptado às características e necessidades específicas de cada organização. Recomenda-se buscar orientação especializada para garantir o cumprimento adequado da LGPD e de outras leis de proteção de dados aplicáveis ao seu contexto.

Temos que entender como funciona para podermos cobrar como titulares e organizar como controladores de forma justa e certa as informações de dados pessoais em consonância com a lei.