O Mapeamento de Dados Pessoais, fundamental para a conformidade com a Lei Geral de Proteção de Dados Pessoais (LGPD), é o processo que permite compreender o ciclo de vida dos dados dentro da organização, desde a sua coleta até o descarte.
Esse procedimento resulta na elaboração do Registro das Operações de Tratamento de Dados Pessoais (ROPA), uma obrigação legal estabelecida no artigo 37 da LGPD para controladores e operadores.
Para realizar o mapeamento de dados por processo de forma adequada às normas da ANPD e às melhores práticas, devem-se seguir os seguintes procedimentos e diretrizes:
1. Metodologia de Execução
O mapeamento deve ser elaborado em conjunto pelos diversos setores da empresa, podendo contar com auxílio técnico e jurídico para identificar e analisar possíveis vulnerabilidades.
O Encarregado pelo Tratamento de Dados Pessoais (DPO) desempenha um papel de coordenação, conduzindo uma série de entrevistas para identificar e mapear todos os dados pessoais.
O levantamento pode ser realizado através de:
Entrevistas: Realizadas com cada setor para mapear as atividades desempenhadas.
Plataformas Específicas: Utilização de softwares de gestão e mapeamento de dados, existem várias plataformas de gestão da privacidade que no futuro podemos trazer aqui para conhecimento.
Planilhas: Uso de ferramentas manuais para o registro das operações, essa é uma possibilidade que pode atender a pequenos negócios para fazer esse mapeamento, em outro artigo vou trazer um exemplo.
2. Informações Essenciais a serem Mapeadas (Inventário de Dados)
Durante o mapeamento, é necessário identificar e registrar informações detalhadas sobre cada processo de negócio que envolve dados pessoais. As informações que devem constar no mapeamento incluem:
Atividade de Tratamento: Descrição do processo de negócio (ex: recrutamento, venda de produtos).
Categorias de Titulares: Identificação de quem são os titulares (ex: colaboradores, clientes, parceiros, crianças e adolescentes).
Tipos de Dados Pessoais: Especificação dos dados coletados (ex: nome, CPF, e-mail) e se há coleta de dados sensíveis ou de menores. Outra questão é poder utilizar ferramentas para anonimização dos dados ou pseudo-anonimização.
Finalidade: O motivo ou propósito específico para a utilização do dado pessoal.
Base Legal: A hipótese legal que justifica o tratamento (ex: consentimento, execução de contrato, legítimo interesse).
Forma e Fonte de Coleta: Como os dados entram na organização (meio físico, eletrônico, via terceiros).
Local de Armazenamento: Identificação de onde os dados estão guardados (arquivo físico, servidores, nuvem, dispositivos móveis).
Compartilhamento: Se o dado é transferido a terceiros (operadores, parceiros) e para quais finalidades.
Transferência Internacional: Se o dado é transferido para outros países e o local de destino.
Medidas de Segurança: Descrição das medidas técnicas e administrativas adotadas para proteger os dados (ex: controle de acesso, criptografia, backups).
Tempo de Retenção e Descarte: Por quanto tempo os dados ficam retidos e quando/como é feito o descarte.
3. Análise e Diagnóstico (Gap Assessment)
Com o mapeamento realizado, é possível visualizar o fluxo dos dados e identificar lacunas (gaps) de conformidade. Nesta etapa, deve-se:
Verificar a adequação às bases legais (artigos 7º e 11º da LGPD) para cada tratamento.
Analisar a necessidade e proporcionalidade dos dados coletados, visando a minimização.
Identificar riscos e vulnerabilidades que exijam planos de ação para mitigação.
4. Procedimentos Específicos para Agentes de Pequeno Porte (ATPP)
A ANPD estabeleceu normas diferenciadas para microempresas, empresas de pequeno porte e startups, permitindo que estas cumpram a obrigação de elaboração e manutenção do registro de operações de forma simplificada.
A ANPD fornece um modelo de registro simplificado para esses agentes.
O modelo simplificado foca em informações essenciais como: identificação do agente, categorias de titulares, tipos de dados (sem valores numéricos específicos), finalidade, base legal, compartilhamento e medidas de segurança.
5. Manutenção e Atualização
O mapeamento não é um documento estático. O DPO deve rever e atualizar o registro das operações (ROPA), o mapeamento e as políticas regularmente para refletir mudanças na legislação, nas práticas de mercado ou nos processos internos da empresa. É recomendável realizar ajustes semestrais ou em outra periodicidade definida pela organização.
