fbpx

O escopo deste artigo é apresentar um direcionamento de como realizar o mapeamento do fluxo de dados pessoais em uma organização que deseja se adequar à Lei Geral de Proteção de Dados (LGPD)

A organização deve implementar controles que garantam a segurança dos dados pessoais e mitiguem riscos de violação, para isto, é necessário ter mapeado as entradas, processamentos e saídas dos dados na companhia, esta atividade é denominada como Data Mapping.

1. Introdução

Para atender aos requisitos estabelecidos na Lei Geral de Proteção de Dados (LGPD) e assegurar os direitos do Titular de Dados, conforme artigo 18 da Lei, a organização deve implementar controles que garantam a segurança dos dados pessoais e mitiguem riscos de violação.

Para isto, é necessário ter mapeado as entradas, processamentos e saídas dos dados na companhia, esta atividade é denominada como Data Mapping.

A área responsável por implementar o programa de governança em privacidade, conforme artigo 50 da Lei, tem uma série de premissas a cumprir para garantir a proteção dos dados e a transparência ao titular.

Primeiramente é necessário realizar o levantamento do cenário atual da companhia através do mapeamento de dados da organização.

Esta área deve estabelecer um passo a passo das atividades a serem realizadas e apresentar para aprovação da alta administração.

Ela tem o papel de fomentar uma cultura de proteção de dados junto aos demais executivos da companhia, esta ação, fará com que a abordagem às áreas de negócio seja mais eficiente.

A seguir apresento um exemplo de planejamento que pode ser seguido:

1. Conhecer as áreas da organização
2. Estabelecer cronograma de entrevista com as áreas
3. Realizar entrevista de mapeamento de fluxo de dados
4. Consolidar as análises
5. Validar o fluxo com a área entrevistada
6. Apresentar para a alta direção
7. Implementar melhorias

O mapeamento do fluxo de dados consiste em definir quais processos de negócios da organização possuem tratamento de dados pessoais de colaboradores, terceiros, clientes ou qualquer outra pessoa física que tenha alguma relação comercial com a organização e após o tratamento, documentar o que a área faz com esses dados.

Primeiramente, a organização deve definir em qual meio irá realizar este mapeamento, por exemplo, se utilizará uma planilha em Excel ou irá adquirir um software no mercado que já possua um modelo pré-estabelecido.

Caso opte pela compra de um software, é importante levantar todos os requisitos de TI que o software deve ter para adequação ao modelo de negócio da empresa.

Ressalto que, por mais que muitas empresas vendam soluções prontas, é importante poder ter opções de customização a necessidade da empresa, garantindo um mapeamento aderente.

Com o meio em que o mapeamento será realizado definido, o próximo passo é estabelecer quais os tipos de informação este documento deve conter, ou seja, quais serão as informações essenciais de acordo com a necessidade da companhia para assegurar o mapeamento do ciclo de vida dos dados pessoais.

2. Conhecer as áreas de Negócios

O primeiro passo que recomendo é categorizar por áreas da companhia, em linhas gerais, uma organização é dividida basicamente em Recursos Humanos, Marketing e Comunicação, Jurídico, Contabilidade, Tesouraria, Auditoria Interna, Operação ou Produção dependendo do negócio da empresa, Tecnologia da Informação, Compliance, Compras e Logística.

Para cada uma dessas áreas deve-se mapear em alto nível o processo de negócio que executam. Vale ressaltar que, a depender do segmento que está inserida mais complexa será esta atividade e algumas ressalvas devem ser feitas.

3. Estabelecer Cronograma de Entrevistas com as Áreas

Definido as áreas da companhia com base no organograma, é o momento de planejar o cronograma.

No gerenciamento de projeto, o requisito tempo é crucial para alcançar com sucesso a finalidade para qual o projeto foi estabelecido, portanto recomenda-se ter um documento com as datas das reuniões, contendo os pontos focais de cada área, horários, status (Agendada, Realizada, Cancelada e Reagendada) e observações.

Este cronograma deve ser alinhado com todos envolvidos para mitigar imprevistos e falhas de comunicação.

4. Realizar as Entrevistas de Mapeamento de Fluxo de Dados Pessoais

O mapeamento pode ser feito através de entrevista, envio de planilhas, observação direta de execução das atividades, entre outros métodos.

O que recomendo é que seja realizado a entrevista com a área, pois desta forma reduz o risco de interpretações equivocadas dos itens do documento do data mapping.

A estratégia de condução da entrevista vai depender do nível de conhecimento do entrevistador sobre as atividades da área e do negócio da companhia.

Por exemplo, se o entrevistador souber quais os processos que compõe a área pode elaborar um questionário específico com perguntas direcionadas para os dados pessoais.

Caso o entrevistador não possua este conhecimento deve começar pelas perguntas básicas, de qual o escopo da área, o que a área entrega, missão e visão da área diante a companhia e quais são os processos de negócios que permeiam a área. Este entendimento auxiliará na elaboração do fluxo de dados.

O próximo passo é saber quais destes processos possuem dados pessoais.

Neste momento é importante fazer um overview com a área que está sendo entrevista, acerca das definições de dado pessoal, dado pessoal sensível, dado anonimizado, banco de dados, tratamento e as figuras da Lei: titular, operador, controlador e encarregado para isto, deve-se utilizar as próprias definições que a Lei Geral de Proteção de Dados traz em seu escopo, conforme artigo 5º da Lei.

Como boa prática, é importante ressaltar a distinção entre dados pessoais e dados de negócios, uma vez que esta diferenciação gera muitas dúvidas entre os envolvidos. Este panorama geral deve durar aproximadamente uns 20 minutos.

Com este nivelamento de conhecimento, é o momento do segundo bloco de perguntas afim de levantar quais os tipos de dados que são coletados, lembrando que o objetivo é mapear os processos de negócios que tratam dados pessoais.

Então neste sentido podemos dividir a classificação dos dados em 2 macro grupos, dados pessoais: nome, telefone, CPF, RG, data de nascimento, gênero, endereço de IP, nº de carteira de trabalho, estado civil, geolocalização, grau de instrução, profissão, conta bancária, e-mail, titulo de eleitor e etc.

E dados pessoais sensíveis: origem racial, convicção religiosa, opinião política, filiação sindical, dados de saúde, dados genéticos, biometria, reconhecimento facial.

Esses grupos macros ainda podem ser divididos em subcategorias para melhor organização da classificação dos dados pessoais, como por exemplo: dados de identificação, dados econômicos, dados de educação, dados comportamentais e etc.

O próximo passo é saber como a área teve acesso a este dado, se coletou diretamente do titular, ou se recebeu de outra área da companhia, ou de outra empresa.

Em seguida, é importante determinar qual o tipo de tratamento que a área faz com o dado, de acordo com a LGPD o tratamento “é toda operação realizada com dados pessoais”.

A Lei 13.709 no artigo 5º traz alguns exemplos de tratamento sendo eles: “coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.”

Para melhor esclarecimento, sugiro que quando pensar em tratamento de dados, relacione a toda ação que possa fazer, ou seja, se puder conjugar um verbo para a ação que está realizando com o dado, então é um tipo de tratamento.

Os exemplos mais usuais de tratamentos dos dados são: coleta, recebimento, consulta, alteração, classificação, transferência, armazenamento e eliminação.

Neste momento, teremos claro os papéis de agente de tratamento da empresa, se a companhia é controladora e operadora ou exerce apenas um dos papéis. Esta definição é importante para estabelecimento de cláusulas e revisões contratuais.

Após o tratamento é necessário levantar qual a próxima atividade que a área realiza, por exemplo se transfere para outra área prosseguir com demais tratamentos, ou transfere para dar retorno a alguma solicitação.

Esta informação é importante para poder fazer o link entre todas as áreas que tiveram acesso aos dados e realizaram algum tratamento.

Durante esse levantamento, pode-se incluir os questionamentos de controles de Segurança da Informação, a LGPD deixa claro que o controlador dos dados deve garantir medidas e mecanismos técnicos de proteção aos dados pessoais.

Para deixar a entrevista mais fluída, durante a abordagem de transferência, pode-se incluir as seguintes perguntas: Há algum mecanismo de anonimização do dado, ou pseudoanonimização para realizar a transferência?

O documento é enviado com alguma classificação de acesso? Quando a outra área/ empresa recebe há a possibilidade de armazenamento na máquina? Essa transferência se dá em território nacional ou internacional?

Para os casos em que há armazenamento de dados, novas perguntas devem ser feitas, há políticas e procedimentos publicados e vigentes na companhia que orientam o tema?

Ou a área armazena por período indeterminado?

Ou a retenção do dado segue alguma Lei?

Onde esses dados são armazenados?

Quais sistemas são utilizados?

Em quais meios esses dados são apresentados (físico ou digital)?

Neste momento é importante termos levantado esta relação, da finalidade do armazenamento do dado pessoal. Estas perguntas ajudam a identificar quais medidas de segurança devem ser adotadas para cada cenário.

5. Consolidar a análise

Com a finalização das entrevistas, a equipe responsável pelo levantamento do fluxo de dados deve consolidar as informações levantadas durante as entrevistas e correlacionar as oportunidades de melhorias para cada fluxo de dado.

Nesta etapa, é importante ressaltar as metodologias de Segurança da Informação, quais mecanismos, controles, processos, procedimentos e afins devem ser estabelecidos para garantir a manutenção de um sistema de fluxo de dados seguro mitigando violações de segurança e garantindo os Direitos do Titular.

Alguns exemplos de campos que o mapeamento do fluxo de dados pode conter são: Área da companhia, Ponto focal da entrevista, processos sob gestão da área, documentos relacionados, controles relacionados, tipos de dados pessoais, tratamento de dados pessoais, motivo da coleta de dados pessoais – finalidade, onde é armazenado o dado, período de retenção, medida de segurança já estabelecida, gap identificado e descrição da ação para correção do gap.

6. Validar com a Área Entrevistada

Recomenda-se como boa prática, a elaboração da representação do processo em diagrama.

O desenho do fluxo do processo em alto nível auxiliará no entendimento do ciclo de vida do dado pessoal naquela área em específico. Para isto, é necessário definir qual notação de modelagem de processos de desenho irá utilizar, sendo as mais usuais para este caso fluxograma e BPMN (Business Process Model and Notation).

A abordagem nesta etapa é de melhoria contínua, a validação tem por objetivo apresentar para a área o trabalho realizado com as oportunidades de melhorias apontadas e realizar qualquer tipo de ajuste final antes de apresentar para a Alta Administração.

Esta fase é importante para evitar qualquer tipo de ruído de comunicação e não causar nenhum desconforto ou surpresa para nenhum dos envolvidos.

7. Apresentar para Alta Administração

A penúltima fase é apresentar para alta administração em alto nível o mapeamento do fluxo de dados e as oportunidades de melhorias levantadas, validar a entrega, sanar dúvidas, estabelecer estratégias e priorizar quais serão as oportunidades melhoria que serão implementadas e quem será responsável pela implementação.

8. Implementar Oportunidades de Melhorias

A implementação da melhoria deve ser realizada em conjunto entre a área que levou o apontamento do GAP e a área interna de proteção de dados.

Esta segunda, irá monitorar o desenvolvimento da implementação, a área deve estabelecer um ponto focal que irá conduzir a implementação e reportar para a equipe de proteção de dados.

Vale lembrar que os direcionadores das ações que serão realizadas já estarão descritos no gap.

9. Conclusão

Após a implantação das melhorias, é importante continuar o monitoramento do fluxo de dados.

Como a organização é um ambiente vivo, e devido ao mercado e novas tecnologias, está em desenvolvimento, novos processos de negócio podem surgir, escopos de áreas podem mudar, então é necessário revisar este inventário.

Este monitoramento deve estar no escopo da equipe de governança da privacidade a qual será responsável por implementar o programa de proteção de dados pessoais na companhia.

Ressalto ainda que a aplicação da melhoria contínua é primordial para a continuidade da conformidade com a proteção de dados na organização.

A organização deve implementar controles que garantam a segurança dos dados pessoais e mitiguem riscos de violação, para isto, é necessário ter mapeado as entradas, processamentos e saídas dos dados na companhia, esta atividade é denominada como Data Mapping.

Gabriela Berge é consultora em Privacidade, Proteção de Dados e Cibersegurança, Engenheira de produção graduada no Centro Federal de Educação Tecnológica Celso Sukow da Fonseca (RJ), com conhecimento em Gestão de Processos de Negócios pela Universidade do Estado do Rio de Janeiro. Com experiência profissional na área de gestão e governança de processos, projetos de adequação a LGPD e governança de segurança da informação. Certificada EXIN PDPE, ISFS (ISO/EIC 27001), PDPF, PDPP e DPO.

Foi nossa aluna na Turma Presencial RIO1, tambem novamente numa turma EAD e hoje é professora convidada na Privacy Academy do curso “Gestão de Processos na LGPD”.

Deixe um comentário

O seu endereço de e-mail não será publicado.