A Lei 13.709/2018 – LGPD, traz expressamente em seu art. 37 a obrigação do controlador e operador manterem o registro das operações de tratamento de dados pessoais que realizarem.
Esse registro de operações de tratamento de dados é muito conhecido por inventário de dados ou ainda data mapping e compõe um dos principais pilares do programa de privacidade e proteção de dados pessoais.
A obrigatoriedade do mapeamento de dados não se restringe simplesmente à LGPD, vez que podemos encontra-lo em outras legislações internacionais que tratam do assunto de proteção e privacidade de dados, como por exemplo do General Data Protection Regulation – GDPR ou ainda no California Consumer Privacy Act – CCPA.
Importante destacar que não existe uma forma única de se realizar e documentar o mapeamento de dados, mas a experiência tem mostrado que a elaboração por meio de planilhas e/ou software acabam sendo as formas mais práticas e otimizadas de realiza-lo. Isto porque, o mapeamento é composto por uma série de informações que precisam ser coletadas, permitindo, com isso, uma visão geral do fluxo de dados. Ademais, a depender do tamanho da empresa, possa ser que o mapeamento contenha dezenas de milhares de processos e procedimentos, tornando o documento demasiadamente extenso. Portanto, é importante que quem esteja conduzindo tal tarefa e observe e entenda qual meio atende melhor as necessidades.
Não podemos ainda deixar de mencionar a possibilidade de a empresa ainda no processo de mapeamento realizar um data discovery, mecanismo que possibilita a identificação de dados não estruturados no banco de dados.
Mas por que esse documento é tão importa e necessário para que um programa de privacidade e proteção de dados se mantenha vivo e eficaz?
Primeiramente, é por meio do mapeamento de dados que a empresa (controladora/operadora), passa a ter uma visão geral do ciclo de vida dos dados pessoais dentro de sua organização, permitindo que entenda qual a porta de entrada daquele dado, como ele transita dentro da empresa, com quem eventualmente aquele dado é compartilhado, por quanto tempo permanece armazenado e, por fim, como e quando é descartado.
O mapeamento deve incluir todos os processos e procedimentos que a empresa possui e que indispensavelmente depende do tratamento de um dado pessoal.
Portanto, é através do mapeamento de dados que se tem um panorama geral de como a empresa está enfrentando as questões de privacidade e segurança da informação, seja de seus clientes, colaboradores e terceiros.
Não somente isto, é por meio do mapeamento de dados também que se descobre eventuais vulnerabilidades que a empresa possa estar exposta e que de alguma forma possa representar um risco aos direitos dos titulares, seja pelo tratamento de forma equivocada daquele dado ou ainda uma vulnerabilidade de segurança que ponha em risco a disponibilidade, confidencialidade e integridade daquele dado .
É muito importante que uma vez feito o mapeamento, este seja atualizado/revisado periodicamente, vez que deve refletir fidedignamente o atual cenário da empresa. É natural que empresas estejam em constante transformação, logo, frequentemente desenvolvem novos produtos e serviços que necessitam do tratamento de dados pessoais, que anteriormente não haviam sido contemplados no mapeamento ou ainda descubram que um processo não faz mais sentido para a empresa, de modo que deixam de utilizá-lo. Portanto, seja na inclusão e/ou exclusão de um processo de tratamento de dados pessoais, tal hipótese deve ser contemplada pelo mapeamento de dados.
Via de regra, a atualização do mapeamento fica sob responsabilidade do Encarregado de dados – DPO. Por isso, é de suma importância que as áreas internas da empresa tenham sempre uma comunicação clara e ágil com o Encarregado para informa-lo a respeito dessas alterações, permitindo com isso que o mapeamento não fique desatualizado.
Por fim, caso o agente de tratamento deixe de elaborar o mapeamento de dados, com o registro das operações de tratamento de dados pessoais, pode incorrer em uma das sanções administrativas previstas no art. 52 e seguintes da LGPD.
Portanto, fica claro que para além da obrigatoriedade da elaboração de tal documento, o mapeamento acaba sendo um importante instrumento para que a empresa conheça afundo o seu modelo de negócio, além de identificar possíveis vulnerabilidades. Não é rara as vezes que durante um processo de mapeamento a empresa percebe que alguns de seus processos e procedimentos já não fazem mais sentido para o seu momento atual, o que acaba gerando custos desnecessários, além da falta de agilidade, de modo que, uma vez identificado estes pontos na fase de mapeamento, possa redirecionar o seu curso e com isso obter melhores resultados.
O nosso Escritório está preparado para lhe auxiliar tanto na elaboração do mapeamento de dados, quanto em qualquer outra questão que envolva o tema de privacidade e proteção de dados pessoais. Caso queira saber mais, nos contate!