LGPD: A importância do mapeamento em projetos para a Lei Geral de Proteção de Dados
Como o mapeamento de processos, dados, aplicações e serviços é fundamental para as ações de compliance frente à Lei Geral de Proteção de Dados?
Bem vindos a mais um artigo sobre a LGPD em nosso blog. Hoje abordaremos a importância de um mapeamento detalhado e completo nos processos de adequação e manutenção de conformidade.
Uma das primeiras fases em nossos projetos de adequação, é a de entrevistas com as áreas/departamentos/verticais de negócio. Nela identificamos – em linhas gerais – itens como:
- Processos (digitais ou físicos / “em papel”) e objetivos de processamento;
- Dados tratados e eventuais períodos de retenção;
- Sistemas, Sites, Apps ou similares;
- Origem e destino dos dados, bem como operadores e controladores.
A importância do mapeamento de dados para a LGPD
O objetivo aqui não é buscar conformidade imediata ou alteração de quaisquer espécies, mas sim entender o processo ou tratamento na forma “as-is”.
Estes dados servirão como “ponto de partida” para compreender (e mapear) como e quais dados são coletados, a razão pelas quais são processados, períodos de retenção atualmente implementados (ou não) na organização, personagens do processo com acesso aos dados, interações entre processos e sistemas, e entender como são tecnicamente protegidos.
Utilizando como exemplo o nosso formato de trabalho, para cada processo e tratamento, o time de consultoria vai se debruçar para fazer o detalhamento, a análise e as recomendações. Importante ressaltar que este detalhamento é um processo multidisciplinar e necessita da participação ativa das áreas de negócio impactadas (idealmente no nível mais granular possível), TI e projeto (adequação / conformidade / LGPD / consultoria).
Neste processo, as equipes internas da organização deverão identificar a criticidade e a importância dos sistemas e tratamentos para o negócio da empresa. Paralelamente, times de TI precisarão avaliar sua infraestrutura – aquela que suporta tais tratamentos – frente às melhores práticas de mercado.
Ao final destas atividades de “descobertas”, do entendimento das necessidades de tratamento da organização e do ciclo de vida dos dados, produziremos um mapa de riscos e recomendações. Áreas de negócio e comitê de privacidade deverão então, com esse material em mãos, traçar um plano de ações para corrigir completamente ou mitigar riscos e não-conformidades, preferencialmente começando pelos itens / atividades de maior importância e criticidade para a empresa.
E se meu mapeamento de dados e tratamentos não for completo?
Se o mapeamento não foi completo, seu time e sua empresa não terão visibilidade do processo como um todos. As ações de correção e mitigação não serão completas e você estará abrindo espaço para riscos não mapeados e suas consequências – de imagem e financeiras.
Quanto mais granular for um mapeamento, melhor será o resultado final.
Sem um bom mapeamento, não é possível identificar tratamentos não contemplados pela LGPD, que coletam dados pessoais ou pessoais sensíveis desnecessariamente, a não implementação de boas práticas de proteção de dados, sistemas obsoletos ou que não ofereçam proteção adequada para o tipo de dado tratado, transferência internacional de dados, ou até mesmo problemas relacionados à contratação de terceiros (e as medidas que estes terceiros tomam na proteção dos dados que lhe foram confiados).
Só é possível proteger aquilo que se conhece.
DPO HELPER suportando a conformidade com a LGPD
Na Macher Tecnologia possuímos o software DPO HELPER. Ele ajuda as organizações no processo de mapeamento, interação entre áreas de negócio e times de privacidade na identificação e avaliação contínua de tratamentos. Entre em contato conosco e solicite uma apresentação de nossos consultores.
Terminei meu mapeamento. E agora?
O mapeamento é uma fotografia. A representação do tratamento de dados em um determinado momento.
Para ter a visibilidade adequada e fazer a manutenção da sua conformidade, é necessário que os personagens do processo estejam atentos às mudanças e inovações que ocorrerão naturalmente pelas demandas de negócio e que busquem o auxílio do DPO para documentar novos tratamentos de dados e mudanças nos processos existentes.
A conformidade é um esforço constante de times de negócio, TI e privacidade!
Caso esteja em dúvidas sobre como começar o processo de adequação da sua empresa, entre em contato com a Macher Tecnologia. Será um prazer auxiliar.
Precisa de ajuda?
Se você ainda não começou seu processo de adequação à LGPD, se busca um DPO externo (terceirizado) ou se precisa de um suporte à execução do seu DPO interno, entre em contato conosco!
Possuímos planos extremamente flexíveis e customizáveis para atender as necessidades de sua PME.
Consulte nossas opções de DPO-as-a-Service, de treinamentos customizados e de Centro de Serviços Compartilhado para a LGPD.
Suportamos sua empresa na jornada de conformidade!
Conheça toda nossa linha de atuação consultiva na Lei Geral de Proteção de Dados.
CONSULTORIA, TREINAMENTOS E PROJETOS DE ADEQUAÇÃO
- Consultoria e projetos de adequação
- Treinamento EXIN PDPE
- Adequação de sistemas (sites, aplicações, mobile apps, etc)
- Gestão de Projetos / PMO
- DPO HELPER: Ferramenta online para mapeamento de processos, tratamentos, sistemas e dados
- Ferramenta online para avaliação de conhecimento organizacional sobre a LGPD
- Revisão ou auditoria pontual em projetos / processos