Mapeamento dos Dados é uma técnica que permite identificar onde todos os dados pessoais estão localizados, como são usados e quem os acessa.
O objetivo principal do Mapeamento de Dados é criar uma visão abrangente e estruturada dos dados que uma organização possui, identificando características, relacionamentos, origens e fluxos de dados.
Identificar a maneira como as informações estão sendo utilizadas, para que os Princípios de Privacidade e Segurança estabelecidos na lei, sejam obedecidos.
Somente com o Mapeamento de Dados será possível avaliar os riscos ligados à Privacidade na empresa.
Somente conseguiremos entender os riscos da empresa, se percorremos todo esse caminho. Por isso a importância de ter pessoas engajadas que irão me ajudar a percorrer este caminho.
Mapeamento dos Dados nada mais é do que eu questionar essas pessoas, de qual forma o dado é coletado na sua área, como ele é utilizado, como ele é armazenado, se ele é descartado, com quem ele é compartilhado e dessa maneira descobrirei o Ciclo de Vida do Dado Pessoal em cada área da empresa.
Juntando tudo, eu tenho o Mapeamento de Dados.
Começando de Fato
Após a Reunião Incial e o Treinamento de Conscientização, já entendemos quais são as áreas impactadas, já definimos em conjunto quais são os pontos focais, já conhecemos as pessoas de cada área que vão nos ajudar, os interloctures, e agora vamos iniciar o próximo passo, que é o Mapeamento dos Dados.
Cada interlocutor deverá receber por e-mail, o Questionário Investigativo de Dados.
Esse questionário deverá ser preenchido com o máximo de informações possíveis, referente ao departamento e envia para análise.
O Questionário Investigativo
O Questionário Investigativo para o Mapeamento de Dados pode ajudar a obter informações detalhadas sobre os processos de coleta, armazenamento e processamento de dados em uma organização.
O Questionário Investigativo contará com perguntas à respeito do tipo de Tratamento de Dados realizado em cada departamento da empresa, qual a finalidade desse tratamento e locais onde estão os repositórios desses dados pessoais.
Seu objetivo é coletar o máximo de informações possíveis à respeito de todo processo de Tratamento de Dados realizado na empresa, desde a coleta até seu descarte ou armazenamento.
Após o recebimento do questionário, deve-se iniciar o preenchimento do Registro de Operações de Tratamento de Dados Pessoais.
Registro de Mapeamento de Dados
O Registro de Mapeamento de Dados Pessoais é a compilação estruturada dos Tratamentos de Dados Pessoais realizados dentro da empresa.
É o documento que viabiliza a proteção dos dados pessoais pela organização e através do qual se tem conhecimento dos tratamentos de dados que realiza.
Vamos começar a elaborar nosso Mapeamento de Dados!
Coluna 1º: Descrição do Repositório de Dados Físicos e/ou Digitais em que o dado pessoal se encontra.
EX: Sala do Arquivo Morto
Coluna 2º: Descrição do Tipo de Dado.
EX: Dados Pessoais Sensíveis – Biométrico, Dependentes menores de idade, filiação à sindicato
Coluna 3º: Descrição do Próposito
EX: Armazenamento de Dados dos Ex-Funcionários
Coluna 4º: Descrição da segurança aplicada.
EX: Sala do Arquivo fechada à chave, com filmagem do espaço e o acesso controlado. Documentos consultados apenas por abertura de chamados e protocolos.
Coluna 5º: Descrição de quem tem acesso ao local.
EX: Funcionários Tercerizados da empresa XX.
Coluna 6º: Descrição dos Responsáveis.
EX: Agentes de Tratamento, Controlador
Coluna 7º: Nome dos Operadores e Sub-Operadores.
EX: Gabriella Bastos – empresa XX
Coluna 8º: Qual a origem dos dados.
EX: Documentos de contratação, gestão e demissão de funcionários. Documentos de funcionários de prestadores de serviço / fornecedores. Dados de sócios da empresa. Equipamentos de registro de ponto não utilizados mais.
Coluna 9º: Qual Software é usado?
EX: Alfresco / ARH
Coluna 10º: Descrição do local de armazenamento físico.
EX: Arquivo Morto na Matriz
Coluna 11º: Descrição do local de armazenamento digital.
EX: Servidor da empresa.
Coluna 12º: É compartilhado com terceiros?
EX: Sim, com a empresa de medicina do trabalho.
Coluna 13º: Nome da empresa com quem compartilha e CNPJ e local.
EX: CNPJ: 10.353.436/0001-12 – CCE Medicina do Trabalho– Dados de saúde e dados pessoais de colaboradores– na Matriz da empresa.
Coluna 14º: Realiza transferência internacional?
EX: Não
Coluna 13º: Transferência Internacional – País e Salvaguardas
EX: Não há transferência internacional de dados.
Exemplo da Planilha
Descrição do Repositório | Tipo de Dado* | Propósito | Segurança aplicada |
Arquivo Central | *Dados Pessoais Sensíveis | Armazenamento de Dados Funcionários | Sala fechada controlado por chave o acesso, área externa com controle de acesso. |
Quem tem accesso (departamentos e prestadores de serviço) | Responsáveis ** | Nome Operadores |
ARQUI / GERÊNCIA XXX / PESSOAL DA LIMPEZA EMPRESA YYY | **Agentes de Tratamento | Renata Oliva / matriz |
Qual a origem dos dados | Qual software é usado | Local de armazenamento físico | Local de armazenamento digital | Compartilhado com terceiros? | Nome da Empresa com quem compartilha os dados | Transfe rência Interna cional? |
Passados pelos funcionários | Alfresco / ARH | Matriz | Servidor empresa | Não | NA | Não |
Dados Pessoais | Repositórios presentes |
Endereço | Dossiê Funcionário, Currículos enviados pelo WebSite |
Correio eletronico no formato nome.sobrenome@empresa.com | Repositório de Arquivos, Emails |
Qualquer numero de identificação ( RG, CPF e outros) | Dossiê Funcionários, Sistema ARH |
Dados de Localização | Dossiê Funcionário |
Perfil Social, conjunto de habilidades e histórico de educação. | Pode constar em currículos enviados pelo WebSite e documentos contidos no dossiê do funcionário. |
Dados Pessoais Sensíveis | Repositórios presentes |
Filiação a sindicato | Dossiê Funcionário DP |
Dado referente à saúde ou à vida sexual | SESMT, Clínica Médica, Dossiê Funcionário DP |
Dado biométrico | Equipamento de Ponto |
Dados Bancários | Sistema ARH e Dossiê Funcionário |
Dados de menores de idade – dependentes colaboradores | Dossiê Funcionário DP |
RAZÃO SOCIAL FORNECEDOR | TIPO DE TRATAMENTO | LOCAL | CNPJ |
ARQUI LTDA | Trata dados de funcionários da XXX no ARQUIVO, e compartilha dados de funcionários seus com a XXX. | MATRIZ | 10353456/0001-12 |
Assim, o Mapeamento de Dados é uma ferramenta estratégica que permite às organizações gerenciar efetivamente seus ativos de informação, garantindo conformidade legal, melhorando a segurança e promovendo uma governança de dados eficaz.
Se a empresa for muito pequena, somente 3 ou 4 pessoas, após o treinamento, já deverá ser realizada a entrevista para preenchimento do Questionário Investigativo, aproveitando o tempo que já se está na empresa para resolver tudo.