A importância do Mapeamento de Dados antes do início de uma adequação à LGPD
Desde o início da vigência da Lei Geral de Proteção de Dados (LGPD – lei Nº 13.709 de 18 de setembro de 2020), uma maratona de adequações iniciou-se Brasil a fora. Com o intuito em atender o exigido pela LGPD, muitas empresas começaram seus projetos sem ter uma ideia básica de como funcionam internamente. Para que um programa de adequação seja bem executado precisa-se, obrigatoriamente, seguir à risca o seu escopo. Ao conversar com diversos clientes e profissionais da área que estão realizando as adequações em suas organizações, foi questionado qual era a visão deles em relação a importância do data mapping e eles foram unanimes em suas respostas: “Sem mapeamento de processos não temos como realizar uma adequação de forma eficaz e satisfatória.” Então, nos vem a seguinte reflexão: Por que as empresas não têm se preocupado com essa parte tão importante e essencial para um processo de adequação? Antes de tudo, é preciso compreender o quão necessário é o levantamento de uma situação atual. Quando se fala em Data Mapping, ou Mapeamento de Dados em português, é inevitável deixar de pensar no precursor, o mapeamento de processos, muito utilizado em projetos de melhoria/transformação, que possibilita identificar gargalos, delimitar funções e papéis, prever recursos, estimar custos e mensurar o desempenho do processo. Mas afinal o que é Data Mapping? Podemos dizer que Data mapping é a análise de todo o caminho que um dado pessoal percorre desde o início do processo de negócio (coleta) pela sua empresa até o final deste mesmo processo, momento no qual o dado é descartado caso não haja outra legislação vigente que determine a necessidade de armazenar o dado por um período de tempo maior. A importância do Data Mapping À medida que sua empresa vai crescendo e incluindo novas rotinas em suas tarefas diárias, os processos começam a ficar mais complexos. Entretanto se sua empresa não estiver com seus processos bem mapeados, inevitavelmente surgirão gargalos, acarretando a diminuição da produtividade e a elevação dos custos. Portanto para que uma empresa possa operar em sua excelência, os seus processos precisam ser melhorados constantemente. Podemos afirmar que, para melhorar os processos internos de uma empresa, é primordial entender o funcionamento de todas as atividades da mesma, incluindo cada tarefa executada em cada setor da empresa. Outra vantagem do data mapping é que temos uma visão de como o processo se comporta na realidade, conseguindo identificar onde ocorrem as discrepâncias e ter uma visão macro sobre como funciona cada processo. Por meio do mapeamento podemos saber por onde passam os dados dentro de nossa empresa e quem tem acesso aos mesmos, poderemos assim entender qual a forma que são coletados, os canais utilizados para isso, quais são compartilhados, como são armazenados. Também é possível classificar os dados por categoria (sensíveis e não sensíveis), a finalidade para qual os mesmos estão sendo coletados, qual base legal está sendo usada e quais os riscos envolvidos. Como dito acima o data mapping é uma parte importante e essencial para projetos de adequação à LGPD, pois somente após sua execução é que poderemos criar um plano de governança e de adequação à lei. Com base no mapeamento é possível conhecer também os riscos que sua empresa está exposta, se está realizando algum tratamento de dados de forma errada, solicitando mais dados que o necessário, entre outros. Para se realizar um bom mapeamento de processos devemos nos atentar a: • Envolver os setores-chave da empresa como a parte técnica e jurídica, compondo assim uma equipe multidisciplinar; • Identificar os processos de negócios de cada setor, se compartilham dados ou se a coleta começa em um e termina em outro. Todos os departamentos possuem particularidades e podem utilizar os dados de forma diferente; • Aplicação de entrevistas e questionários;• Verificar o compartilhamento com terceiros;• Fazer a identificação de ativos e o mapeamento da parte tecnológica;• Realizar uma avaliação dos riscos à organização e à TI;