Como faço para mapear os tratamentos de dados na minha empresa?
Quando as pessoas me perguntam quais são os primeiros passos para se adequar à LGPD, eu sempre digo: nomeie um encarregado, divulgue as informações de contato dele no site da empresa e comece a mapear o fluxo de dados na empresa.
A primeira parte é bem fácil: escolhe uma pobre alma para chamar de DPO, cria um e-mail dpo@nomedaempresa e põe no site. Mas e esse tal mapeamento, como resolvo essa encrenca? Não é tarefa simples, mas vou compartilhar algumas dicas que vão ajudar bastante.
A primeira é pensar como cada setor da empresa funciona e tentar entender como os dados caminham ali dentro. De onde eles vêm? Quem é que alimenta isso? Onde ficam armazenados? Em formato físico ou digital? E de lá, para aonde vão ? Quem tem acesso? Como são (ou deveriam ser) eliminados? Se são digitais, existe backup? Onde está esse backup?
Vamos a um exemplo prático. Suponhamos que você tenha um e-commerce. Você tem um banco de leads com pessoas que se cadastraram na sua newsletter ou que baixaram seu e-book. Com isso, você já sabe que os dados vêm de seu site e que são alimentados pelo próprio titular (pelo menos é o que se espera). Essas informações ficam armazenadas no seu banco de dados ou na nuvem da empresa que você usa para o disparo de e-mails. São armazenados em formato digital, acessados pelo marketing e pela agência de publicidade e não costumam ser eliminados.
Voilà! Você começou seu processo de mapeamento. Agora repita isso em todos os setores e para cada processo envolvendo tratamento de dados. Converse com os gestores de cada área e com as pessoas que lidam com a operação desses dados para compreender melhor o cenário. Quanto mais detalhado e completo for o seu mapeamento , mais fáceis serão os passos seguintes do processo de adequação.
Eu gosto de, ao final do mapeamento de cada processo, fazer um gráfico com o fluxo dos dados em que fique bem claro de onde vêm e para onde vão as informações . Fica muito mais fácil para o meu cliente entender o que se passa dentro da empresa dele e visualizar as vulnerabilidades e riscos decorrentes desses tratamentos.
Gostou das dicas? Compartilhe esse artigo com aquele seu amigo que não faz ideia de como começar.
Por Raphael Di Tommaso