O artigo 37 da LGPD diz: “O controlador e o operador devem manter registro das operações de tratamento de dados pessoais que realizarem, especialmente quando baseado no legítimo interesse”.
Portanto, um dos primeiros passos que uma empresa deve fazer é realizar um mapeamento dos processos de negócios que realizam ações de tratamento de dados pessoais e, isto se chama data mapping.
O data mapping além de identificar os processos de negócios que realizam o tratamento de dados pessoais, também vai identificar quais ativos de tecnologias (sistemas de arquivos, bancos de dados, storages, serviços em nuvem, etc) estão envolvidos nos tratamentos dos dados, ou seja, onde os dados pessoais são armazenados e processados por exemplo.
O outro benefício direto do Data Mapping é identificar as ações de tratamento de compartilhamento de dados pessoais com fornecedores e terceiros.
O data mapping vai permitir que a empresa tenha uma visão clara e objetiva sobre as atividades de tratamento de dados pessoais, onde eles são processados e armazenados, e com quem a empresa os compartilha.
Essas são informações fundamentais para entender como os dados pessoais são capturados, processados, compartilhados e armazenados e como é possível prevenir e proteger estes dados de forma efetiva.
O que é o data discovery?
Em geral, o processo de mapeamento de dados (data mapping) faz o levantamento dos processos que tratam dados pessoais e com isto anota-se os atributos de dados pessoais.
Ou seja, quais dados pessoais (nome, CPF, data de nascimento etc.) e dados pessoais sensíveis (raça, opiniões políticas, opção religiosa etc.) são tratados nos processos. Porém, muitas vezes as empresas armazenam e tratam muitos outros atributos de dados pessoais e nem sabem.
O Data Discovery consiste na varredura e descoberta de dados pessoais e dados pessoais sensíveis nos repositórios de arquivos e bancos de dados das empresas. No contexto da LGPD, ele possui duas importantes funções.
A primeira é descobrir os dados pessoais e dados pessoais sensíveis, dar visibilidade de onde estão armazenados e avaliar os riscos de tratamento de dados desnecessários na empresa.
Já a segunda é automatizar as respostas dos direitos dos titulares, pois, sabendo de antemão onde os dados daquele titular estão, é possível criar uma lista de tarefas com os dados pessoais encontrados e então o Encarregado de Proteção de Dados valida estes dados e responde o titular, sem precisar efetivamente fazer solicitações internas de buscas de dados pessoais.
Quer conhecer mais informações sobre data mapping e data discovery? Conte com a Future! Entre em contato com um de nossos consultores agora mesmo e tire suas dúvidas.