O primeiro passo para que uma startup possa, de fato, se adequar à Lei Geral de Proteção de Dados (LGPD) é realizar o mapeamento de dados pessoais. Neste artigo explicaremos o que é o mapeamento, qual a sua importância e daremos 7 dicas práticas para fazê-lo da forma mais eficiente.
1) O que é mapeamento de dados?
O mapeamento de dados, também conhecido como data mapping ou inventário de dados, é o processo por meio do qual é possível conhecer de maneira aprofundada as atividades de tratamento de dados da empresa.
Em outras palavras, é a forma de entender os fluxos de informações existentes dentro do negócio, desde o momento que são coletadas até o momento em que são excluídas definitivamente.
2) Quais as vantagens de realizar o mapeamento de dados?
O mapeamento permite analisar de forma completa e estruturada quais são as categorias dos dados que estão em posse da startup, com qual finalidade são coletados e qual a base legal que justifica o tratamento.
Além disso, é uma boa prática, que permite identificar os riscos aos quais a empresa está exposta, como tratamentos excessivos, coletas desnecessárias, falhas na segurança ou armazenamentos por prazos irregulares.
Por meio do data mapping é possível também fazer o Registro de Operações de Tratamento de Dados, o ROPA, que é um documento obrigatório que todas as empresas devem ter.
Ainda, é possível definir qual é o melhor caminho para a adequação à LGPD, ter clareza e entendimento sobre a gestão dos dados e evitar penalidades ou danos à reputação da startup.
3) 7 dicas práticas para fazer o mapeamento de dados
Seguem abaixo dicas para fazer um data mapping completo e assertivo para a startup:
i) Escolha um meio seguro para inserir as informações. Pode ser um sistema interno, externo ou até mesmo uma tabela. O importante é que sejam aplicadas medidas de segurança para garantir a sua confidencialidade e inviolabilidade.
ii) Restrinja o acesso ao mapeamento apenas às pessoas que forem essenciais. Esse arquivo irá conter informações muito profundas sobre a startup e não deve ser exposto a qualquer um.
iii) Mantenha o data mapping fácil de compreender e organizado. Isso ajudará muito caso a startup precise consultá-lo diante de um incidente de segurança ou se basear nele para uma prestação de contas.
iv) Separe o mapeamento de dados por setores para que cada departamento consiga identificar as informações que trata. Isso se aplica, inclusive, aos dados que são compartilhados internamente. Por mais padronizados que sejam os processos dentro de uma startup, cada setor tem suas particularidades e isso deve ser identificado no mapeamento.
v) Conte com uma equipe interdisciplinar. A adequação à LGPD envolve diretamente áreas, como jurídico, segurança da informação, tecnologia e gestão.
vi) Inclua no mapeamento tudo o que for necessário para entender o fluxo completo da informação dentro da startup. É essencial saber tópicos como: dados pessoais que são coletados em cada atividade, finalidades, se haverá compartilhamento de informações, como esses dados estão protegidos, quem tem acesso a eles, quem responde em caso de incidentes de segurança, se há transferência internacional de dados e por quanto tempo essas informações são armazenadas.
vii) Defina um período para revisar o mapeamento de dados. As atividades de tratamento se modificam constantemente, o que faz com que o data mapping seja dinâmico. Não basta ter um mapeamento, é essencial que ele reflita a realidade da startup e esteja sempre atualizado.
4) Conclusão
É primordial que o mapeamento de dados seja feito de forma correta e completa, pois ele guiará todos os próximos passos de adequação da empresa à LGPD, como os documentos que são necessários e as medidas técnicas e administrativas que devem ser implementadas.
Por isso, o ideal é que a startup, por mais enxuta que seja, conte com profissionais especializados para fazer essa atividade, especialmente advogados e profissionais da área de tecnologia.
Por Natália Nunes