Com o Data Mapping entendemos à fundo as 5 etapas que todo e qualquer dado passa dentro de qualquer departamento de uma empresa, não importando o tamanho ou mercado. Novamente meu caro, não é preciso ser nenhum PhD em PMBOK ou Gestão de Projetos para entender essas etapas tão importantes! Pois, o Data Mapping e o Inventário de Dados se tornaram, uma das maiores ferramentas de trabalho dos DPOs!

O mercado hoje trouxe muita tecnologia e qualidade para esses processos! Não temos o que falar. Mas, meu objetivo aqui hoje é te ensinar a ver as coisas de maneira mais simples e objetiva, como de fato são – um simples ordenamento dos fatos, e isso já vai te ajudar.

Então, vamos lá!

Um conceito básico que vai nortear a sua compreensão daqui pra frente:

Logo, cada processo pode ser organizado em uma ordem, ou não, formando assim as rotinas dos departamentos.

Assim, para cada processo da sua empresa, os 5 pontos abaixo podem ser cumpridos total ou parcialmente.

São eles:

1. Motivação precisamos deste dado – Por quê?

2. 2.1 – Consentimento.

3. Processamento / Tratamento

   1 – Compartilhamento interno entre as áreas e sistemas.

   3.2 – Armazenamento para uso e consulta interna.

   3.3 – Back-up.

4. Descarte

5. Fim do processo?

E o que eu faço com esses 5 pontos acima?

Sim, dá trabalho eu sei!

Mas, isso será extremamente valioso em caso de uma notificação da ANPD ou antes mesmo, no caso de um cliente ou visitante do seu site te pedir acesso aos dados que vocês eventualmente tenham sobre ele.

Lógico, e se você é uma “EUpresa”, ou tem pouquíssimos funcionários e processos tudo isso pode se resumir a 3, 4 sistemas (e-mail, automação de marketing, algum google drive e a contabilidade) pois, tudo está armazenado nestes lugares. Agora, imagina uma empresa com 500 funcionários em 10 cidades.

Lembre-se, de acordo com a LGPD qualquer titular pode bater na sua porta perguntando se você tem algum dado dele, e, você deve responder com agilidade.

Logo, sem o “mapa do tesouro” como você vai saber que o zé@emailmaroto.com se cadastrou na Newsletter, já comprou há 3 meses e foi seu funcionário há 5 anos atrás?

Neste exemplo acima, você teria que reportar para o “Zé” que você possui dados como:

- Nome, E-mail, CPF, Telefone, Endereço, Carteira de Trabalho, Filiação (dados do RH) e compartilhamento com Google e Facebook.

Pelos motivos de:
1- Contratação no passado, logo a legislação trabalhista te obriga a manter esses dados na contabilidade por X anos. Ou seja, mesmo que ele peça a exclusão você poderá negá-la, por força maior da outra legislação.

2 – Compra do produto X, Y, Z há 3 meses.
Que também gerou o cadastro na newsletter (com o famoso “aceito receber promoções”). Da newsletter, você tem ele na lista de disparo para novos produtos e novidades do seu e-commerce, e todas as ferramentas de remarketing estão ligadas perseguindo-o diariamente por toda a internet, toda vez que ele entra pra ver os seus produtos.

Sendo assim, ele pode livremente te pedir a exclusão de todos os seus dados para fins de marketing. Isso vai te levar a uma ação que desencadeia diversas outras. São elas:

- Apagar o e-mail e demais dados no CRM e ferramenta de disparo de e-mails.
- Distribuir a solicitação de Opt-out para eventuais sistemas que você esteja integrado e usem esses dados. (sistema da logística e ERP, por exemplo)
- Remover ele do segmento de remarketing do Google e Facebook.
- Reportar em uma documentação oficial da empresa que os passos acima foram realizados prontamente.

(Para os clientes AdOpt, quando integrada ao Tag Manager a parte dos cookies fica bem mais fácil! Pois, no momento que o visitante não autoriza algum deles, a AdOpt já bloqueia esse disparo automaticamente!
Aqui um tutorial pra você!

Além disso, a requisição de um visitante na na página de opt-out já envia na mesma hora um e-mail pra você, com essa solicitação vinculando o e-mail do solicitante ao Cookie ID gerado no Opt-In.

Assim, você consegue já iniciar essa busca com um maior direcionamento caso o solicitante tenha te dado o consentimento a alguma ferramenta, e quando.

Entendeu agora a importância de um mapeamento dos processos da empresa?

Somente com tudo isso em mãos que você vai terá tranquilidade e, principalmente, facilidade de acessar a todos esses dados prontamente. Para algumas empresas cerca de 48, 72 horas (um prazo razoável para uma resposta...) dá e sobra, para outras é praticamente impossível.

Seja você ou o seu DPO contratado, nós não podemos parar a empresa a cada requisição que um visitante solicite. Com o Data Mapping em mãos, essa busca é muito mais rápida, direcionada e diria até automatizada, caso você use um software só pra isso.

Abaixo um detalhamento maior sobre cada um dos pontos do Data Mapping

1. **Motivação precisamos deste dado – Por quê?**Se a LGPD ainda não despertou em você e na sua empresa uma reflexão real sobre a real necessidade dos dados pessoais em sua empresa, pare e faça isso o quanto antes.

   Sim! Muitas vezes, principalmente as áreas de Marketing e Vendas tem uma compulsão pela informação de qualificação e identificação dos prospects e leads para cada etapa do funil. É ótimo pegar o telefone e fechar os últimos detalhes da venda, ou abordar um cliente indeciso na surpresa e conseguir convencê-lo do valor do seu negócio.

   Mas, o ponto que destaco é: Repense as reais necessidades de acessar, processar e armazenar esses dados. Você não necessariamente precisa ter um excel com milhares de linhas dos seus clientes inativos de 5 anos atrás, na esperança de um dia reaquecer essa lista morta. À luz da LGPD seu risco já foi mensurado, será que ele vale a pena?

   Nesse artigo deixo pra você 10 processos do marketing que você deve repensar na LGPD!

2. Coleta.
   Quais são as maneiras com que cada processo coleta/recebe os seus dados, e juntamente com eles o seu consentimento? Todos os dados adentram a empresa por 1 única porta de entrada, ou mais de uma?

   Liste-as todas, e reveja se em cada porta de entrada estão dispostas as devidas comunicações de políticas e processos, e se juntamente com os dados, são também coletados os consentimentos de cada titular. Ainda que de maneira analógica/off-line, o consentimento é essencial
   1 – Consentimento.
   Sim, o consentimento é essencial mas, não é o único instrumento que te permite acessar ou processar dados pessoais.

   Nesse artigo listamos todas as bases legais que amparam o uso de dados pessoais, segundo a LGPD.

3. Processamento / Tratamento
   1 – Compartilhamento interno entre as áreas e sistemas.
   - Para o processamento de dados são utilizados softwares terceiros?
   - Os dados trafegam entre eles de que maneira?
   - O software está alinhado ao seu processo e política de privacidade?
   - Caso algum titular solicite a exclusão dos dados pessoais da sua empresa, como notificar esse fornecedor externo ou interno, para que ele processe a exclusão?

   - Há alguma documentação ou ferramenta de busca que assista ao DPO em caso de varredura, para facilmente localizar algum dado de titular no departamento

   3.2 – Armazenamento para uso e consulta interna.

   - Durante os processos onde os dados são armazenados?
   - Por quanto tempo?
   - Arquivos, HDs físicos ou na nuvem?
   - Esta nuvem está em território nacional ou internacional?
   - Quem será o responsável pela ação de exclusão, ou consulta no banco de dados caso haja solicitação?

   - Há alguma documentação ou ferramenta de busca que assista ao DPO em caso de varredura, para facilmente localizar algum dado de titular no departamento

   3.3 – Back-up.
   - Qual a periodicidade e regras para backup?
   - Arquivos, HDs físicos ou na nuvem?
   - Esta nuvem está em território nacional ou internacional?
   - Quem será o responsável pela ação de exclusão, ou consulta no banco de dados caso haja solicitação?

   - Há alguma documentação ou ferramenta de busca que assista ao DPO em caso de varredura, para facilmente localizar algum dado de titular no departamento

4. Descarte
   Apesar de extremamente facilitado para arquivos digitais, essa etapa do processo é bastante séria. Pois, muitos arquivos permanecem na “lixeira”, e não são devidamente deletados.
   Para arquivos físicos esse problema é ainda maior, quando o descarte é mal feito ou negligenciado.
   Entenda esse processo e principalmente caso haja terceiros na etapa, inclua-os no seu monitoramento de terceiros eventualmente envolvidos.

5. Fim do processo?
   O fim do processo é de fato o fim da jornada do dado na empresa, ou ele é apenas o começo de um outro?

Certamente à primeira vista, essas perguntas e questionamentos todos podem soam como excessivos. Mas, acredite esses são só algumas das perguntas que você teria/terá que responder caso contrate uma consultoria e adequação.

Ou, em um cenário não tão informal como esse texto, uma visita da ANPD.

Espero ter te ajudado com uma melhor compreensão de o como essas etapas são essenciais na rotina de um DPO.
Com o Data Mapping temos com certeza a base para a confecção de uma política de privacidade mais robusta.

Sentiu falta de algum item, ou descritivo?
Manda pra gente, estamos abertos a melhorias, sempre! - Pode nos enviar no hey@goadopt.io

Uma próxima leitura que indico a você, para aprofundar mais o assunto é:

As diferenças entre Operador e Controlador dos dados.