Home
Data Mapping e Inventário de Dados – O Colete Salva Vidas do DPO

Data Mapping e Inventário de Dados – O Colete Salva Vidas do DPO

4 meses atrás
5 minutos

Com o Data Mapping entendemos à fundo as 5 etapas que todo e qualquer dado passa dentro de qualquer departamento de uma empresa, não importando o tamanho ou mercado. Novamente meu caro, não é preciso ser nenhum PhD em PMBOK ou Gestão de Projetos para entender essas etapas tão importantes! Pois, o Data Mapping e o Inventário de Dados se tornaram, uma das maiores ferramentas de trabalho dos DPOs!

O mercado hoje trouxe muita tecnologia e qualidade para esses processos! Não temos o que falar. Mas, meu objetivo aqui hoje é te ensinar a ver as coisas de maneira mais simples e objetiva, como de fato são – um simples ordenamento dos fatos, e isso já vai te ajudar.

Então, vamos lá!

Um conceito básico que vai nortear a sua compreensão daqui pra frente:

Com o agrupamento de processos temos um departamento.

Logo, cada processo pode ser organizado em uma ordem, ou não, formando assim as rotinas dos departamentos.

Assim, para cada processo da sua empresa, os 5 pontos abaixo podem ser cumpridos total ou parcialmente.

São eles:

  1. Motivação precisamos deste dado – Por quê?

  2. 2.1 – Consentimento.

  3. Processamento / Tratamento

    1 – Compartilhamento interno entre as áreas e sistemas.

    3.2 – Armazenamento para uso e consulta interna.

    3.3 – Back-up.

  4. Descarte

  5. Fim do processo?

E o que eu faço com esses 5 pontos acima?

Preenche eles e estrutura essa lógica em todos os seus processos e consequentemente, departamentos.

Sim, dá trabalho eu sei!

Mas, isso será extremamente valioso em caso de uma notificação da ANPD ou antes mesmo, no caso de um cliente ou visitante do seu site te pedir acesso aos dados que vocês eventualmente tenham sobre ele.

Lógico, e se você é uma “EUpresa”, ou tem pouquíssimos funcionários e processos tudo isso pode se resumir a 3, 4 sistemas (e-mail, automação de marketing, algum google drive e a contabilidade) pois, tudo está armazenado nestes lugares. Agora, imagina uma empresa com 500 funcionários em 10 cidades.

Lembre-se, de acordo com a LGPD qualquer titular pode bater na sua porta perguntando se você tem algum dado dele, e, você deve responder com agilidade.

Logo, sem o “mapa do tesouro” como você vai saber que o zé@emailmaroto.com se cadastrou na Newsletter, já comprou há 3 meses e foi seu funcionário há 5 anos atrás?

Neste exemplo acima, você teria que reportar para o “Zé” que você possui dados como:

- Nome, E-mail, CPF, Telefone, Endereço, Carteira de Trabalho, Filiação (dados do RH) e compartilhamento com Google e Facebook.

Pelos motivos de:
1- Contratação no passado, logo a legislação trabalhista te obriga a manter esses dados na contabilidade por X anos. Ou seja, mesmo que ele peça a exclusão você poderá negá-la, por força maior da outra legislação.

2 – Compra do produto X, Y, Z há 3 meses.
Que também gerou o cadastro na newsletter (com o famoso “aceito receber promoções”). Da newsletter, você tem ele na lista de disparo para novos produtos e novidades do seu e-commerce, e todas as ferramentas de remarketing estão ligadas perseguindo-o diariamente por toda a internet, toda vez que ele entra pra ver os seus produtos.

Sendo assim, ele pode livremente te pedir a exclusão de todos os seus dados para fins de marketing. Isso vai te levar a uma ação que desencadeia diversas outras. São elas:

- Apagar o e-mail e demais dados no CRM e ferramenta de disparo de e-mails.
- Distribuir a solicitação de Opt-out para eventuais sistemas que você esteja integrado e usem esses dados. (sistema da logística e ERP, por exemplo)
- Remover ele do segmento de remarketing do Google e Facebook.
- Reportar em uma documentação oficial da empresa que os passos acima foram realizados prontamente.

(Para os clientes AdOpt, quando integrada ao Tag Manager a parte dos cookies fica bem mais fácil! Pois, no momento que o visitante não autoriza algum deles, a AdOpt já bloqueia esse disparo automaticamente!
Aqui um tutorial pra você!

Além disso, a requisição de um visitante na na página de opt-out já envia na mesma hora um e-mail pra você, com essa solicitação vinculando o e-mail do solicitante ao Cookie ID gerado no Opt-In.

Assim, você consegue já iniciar essa busca com um maior direcionamento caso o solicitante tenha te dado o consentimento a alguma ferramenta, e quando.

Entendeu agora a importância de um mapeamento dos processos da empresa?

Somente com tudo isso em mãos que você vai terá tranquilidade e, principalmente, facilidade de acessar a todos esses dados prontamente. Para algumas empresas cerca de 48, 72 horas (um prazo razoável para uma resposta...) dá e sobra, para outras é praticamente impossível.

Seja você ou o seu DPO contratado, nós não podemos parar a empresa a cada requisição que um visitante solicite. Com o Data Mapping em mãos, essa busca é muito mais rápida, direcionada e diria até automatizada, caso você use um software só pra isso.

Abaixo um detalhamento maior sobre cada um dos pontos do Data Mapping

  1. **Motivação precisamos deste dado – Por quê?**Se a LGPD ainda não despertou em você e na sua empresa uma reflexão real sobre a real necessidade dos dados pessoais em sua empresa, pare e faça isso o quanto antes.

    Sim! Muitas vezes, principalmente as áreas de Marketing e Vendas tem uma compulsão pela informação de qualificação e identificação dos prospects e leads para cada etapa do funil. É ótimo pegar o telefone e fechar os últimos detalhes da venda, ou abordar um cliente indeciso na surpresa e conseguir convencê-lo do valor do seu negócio.

    Mas, o ponto que destaco é: Repense as reais necessidades de acessar, processar e armazenar esses dados. Você não necessariamente precisa ter um excel com milhares de linhas dos seus clientes inativos de 5 anos atrás, na esperança de um dia reaquecer essa lista morta. À luz da LGPD seu risco já foi mensurado, será que ele vale a pena?

    Nesse artigo deixo pra você 10 processos do marketing que você deve repensar na LGPD!

  2. Coleta.
    Quais são as maneiras com que cada processo coleta/recebe os seus dados, e juntamente com eles o seu consentimento? Todos os dados adentram a empresa por 1 única porta de entrada, ou mais de uma?

    Liste-as todas, e reveja se em cada porta de entrada estão dispostas as devidas comunicações de políticas e processos, e se juntamente com os dados, são também coletados os consentimentos de cada titular. Ainda que de maneira analógica/off-line, o consentimento é essencial
    1 – Consentimento.
    Sim, o consentimento é essencial mas, não é o único instrumento que te permite acessar ou processar dados pessoais.

    Nesse artigo listamos todas as bases legais que amparam o uso de dados pessoais, segundo a LGPD.

  3. Processamento / Tratamento
    1 – Compartilhamento interno entre as áreas e sistemas.
    - Para o processamento de dados são utilizados softwares terceiros?
    - Os dados trafegam entre eles de que maneira?
    - O software está alinhado ao seu processo e política de privacidade?
    - Caso algum titular solicite a exclusão dos dados pessoais da sua empresa, como notificar esse fornecedor externo ou interno, para que ele processe a exclusão?

    - Há alguma documentação ou ferramenta de busca que assista ao DPO em caso de varredura, para facilmente localizar algum dado de titular no departamento

    3.2 – Armazenamento para uso e consulta interna.

    - Durante os processos onde os dados são armazenados?
    - Por quanto tempo?
    - Arquivos, HDs físicos ou na nuvem?
    - Esta nuvem está em território nacional ou internacional?
    - Quem será o responsável pela ação de exclusão, ou consulta no banco de dados caso haja solicitação?

    - Há alguma documentação ou ferramenta de busca que assista ao DPO em caso de varredura, para facilmente localizar algum dado de titular no departamento

    3.3 – Back-up.
    - Qual a periodicidade e regras para backup?
    - Arquivos, HDs físicos ou na nuvem?
    - Esta nuvem está em território nacional ou internacional?
    - Quem será o responsável pela ação de exclusão, ou consulta no banco de dados caso haja solicitação?

    - Há alguma documentação ou ferramenta de busca que assista ao DPO em caso de varredura, para facilmente localizar algum dado de titular no departamento

  4. Descarte
    Apesar de extremamente facilitado para arquivos digitais, essa etapa do processo é bastante séria. Pois, muitos arquivos permanecem na “lixeira”, e não são devidamente deletados.
    Para arquivos físicos esse problema é ainda maior, quando o descarte é mal feito ou negligenciado.
    Entenda esse processo e principalmente caso haja terceiros na etapa, inclua-os no seu monitoramento de terceiros eventualmente envolvidos.

  5. Fim do processo?
    O fim do processo é de fato o fim da jornada do dado na empresa, ou ele é apenas o começo de um outro?

Certamente à primeira vista, essas perguntas e questionamentos todos podem soam como excessivos. Mas, acredite esses são só algumas das perguntas que você teria/terá que responder caso contrate uma consultoria e adequação.

Ou, em um cenário não tão informal como esse texto, uma visita da ANPD.

Espero ter te ajudado com uma melhor compreensão de o como essas etapas são essenciais na rotina de um DPO.
Com o Data Mapping temos com certeza a base para a confecção de uma política de privacidade mais robusta.

Sentiu falta de algum item, ou descritivo?
Manda pra gente, estamos abertos a melhorias, sempre! - Pode nos enviar no hey@goadopt.io

Uma próxima leitura que indico a você, para aprofundar mais o assunto é:

As diferenças entre Operador e Controlador dos dados.

Tags

LGPD
Encarregado de Dados
DPO
Optout
Mapeamento de Dados

Artigos relacionados

Adopt post

Por que do “Aviso de Cookies” em todo lugar?

Quer entender o motivo deste “aviso de cookies” em tudo o que é site hoje em dia? Esse artigo é pra você! Descubra o que são, sua finalidade, as exigências da LGPD (Lei Geral de Proteção de Dados) e muito mais.

Adopt post

LGPD e Cookies: o que você precisa saber.

Neste artigo você terá uma bela introdução ao tema, bem como várias outras variações que orbitam o assuntos: Cookies e LGPD.

Adopt post

Multas na LGPD – Quais são, valores e prazos de adequação

Quais multas são previstas na LGPD? Qual é a multa máxima que uma empresa pode receber? Todas as empresas podem ser multadas? Essas e outras respostas pra você!

Adopt post

10 processos do marketing que você deve repensar na LGPD!

Entenda quais são os processos do seu marketing (que envolvem dados pessoais) que devem ser repensados por conta da LGPD.

Adopt post

Como apagar Cookies e o Cache no Chrome e outros navegadores?

Aprenda, com um passo a passo, como apagar os Cookies e o Cache no Chrome e outros navegadores.

Adopt post

Como escolher um banner de cookies para o seu site?

Qual o melhor banner de cookies para o seu site, e como escolher em meio as tantas opções do mercado? Vamos te ajudar!

Adopt post

Entenda o que são as Bases Legais da LGPD

A LGPD nos trás 10 Bases Legais, ou seja, 10 motivos que legitimam uso dos dados pessoais enquadrando os mais variados motivos e hipóteses para o uso dos dados, de maneira legal!

Adopt post

Como adequar o marketing digital à LGPD?

O marketing é um dos departamentos que mais deve se esforçar pera se adequar a LGPD, aqui algumas dicas pra você!

Adopt post

As diferenças entre Operador e Controlador dos Dados - LGPD

Dois aspectos da LGPD que vão apontam até onde vai a sua responsabilidade. Falamos das diferenças entre Operador e Controlador na LGPD.

Adopt post

Qual a política de privacidade ideal para a sua empresa?

Será que existe uma Política de Privacidade à prova de falhas? Já te respondo prontamente: Não. E, vou te ajudar e entender o porquê!

Adopt post

Boas práticas na categorização de tags.

Chegou a hora de falarmos sobre uma das tarefas de maior impacto - tanto para a empresa, como para o visitante dos seus sites

Adopt post

Como funciona um aviso de cookies da LGPD?

Aqui um passo a passo detalhado, para você entender à fundo o funcionamento do aviso de cookies da AdOpt. Desde o primeiro acesso...

Adopt post

Tudo sobre a Lei Geral de Proteção de Dados (LGPD)

Lei Geral de Proteção de Dados – LGPD: o que é, por que ela existe, como funciona, a quem se aplica, multas, adequação, seus princípios e muito mais...

Adopt post

O que é uma política de privacidade?

As conversas sobre política de privacidade começaram a pipocar desde o ano passado. Apesar de parecer coincidência, não é!

Adopt post

O que é Privacy by Design?

Entenda o que é é Privacy by Design, sua origem e relação com a LGPD, refinando seu olhar sobre as legislações de privacidade!

Adopt post

O que é uma CMP (Plataforma de Gestão de Consentimento)?

O que é uma CMP? CMP é a sigla para “Consent Management Platform”. Em português, plataforma de gestão de consentimento.

Adopt post

As Responsabilidades do Encarregado de Dados - DPO na LGPD

Conheça as responsabilidades de uma das profissões mais quentes do momento, a carreira do “Data Protection Officer” – DPO ou “Encarregado de Proteção de Dados”, uma consequência direta da LGPD.

Adopt post

Entenda o significado da LGPD para a sua empresa

Certamente você já deve ter visto aquelas previsões alarmistas de multas e sanções que a LGPD trouxe consigo, certo? Mas, qual o significado, faz sentido mesmo?

Adopt post

Até quando podemos ignorar a LGPD?

A LGPD está em vigor. Apesar disso, não são poucas as empresas que estão a ignorando, mas isso é possível? Até quando podemos ignorar a LGPD?

Adopt post

ROPA na LGPD? Conheça os Registros das Atividades de Tratamento

A LGPD - Lei Geral de Proteção de Dados trouxe consigo várias siglas e termos específicos. Muitos deles importados de outros países e legislações. Um deles é o ROPA (Record Of Processing Activities), adaptado no Brasil para Registros das Atividades de Tratamento. Um documento essencial para qualquer DPO, Encarregado de Dados.