Aula 2: Data Mapping

e GAP Analysis
Contrato assinado! Agora é hora de dar início aos nossos
serviços, Aculturamento e Data Mapping.

A primeira atividade do Projeto é o Workshop de Aculturamento

de LGPD ministrado aos responsáveis eleitos pelo cliente como os
responsáveis internos para a condução do projeto.

O workshop consiste em um briefing sobre os principais conceitos

da LGPD (dados e suas tipologias, tratamento, agentes de tratamento,
encarregado, responsabilidades, bases legais, direitos dos titulares,
penalidades e Autoridade Nacional) para trazer conhecimentos aos
responsáveis pela condução do projeto de adequação à LGPD, pois
sem esse conhecimento o Data Mapping não é eficiente.

A ideia do Workshop de LGPD é aumentar o nível de consciência do

cliente para que a execução do projeto seja eficiente.

A segunda atividade do Projeto é a reunião de onbording. Nesta

atividade são ajustadas as expectativas iniciais do projeto, alguns
prazos são definidos, as responsabilidades e atribuições de cada
um dos responsáveis eleitos são definidas, bem como, se aplicável
ao cliente, são definidos os membros do Comitê.
A terceira atividade é a execução da fase denominada Data Mapping
(Mapeamento de Dados). O Data Mapping é a fase de diagnóstico
das operações de tratamento de dados pessoais.

Na Agência Diamante Digital essa fase foi executada em cada uma

das áreas de negócio da empresa, ou seja, dividimos o escopo entre
as seguintes áreas:

1 – Recursos Humanos
2 – Administrativo (financeiro/contábil)
3 – Recepção
4 – Negócios - social mídia
5 – Negócios - lançamento
6 – Site comercial da Agência Diamante Digital

A Fase de Mapeamento, nessa metodologia, não inclui o Inventário

do Banco de Dados e/ou Mapeamento dos Sistemas, por isso, é
fundamental explicar ao cliente que ele precisa de uma consultoria em
Tecnologia da Informação para realização desse tipo de mapeamento.

Não utilizei nenhuma ferramenta tecnológica para a execução do

diagnóstico, apenas utilizei de formulários, planilhas e entrevistas
com os responsáveis das áreas envolvidas.
Vamos ver como foi a execução do Data Mapping e algumas das
ferramentas de suporte que foram utilizadas:

Minha recomendação é que sejam criados grupos de dados para

facilitar a identificação nas demais etapas do Mapeamento, por
exemplo, dados de crianças, dados identificados, dados identificáveis,
dados sensíveis, dados públicos, etc.
Mapeamento das atividades e das operações de tratamento
– ÁREA: Recursos Humanos

Atividade 1: Processo seletivo para contratação de funcionários

Quem executa? Empresa terceirizada – ABC8

Utiliza Dados? Sim
Qual Grupo? Dados Pessoais Identificados e
Dados Pessoais Identificáveis
De quem são os dados? Candidatos

Atividade 2: Contratação de funcionários

Quem executa? Empresa de contabilidade

Utiliza Dados? Sim
Qual Grupo? Dados Pessoais Identificados,
Dados Pessoais Identificáveis e Dados Sensíveis
De quem são os dados? Colaboradores
Mapeamento das finalidades, fluxo e ciclo de vida

Atividade 1: Processo seletivo para contratação de funcionários

Grupo de Dado: Dados Pessoais Identificados

e Dados Pessoais Identificáveis
Finalidade do tratamento: análise de perfil,
entrevistas e futura contratação
Base legal: consentimento
Local de armazenamento: serviço em nuvem
da empresa terceirizada e mesa dos
colaboradores da equipe de recrutamento.
Período de armazenamento: não definido

Na sequência, conduzimos algumas entrevistas para complementação

e término do Mapeamento. Nesse momento é muito importante saber
fazer as perguntas certas ao Cliente, daí a importância de conhecer
a teoria da LGPD e além de tudo conhecer e entender a base lógica
de aplicação da teoria na prática.

Vejamos a seguir a ferramenta que foi utilizada:

Iremos analisar o resultado do Data Mapping para identificar,
listar e posteriormente analisar os gaps do nosso cliente.

Bom, agora que concluímos a Fase de Data Mapping é o momento

de elaborar o Relatório de Operações de Tratamento de Dados
Pessoais (entregável do seu cliente) ou ROPA (Record Of Processing
Activities), previsto no artigo 37 da LGPD e no artigo 30 do GDPR.

A elaboração deste documento tem algumas finalidades, dentre elas,

identificar os tipos de dados pessoais tratados, atribuir e legitimar
o tratamento através das bases legais, para atendimento correto das
solicitações dos titulares de dados pessoais, para cumprimento de
princípios da LGPD e para demonstrar conformidade, para aplicação
dos controles corretos de segurança e, por fim, para os casos de
fiscalização pela ANPD.

Esse documento é elaborado após a execução da fase de Data

Mapping, tendo como elementos mínimos:

🔒 Identificação do controlador/operador e o
responsável pelo preenchimento do relatório;
🔒 Demonstração de como os dados são
coletados, com qual finalidade, qual a base legal
utilizada, a forma e a duração do tratamento;
🔒 Identificação de quem são os titulares
de dados pessoais envolvidos;
🔒 Identificação do período de retenção
e de descarte dos dados pessoais;
🔒 Detalhamento sobre o compartilhamento
com terceiros;
🔒 Informações sobre transferência
internacional (quando houver);
🔒 Identificação sobre os documentos de
segurança relacionados às operações.
Agora, iremos iniciar a fase de Gap Analysis. É nessa fase
que a consultoria em proteção de dados identifica os gaps (as
incongruências) em cada uma das operações de tratamento de
dados, de cada área de negócio, fluxo, sistema e relações jurídicas
dos clientes.

Não obstante, será necessário analisar contratos de trabalho,

contratos com operadores, contratos com parceiros, eventualmente
documentos societários, políticas (retenção, privacidade, segurança
da informação), código de ética, código de conduta e regimento
interno, dentre outros.

No caso da Agência Diamante Digital, o Gap Analysis foi dividido

da mesma forma que o Data Mapping (por áreas de negócio). Após
a elaboração do Relatório das Operações de Tratamento de Dados
Pessoais, executamos o Gap Analysis para identificar as incongruências
em cada uma das operações e dos fluxos de dados de cada uma das
respectivas áreas de negócio.

A seguir estão listados os Gaps identificados nas áreas de negócio

da Agência Diamante Digital durante a execução do projeto:

Área de Atividade
Gaps Encontrados
Negócio Executada
Ausência de controle sobre as operações
Dados Processo seletivo de tratamento realizadas pela empresa
Pessoais novos candidatos ABC8. Ausência de contrato com o
operador de dados.
Ausência de controle sobre as operações
de tratamento realizadas pela empresa
Recursos Admissão de
ABC8. Ausência de contrato com
Humanos colaboradores
o operador de dados. Ausência de
contrato de trabalho com colaboradores.
Ausência de controle sobre as operações
Recursos Demissão de de tratamento realizadas pela empresa
Humanos colaboradores ABC8. Ausência de contrato com o
operador de dados.
 Área de Atividade
Gaps Encontrados
Negócio Executada
Ausência de controle sobre as operações
Administrativo
de tratamento realizadas pela empresa
(financeiro/ Contas a pagar
ABC8. Ausência de contrato com o
contábil)
operador de dados.
Portaria terceirizada (ausência de
conhecimento sobre o tratamento de
dados realizado pelo condomínio).
Cadastro de Excesso de dados coletos na recepção
Recepção visitantes, clientes e interna da Agência para cadastro.
fornecedores Ausência de treinamentos de
conscientização de colaboradores.
Ausência de política de backup dos
dados.
Ausência de treinamentos de
Gerenciamento das conscientização de colaboradores.
Negócios -
contas de redes Ausência de contrato com os clientes
social mídia
sociais dos clientes finais. Ausência de controle de acesso às
credenciais de acesso dos clientes.
Ausência de registro do consentimento e
de controles e de gestão da retirada.
Ausência de processos bem definidos
que permitam a gestão dos direitos dos
Negócios – titulares. Ausência de treinamentos de
Captação de lead
lançamento conscientização de colaboradores e
fornecedores. Ausência de contratos com
parceiros. Ausência de regras claras para
garantir a transparência com os titulares
de dados pessoais.
Ausência de regras claras para garantir a
Site comercial transparência com os titulares de dados
Formulário de
da Agência pessoais. Ausência de processos bem
contato
Rocket definidos que permitam a gestão dos
direitos dos titulares.
Ausência de regras claras para garantir a
Site comercial Coleta de transparência com os titulares de dados
da Agência cookies, pixel e pessoais. Ausência de processos bem
Rocket mousemovement definidos que permitam a gestão dos
direitos dos titulares.
Em linhas gerais, os GAPS encontrados na Agência Diamante Digital foram:
1. Ausência de treinamentos de
conscientização de colaboradores e
fornecedores
2. Ausência de contratos firmados
com colaboradores
3. Ausência de contratos firmados
com parceiros/fornecedores
(operadores)
4. Ausência de regras no que
tange aos critérios de criação, troca
periódica e não compartilhamento
de senhas
5. Ausência de diretrizes quanto ao
backup de dados (negócios – social
mídia, negócios – lançamentos,
recepção)
6. Ausência de regras e definições
quanto ao que cada colaborador
acessa de dados pessoais no
exercício de suas atribuições
7. Ausência de Política de Segurança
da Informação
8. Ausência de regras claras quanto
às diretrizes internas de tratamento
de dados
9. Ausência de regras e
direcionamento dos colaboradores
que estão em home office
10. Ausência de transparência
com os titulares que acessam o site
comercial da Agência Diamante
Digital
11. Ausência de métricas de avaliação
de sistemas (maturidade e adequação
à LGPD e vulnerabilidades)
12. Ausência de processos bem
definidos que permitam a gestão
dos direitos dos titulares
13. Ausência de processos bem
definidos para análise e garantia da
qualidade da base de dados
14. Ausência de controle sobre
o tratamento de dados e sobre as
medidas de segurança dos dados
15. Ausência de registro do
consentimento e de controles e de
gestão da retirada
16. Ausência de regras claras para
garantir a transparência com os
titulares de dados pessoais
17. Ausência de critérios de tempo de
armazenamento de dados pessoais
Agora, diante das incongruências encontradas durante as fases de
Data Mapping e de Gap Analysis, iremos elaborar um Plano de Ação
para a Agência Diamante Digital.

Este Plano de Ação contemplará diversas recomendações para que a

Agência Diamante Digital adeque seus processos e suas operações
de tratamento de dados pessoais ao que disciplina a Lei Geral de
Proteção de Dados Pessoais.

Faremos isso na próxima aula.

Você não vai perder, né?