LGPD do Zero

Master Class – Data Mapping

Prof. Gabriela Coelho Glitz

✔ Como iniciar o programa de
implementação
✔ Assesment
✔ Data Mapping
✔ Exemplos
Programa de Implementação
Assesment

•Ponto de partida!
•Analisar os setores da empresa;
•Iniciar pelos maiores riscos;
•Regra de Pareto (80/20);
•Fazer um cronograma de
implementação;
Programa de Implementação
Assesment – Como identificar as áreas mais expostas?

Atuação da empresa!

•B2B (Business to Business) - Quando o consumidor de uma empresa é outra

empresa. MENOR IMPACTO LGPD.
•B2C (Business to Consumer) - Ao contrário do B2B, no B2C a venda é feita
diretamente para o consumidor final. MAIOR IMPACTO LGPD.
Programa de Implementação
Foco B2B

•RH
•Marketing

Principais contratos: contrato dos funcionários; contrato de terceirizados e

prestadores de serviço; eventuais contratos que tenham troca de dados.

SEMPRE – contrato entre controlador e operador!

Programa de Implementação
Foco B2C

•Marketing
•E-commerce
•RH
•Custumer Success – devo seguir o dado dentro da empresa e ir “blindando”!

Principais contratos: política de privacidade, termos de uso, contrato dos

funcionários; contrato de terceirizados e prestadores de serviço; eventuais
contratos que tenham troca de dados.
SEMPRE – contrato entre controlador e operador!
 Data Mapping
E agora? Por onde começar?
Data Mapping
Vamos organizar? O que precisamos responder?

1.Os dados são pessoais? (PII data)

2.Quem utiliza os dados?
3.Como os dados são coletados?
4.Quem é o responsável pelo processamento?
5.Por quanto tempo os dados são mantidos?
6.Onde os dados são processados?
 Data Mapping
Vamos organizar? O que precisamos responder?
7.Quais dados devem ser retornados a pedido do titular? (SAR:
subject access request)
8.Quais dados devem devem ser removidos a pedido do titular?
(DDR: data deletion request)
9. Quais dados devem ser retificados a pedido do titular? (RET)
10.Qual a base legal de processamento?
11.Qual a finalidade do processamento?
12.Como é feito o armazenamento dos dados? (plain
text, encrypted, hashed)
Data Mapping
Dados de identificação do setor
▪ Equipe – qual a equipe responsável por este sistema?;
▪ Responsável – qual o nome do responsável por este sistema?;
▪ E-mail - qual o e-mail do responsável?
▪ RFC – Request For Change (este campo indica se é necessário pedir
autorização do responsável para fazer alterações no mapeamento);
Data Mapping
Dados de identificação do setor

▪ Sistema – qual o nome/identificação do sistema?

▪ Perfis – os titulares têm perfis diferentes (alunos, funcionários, …)?
▪ Fonte - como o sistema pode ser localizado?
Data Mapping
Dados Iniciais
▪ Nome – nome do campo no relatório;
▪ Definição – nome do campo dentro do sistema;
▪ Chave - identificação do cliente no sistema?;
▪ Natureza – qual o tipo de dado? (nome, telefone, e-mail, data,...);
▪ Escopo – Este campo pode ser removido? (DDR); Este campo pode
ser retificado? (RET); Este campo deve fazer parte do relatório de
acesso? (SAR).
Data Mapping
Dados Iniciais
▪ Finalidade – qual a finalidade do tratamento ?;
▪ Base legal – qual a base legal?;
▪ Fundamentação – qual a fundamentação da base legal aplicada?;
Data Mapping
Dados Iniciais
▪ Descrição – descrição do campo;
▪ Armazenamento – como os dados são armazenados? (hashed, truncated,
encrypted, …);
▪ Retenção - quando os dados são removidos?
▪ Estratégias de Remoção - quando o escopo do campo incluir "DDR" e a remoção
do campo não for possível, qual estratégia deve ser utilizada para anonimizar os
dados?
▪ Operadores - com quais operadores este campo é compartilhado?
E depois do Data Mapping?
•Retornar para a planilha e filtrar
por bases legais e analisar uma a
uma;
•Contratos, legítimo interesse,
consentimento, obrigação legal...

Por isso que o DM é a chave

de tudo!
Realizar a revisão
contratual Pensar em meios de
requerer o consentimento
do titular

PÓS DATA
Prazo de MAPPING
armazenamento
de acordo com a
legislação Realizar os
específica relatórios

Teste de Balanceamento do
Legítimo Interesse
EXEMPLO 3:
Dado
Sensível

Data Mapping de uma empresa de recrutamento e seleção

inteligente.
EXEMPLO 4:
Dados
de
Menor

Data Mapping de uma empresa de recrutamento e seleção

inteligente.
 Legítimo Interesse Execução Contratual
Exercício Regular de
Direitos em Processo
Judicial
Obrigação Legal
Administração
Pública BASES LEGAIS
Art. 7º da LGPD

Estudo por Proteção ao

Órgãos de Crédito
Pesquisa
Proteção da Vida Consentimento
Tutela da Saúde
 Dicas

Retirado do livro LGPD Manual de

Implementação
Dicas
Realizar o Relatório de Registro das Operações de Tratamento (art. 37 LGPD):

• Nome do projeto, responsável, operador e controlador;

• Breve descrição da operação de tratamento, finalidade da operação de tratamento,
dados tratados e descrição da categoria dos titulares de dados, compartilhamento de
dados, prazo de exclusão e medidas de segurança;
• Diferente do Relatório de Impacto (art. 38 LGPD)

Art. 38. A autoridade nacional poderá determinar ao controlador que elabore relatório de impacto à proteção de dados
pessoais, inclusive de dados sensíveis, referente a suas operações de tratamento de dados, nos termos de regulamento,
observados os segredos comercial e industrial.
Parágrafo único. Observado o disposto no caput deste artigo, o relatório deverá conter, no mínimo, a descrição dos tipos
de dados coletados, a metodologia utilizada para a coleta e para a garantia da segurança das informações e a
análise do controlador com relação a medidas, salvaguardas e mecanismos de mitigação de risco adotados.
Revisão Final
•Verificação final do nível de
conformidade da empresa com LGPD.
Levantamento das Atividades de
Tratamento Registradas durante o
processo de DM;
•Identificação de GAPS remanescentes na
planilha DM;
•Ajustes finais para corrigir eventuais
GAPS;
•Registro de todas as evidências do
programa!
Espaço
para
perguntas
 Obrigada!

gabrielaglitz protecao_de_dados

gabriela-coelho-glitz Dogma Data Privacy