Mapeamento - O que é?

O mapeamento garante o maior entendimento de como os dados se movem através da organização. Como as empresas precisam entender quais dados estão coletando, como estão usando e com quem estão compartilhando eles para aprimorar a proteção de dados, é um importante passo inicial na jornada de compliance.


Fazer o mapeamento de dados nas empresas é um trabalho multidisciplinar. Inclui primeiramente a identificação do inventário, o desenho de fluxos e a associação aos sistemas. A partir disso, é feita a análise de dados para fins estratégicos, a identificação de brechas na segurança e a verificação do quanto cada informação pode ser ligada a uma pessoa, para fins de privacidade.


Estrutura:

O objetivo é a classificação dos atributos de ativos que foram cadastrados no módulo de Inventário de dados, com um sistema de 'ciclo de vida', para a criação do fluxo de tratamento de dados onde a empresa consiga ter uma ampla visão de como os dados pessoais chegam, são trafegados, compartilhados e removidos.


Sendo dividido nas seguintes funcionalidades:

    1 - Classificação

    2 - Ciclo de vida

    3 - Templates

    4 - Formulários

    5 - DPIA

    6 - LIA


Classificação - Como usar:

Nesta funcionalidade, têm o objetivo de classificar os atributos de ativos cadastrados em Inventário de dados, segue:


1 - Selecione Data Mapping e em Mapeamento, clique na funcionalidade Classificação.

2 - Na lista escolha o ativo para classificar, segue um print da tela:

3 - Pode cadastrar um novo ativo, para isso, preencha os campos Nome, Descrição e clique no botão Adicionar, estando todos cadastrados, precisa clicar em cada ativo da lista para classificar. Segue um print da tela:

4 - Lista o atributo e o respectivo ativo. Segue um print da tela:


5 - Cada ativo da empresa têm atributos relacionados e para uma boa organização é necessário ter uma gestão da estrutura dos dados, por isso, precisa fazer a classificação de cada atributo, sendo dividido em 3 formulários, que os nomes são DetalhesFinalidade Controles. Segue um print da tela:


Segue a estrutura e a finalidade de cada formulário: 

a - Detalhes: Basicamente são apenas campos adicionais, que compreende os seguintes campos:

    É Obrigatório: Conforme print acima, estamos utilizarmos como exemplo o atributo nome, neste caso, é sim obrigatório.

    É dado sensível: O atributo nome é um dado pessoal, então neste exemplo o recomendado a marcar é ‘Não é dado sensível’. Segue as opções:

        I - Não é dado sensível

II - Origem racial ou étnica

III - Convicção religiosa

IV - Opinião política

V - Filiação a sindicato ou religião

VI - Filosófico ou político

VII - Saúde ou à vida sexual

VIII - Genético ou biométrico

    Forma de gravação do dado: Precisa fazer uma análise do ativo que o atributo nome faz parte, para assim, ter uma resposta com o responsável do ativo. Segue as opções:

        I - Não há informação

II - Aberto

III - Criptografado

IV - Anonimizado

V - Protegido por senha

VI - Protegido por 2FA

VII - Protegido por certificado digital

Descreva onde o dado é salvo: Neste também é necessário verificar com o responsável do ativo.

Limite de acessos na origem: Selecione uma das 3 opções disponíveis, segue:

    I - Sem limitação de acessam, todos acessam

    II - Apenas usuários autorizados

    III - Apenas Administradores


Auditoria de acesso ao dado: Basicamente se possui controle de quem acesso o dado, selecione uma das opções: Sem auditoria ou Todo o acesso é auditado

Tipo de dado pessoal:  Selecione uma das opções: Identificado ou Identificável

Observações da classificação: Coloque aqui toda informação adicional que considera importante para a classificação do dado.

Ao preencher o formulário, no topo da tela, clique no botão de Salvar.


b - Finalidades: Pode existir várias finalidades de processamento para um determinado atributo. Na aba Finalidades, clique no botão Adicionar, segue print da tela.


No formulário que abrir, preencha os campos e clique em Salvar, segue:

  • Qual a finalidade do processamento?

  • Aspectos regulatórios

  • Qual a data limite para retenção?

  • Framework regulatório

  • Base legal


Segue print da tela:


c - Controles: São controles adicionais para cada campo. Segue:

  • Medidas para transferência internacional de dados

  • Os países possuem um nível de conformidade adequado?

  • A empresa possui contrato com os operadores nestes países?

  • Qual o plano para remoção dos dados?

  • Qual o impacto ao remover ou anonimizar o dado?

  • A remoção deve ser automática?

  • Existem bases legais que impedem a remoção?

  • Comentários


    Segue de exemplo um print da tela