O que é o Data Mapping, e como ele pode ajudar na adequação da sua empresa à LGPD

Entenda como o mapeamento de dados pode potencializar suas operações de Marketing e Vendas, além de trazer segurança para a sua operação.

Raphael Corradini
Raphael Corradini15 de março de 2024
Marketing Day 2024: Inscreva-se!

Times que gerenciam bases com centenas e até milhares de Leads, coletados a partir de canais como redes sociais, Landing Pages e eventos presenciais, costumam utilizar várias ferramentas para gerenciá-los. E se você trabalha em um time de Marketing ou Vendas, esse cenário não deve ser novo.

Agora, imagine que, no cenário descrito acima, ocorreu um vazamento de dados. Seria muito difícil, em meio a toda a complexidade de processos e operações, identificar quais os impactos do vazamento — ou mesmo quais e quantos contatos foram afetados, concorda?

Quando estamos falando de Inbound Marketing, por exemplo, a estratégia envolve o gerenciamento de uma grande quantidade de dados. Nesse sentido, um dos principais pontos que precisamos nos ater é a proteção dessas informações e a redução dos riscos aos quais elas estão expostas. 

Para isso, é fundamental que o time conheça a operação e os usos desses dados pessoais a fundo. E isso é feito por meio de um data mapping, ou mapeamento de dados.

Neste artigo, vou mostrar para você como realizar um mapeamento de dados, para trazer mais segurança para seu time, empresa e clientes.

O que é o Data Mapping?

O data mapping é o processo de elaboração do mapeamento e documentação dos usos de dados pessoais realizados por determinada organização. Nesse processo, também deve ocorrer a identificação e avaliação de riscos à privacidade associados a esses usos.

Assim, realizar um data mapping vai permitir a você identificar e documentar as operações que seu time realiza envolvendo dados pessoais. Sejam dados de Leads, prospects, clientes ou até mesmo colaboradores.

Dessa forma, é possível ter o conhecimento necessário sobre o fluxo de vida desses dados, desde o momento em que são coletados, até seu descarte.

Nesse sentido, quando falamos em operações, estamos nos referindo a atividades de tratamento de dados pessoais, tais como:

  • enviar campanhas de Marketing;
  • gerenciar contatos de um CRM;
  • comunicar com Leads via Whatsapp;
  • acompanhar a performance do time.

Portanto, realizar um data mapping dessas operações e documentar suas principais características, é o primeiro e mais importante passo para torná-las mais seguras — e tratar os riscos associados a elas. 

📖 Leia também: Quais podem ser os impactos da LGPD na geração de Leads?

Qual a importância do Data Mapping?

O data mapping é um requisito que a Lei Geral de Proteção de Dados (LGPD) exige das empresas, relacionado ao tratamento de dados pessoais. O Art. 37 da Lei menciona a obrigação de se manter o registro das operações envolvendo dados pessoais:

Art. 37. O controlador e o operador devem manter registro das operações de tratamento de dados pessoais que realizarem, especialmente quando baseado no legítimo interesse.

Assim, o registro mencionado na Lei é justamente o resultado final obtido em um data mapping. Mas, para além da obrigação legal, esse processo é também um instrumento para identificar riscos de privacidade relacionados às operações da empresa.

Dessa forma, ele funciona como uma fotografia detalhada dessas operações, que permite olhar para as características de cada uso de dados e entender seus riscos. 

Afinal, para saber se os dados estão sendo acessados, armazenados e descartados da forma correta, é necessário que se tenha uma visão detalhada sobre seu ciclo de vida na empresa. E o mesmo vale para saber se os usos desses dados estão de acordo com as expectativas dos seus usuários, os titulares dos dados.

Portanto, o data mapping pode ser entendido como o pilar que dá sustentação a todas as outras atividades de adequação à LGPD. Pois, sem ele, é difícil saber se você não se está deixando nada passar batido.

📖 Leia também: LGPD: o que diz a lei de proteção de dados e como ela pode impactar a sua estratégia de marketing e vendas

Quais são os principais objetivos do Data Mapping?

O data mapping atende a duas demandas fundamentais de um processo de adequação à LGPD. A primeira é ser um registro das atividades de tratamento (operações) envolvendo dados pessoais pela empresa. E a segunda é fornecer uma visão sobre os riscos relacionados a essas atividades de tratamento.

Registro das atividades

A primeira função, de servir como um registro das atividades de tratamento, é um requisito expresso na LGPD, como vimos há alguns parágrafos acima.

Essa exigência da lei para que se mantenha o registro tem algumas razões para existir. Entre elas, auxiliar as empresas a prestarem contas sobre os usos que estão fazendo dos dados.

Dessa forma, é possível tornar mais seguro o exercício dos direitos previstos na LGPD para os titulares dos dados, como clientes, Leads e colaboradores. Entre eles, o direito de solicitar a exclusão de dados ou de obter informações sobre como e para quais finalidades estão sendo utilizados.

Identificação de riscos

A segunda função, relacionada à identificação de riscos na empresa, tem como objetivo final obter uma relação documentada dos riscos existentes, assim como um plano de tratamento para eles.

Esse plano de tratamento irá incluir as demais ações necessárias para que a empresa esteja adequada à LGPD.

A seguir, conheça alguns riscos que a elaboração de um data mapping pode ajudar a identificar:

  • Existência de alguma operação ou uso de dados incompatível com os princípios da LGPD — ou sem uma base legal adequada.
  • Compartilhamento de dados com parceiros ou uso de fornecedor que não garante a proteção devida a dados pessoais.
  • Tratamento de dados sensíveis ou de menores de idade sem os cuidados necessários.
  • Inexistência de um processo de eliminação de dados, que ficam armazenados incorretamente.

O que o Data Mapping deve conter?

Você já percebeu que apenas listar as operações que incluem o tratamento de dados pessoais não é suficiente para atender aos nossos objetivos com um data mapping. Então, a dúvida seguinte é: afinal, o que devemos mapear?

Para ter a capacidade de gerar o impacto que se propõe, um mapeamento de dados deve conter, no mínimo, as informações que sejam suficientes para nos dar uma visão integral sobre o ciclo de vida dos dados tratados.

Nesse sentido, abaixo, temos algumas das informações que são essenciais para um data mapping:

1. Operações

Deve haver uma relação das operações e atividades envolvendo dados pessoais, como mencionamos no início deste artigo. Alguns exemplos são: enviar campanhas de Marketing e gerenciar contatos em um CRM.

2. Finalidade das operações

A finalidade nada mais é do que a razão pela qual você está executando aquela operação, ou seja, seu objetivo com ela. 

Exemplos: o disparo de uma newsletter, a realização de pesquisas sobre um produto e a divulgação de depoimentos de clientes podem ter uma finalidade em comum, que é a de promover as estratégias de Marketing da empresa.

3. Base legal das operações

As bases legais são hipóteses da LGPD que autorizam o tratamento de dados pessoais. A ideia é que você identifique qual a base legal que de fato traz o maior respaldo para a sua operação.

Dessa forma, para cada operação que você realiza, uma base legal vai se encaixar melhor. Alguns exemplos de bases legais são:

A seguir, veja como é possível selecionar uma base legal na hora de configurar o envio de um email no RD Station Marketing:

Se você quer ver na prática como a ferramenta ajuda times de Marketing e Vendas a atuarem de acordo com a LGPD, aproveite para fazer seu teste gratuito.

4. Dados necessários vs. dados utilizados

O data mapping também deve identificar quais tipos de dados são realmente necessários para que determinada atividade possa ser realizada. Assim, deve-se compará-los com os dados que você está de fato utilizando. 

Um exemplo: em um cenário no qual você esteja coletando dados para enviar uma newsletter ao usuário, provavelmente não será necessário coletar CPFs. Ao realizar a conferência entre os dados necessários e os dados realmente usados, você vai entender se está utilizando algum dado que viola o princípio da necessidade.

5. Tempo de retenção e descarte

Antigamente, as empresas tinham como premissa coletar a maior quantidade de dados possível e mantê-los pelo maior tempo possível, até que um dia viessem a ser úteis. Com a LGPD, esse tempo passou.

Hoje, todo dado pessoal coletado deve contar, também, com um de tempo de retenção e uma data de descarte definidos.

E qual é o tempo adequado? Até que a finalidade pretendida e para a qual você tem base legal tenha sido alcançada.

Exemplo: se você está coletando dados de inscrição em um evento, uma vez que o evento tenha ocorrido, a princípio estes dados já poderiam ser descartados.

6. Quem tem acesso aos dados

É essencial que se mantenha o registro (e realize o controle) de quem tem acesso aos dados e porquê. E isso se aplica tanto para parceiros externos, como fornecedores, quanto para os colaboradores da empresa.

7. Utilização de dados sensíveis

Dados sensíveis são aqueles que têm potencial de trazer risco maior aos titulares quando tratados. Estes dados, quando utilizados, demandam de uma proteção adicional.

Finalmente, por mais que pareça coisa demais para se atentar no data mapping, quando você colocar em prática, vai perceber que esses pontos não são tão complexos. Pelo contrário, são básicos para que se tenha uma compreensão real sobre como os dados pessoais estão sendo tratados na sua empresa.

📖 Leita também: LGPD: 6 estratégias de Marketing e Vendas que você não deve fazer

Como montar um Data Mapping?

A seguir, explico como é possível montar um data mapping e o que você precisa para colocá-lo em prática na sua organização.

Levantamento de operações e atividades

A primeira coisa que se deve ter em mente antes de iniciar a elaboração de um data mapping é que, para ele ser efetivo no seu propósito, ele deve abarcar todas as operações da empresa. 

Portanto, todos os setores devem ser contemplados. Desde a operação dos times de Marketing e Vendas, que tratam dados de Leads e prospects, até a operação de times de tecnologia, gestão de pessoas e customer success, que tratam dados de colaboradores, clientes, parceiros e candidatos. 

Por essa razão, é fundamental que pessoas de todas as áreas do negócio sejam envolvidas. Afinal, quanto mais completo e abrangente o data mapping for, mais fáceis serão as etapas seguintes no levantamento das operações.

Uma abordagem que torna a elaboração do data mapping mais eficiente é quebrar sua execução de acordo com as áreas do negócio, atacando separadamente cada uma.

Da mesma forma, pode ser útil quebrar a execução de acordo com os tipos de titulares de quem sua empresa trata dados. Por exemplo, primeiro mapear as operações envolvendo dados de clientes, para depois partir para aquelas que envolvem dados de Leads, de colaboradores e assim por diante.

Há uma série de ferramentas e metodologias no mercado que podem ajudar no momento do levantamento. Mas, é plenamente possível realizar esse processo com ferramentas que você já tem à sua disposição, como uma planilha ou uma ferramenta de design que permita a documentação de fluxos.

Plano de ação para o tratamento dos riscos

A elaboração do data mapping não termina após o registro das operações. Na verdade, esse é apenas o começo, pois ele não é um fim em si mesmo.

Esse processo é o insumo principal para algo que de fato vai ser a grande entrega do seu programa de adequação à LGPD: ter os riscos à privacidade dos titulares devidamente identificados e tratados.

Uma vez levantadas e documentadas todas as operações por onde passam dados pessoais, é hora de olhar para os riscos. Nesta etapa, a identificação e avaliação dos riscos associados a cada atividade de tratamento vai resultar em uma lista de acionáveis, a serem executados como tratamento dos riscos. 

Aqui, novamente, contar com a participação de todas as áreas da empresa é fundamental para garantir o tratamento adequado dos riscos.

Por fim, é importante lembrar que, tendo as operações da empresa mapeadas e os riscos conhecidos e tratados, você terá um data mapping devidamente implementado e um grande passo dado em direção à adequação com a LGPD.

No entanto, o data mapping é um processo vivo, que precisa ser atualizado e monitorado a todo momento. Dessa forma, a fotografia dos fluxos de dados da sua empresa precisam estar sempre de acordo com a realidade da sua operação.

Raphael Corradini

Raphael Corradini

Quem escreveu este post

Raphael Corradini é formado em Engenharia, Mecatrônica, Robótica e Engenharia de Controle e Automação pela Universidade Federal de Santa Catarina. Atualmente, atua como Analista de Privacidade e Proteção de Dados na RD Station.

Veja também

Marketing
Wil Reynolds: faça SEO para pessoas, não para robôs
Marketing
O que faz um Social Media e tudo o que é preciso saber para ser um profissional de sucesso na área
Marketing
Afinal, empresas devem ou não seguir de volta seus seguidores no Twitter?