Mapeamento dos dados do GDPR explicado e porque é importante
Se você está aqui, você provavelmente quer saber mais sobre o mapeamento de dados do GDPR. Nós temos você coberto! 👀 Neste pequeno post, nós olhamos o que é o mapeamento de dados e porque ele é tão importante para o cumprimento da GDPR.
🔍 O que é o mapeamento de dados?
O mapeamento de dados é um método para manter o controle e catalogação de todos os dados que você coleta, utiliza e armazena.
👉 Ele detalha os tipos de dados e seus movimentos/transferências ao longo de sua empresa e além dela (por exemplo, transferência de dados entre diferentes departamentos, para terceiros, processadores, outros países, etc.)
Como é que um mapa de dados é normalmente configurado?
Quando as actividades de dados parecem “simples”, pode ser tentador usar uma folha de cálculo regular ou fazer uma nota rápida.
No entanto, o acompanhamento de tudo (tipos de dados, terceiros, etc.) pode ser realmente complexo e é por isso que sugerimos que você escolha uma ferramenta dedicada para construir registros de dados abrangentes e detalhados (como exigido por lei).
O que é o mapeamento de dados sob o GDPR?
O GDPR (General Data Protection Regulation) exige que tanto os controladores de dados como os processadores de dados mantenham e mantenham registos “completos e extensos” actualizados das actividades de processamento de dados específicas que estão a realizar.
Em geral, os registos devem incluir:
O nome e detalhes de contato do controlador e do processador agindo em seu nome, bem como do representante do processador ou controlador e do DPO, se aplicável;
A descrição das várias categorias de usuários e dados (inclusive de terceiros);
As categorias de destinatários de dados, incluindo destinatários de países terceiros não pertencentes à UE ou organizações internacionais;
A propósito das atividades de processamento;
Transferências de dados pessoais para um terceiro país e a identificação desse terceiro país ou organização internacional, incluindo a documentação de salvaguardas adequadas (quando aplicável);
Antecipado limites de tempo para apagamento das várias categorias de dados (quando possível);
As medidas técnicas e organizacionais medidas de segurança descritas em termos gerais (quando possível).
💡 When are extensive records required?
Registros completos e extensos de processamento são expressamente necessários nos casos em que as atividades de processamento de dados:
não são ocasionais*; ou
poderia resultar em um risco para os direitos e liberdades de outros; ou
envolvem o tratamento de “categorias especiais de dados”; ou
é realizada por uma organização que conta com mais de 250 funcionários.
*Essencialmente, isto significa que é necessário em quase todos os casos de processamento. Lembre-se de que os endereços IP são considerados dados pessoais!
👉 Em suma, as organizações devem identificar e acompanhar os tipos de dados pessoais que processam, de onde vêm e para onde vão, bem como os sistemas envolvidos.
🔍 Por que o mapeamento dos dados do GDPR é tão importante?
É claro que, além de cumprir um requisito legal crucial de uma das leis de privacidade mais importantes do mundo (a GDPR), o mapeamento de dados ajuda as organizações a fazê-lo:
ser claro sobre quais dados eles possuem, por que e com quem são compartilhados;
identificar potenciais riscos para a privacidade dos utilizadores e como corrigi-los;
implementar medidas para maior segurança e práticas mais seguras, quando necessário.
👉 A realização de auditorias regulares de informação sobre os dados de sua organização pode se mostrar útil. Além de cumprir suas obrigações de manutenção de registros, esta prática também facilita a revisão e otimização de seus procedimentos de processamento de dados.
💡 O mapeamento de dados também é uma ferramenta útil para DPIAs (Data Protection Impact Assessments):
Ao conduzir um DPIA, você pode avaliar e minimizar os riscos associados ao processamento de dados pessoais. Como indicado no artigo 35 do GDPR, só é obrigatório quando há um risco elevado de violação dos direitos e liberdades dos usuários.
A implementação de tudo o que foi dito acima pode ser complicada e bastante técnica.
A Solução de Gestão de Privacidade Interna do iubenda é muito útil, pois simplifica muito o processo técnico de criação e manutenção dos seus registos de actividades de processamento. Confira!