Capa do Ebook gratuito LGPD e Segurança da Informação: controles técnicos e organizacionais que sustentam conformidade

LGPD e Segurança da Informação: controles técnicos e organizacionais que sustentam conformidade

Novo curso

16 páginas
Todos os cursos > Informática ( TI ) > Segurança da informação ::

Mapeamento de dados pessoais e registro do ciclo de vida do tratamento

Capítulo 3

Tempo estimado de leitura: 15 minutos

+ Exercício

O que é mapeamento de dados pessoais e por que ele é indispensável

Mapeamento de dados pessoais é o processo estruturado de identificar, descrever e manter atualizado o caminho que os dados percorrem dentro e fora da organização: onde são coletados, por quais canais, com que finalidade operacional, em quais sistemas são armazenados, quem acessa, com quem são compartilhados, por quanto tempo permanecem, como são protegidos e como são eliminados. Na prática, ele transforma um cenário difuso (“temos dados em vários lugares”) em um inventário verificável e auditável (“estes dados entram aqui, passam por estes sistemas, são usados por estas áreas, são compartilhados com estes terceiros, e saem assim”).

O registro do ciclo de vida do tratamento complementa o mapeamento ao organizar o tratamento como uma sequência de etapas, do início ao fim, com controles e evidências em cada fase. Em vez de olhar apenas para “onde o dado está”, o ciclo de vida descreve “o que acontece com o dado” e “o que deve acontecer” para que o tratamento seja controlado: coleta, validação, uso, enriquecimento, compartilhamento, armazenamento, retenção, arquivamento, anonimização (quando aplicável) e descarte.

Essas duas práticas são fundamentais para: reduzir riscos de vazamento e uso indevido, responder com precisão a solicitações de titulares, acelerar análises internas (auditorias, investigações, mudanças de processo), padronizar controles de acesso e retenção, e sustentar decisões técnicas e organizacionais com evidências. Também evitam um erro comum: tentar “conformidade” apenas com políticas genéricas, sem saber quais dados existem e onde estão.

Conceitos essenciais para mapear corretamente

O que conta como dado pessoal no mapeamento

No mapeamento, considere como dado pessoal qualquer informação relacionada a pessoa natural identificada ou identificável. Isso inclui identificadores diretos (nome, CPF, e-mail) e indiretos (ID de cliente, IP, cookies, geolocalização, combinações de atributos que permitam identificar alguém). O mapeamento deve registrar também dados pessoais sensíveis quando existirem (por exemplo, dados de saúde em atestados, biometria em controle de acesso, informações sobre filiação sindical em descontos em folha), pois exigem atenção reforçada em controles e restrições de acesso.

Tratamento como “processo” e não como “sistema”

Um erro frequente é mapear apenas sistemas (CRM, ERP, planilhas) e esquecer processos. O tratamento ocorre em atividades de negócio: admissão de colaboradores, atendimento ao cliente, cobrança, marketing, suporte técnico, logística, segurança patrimonial. Um mesmo processo pode usar vários sistemas e um mesmo sistema pode suportar vários processos. O mapeamento eficaz parte do processo e depois desce para os sistemas e ativos de informação envolvidos.

Continue em nosso aplicativo

Você poderá ouvir o audiobook com a tela desligada, ganhar gratuitamente o certificado deste curso e ainda ter acesso a outros 5.000 cursos online gratuitos.

ou continue lendo abaixo...
Download App

Baixar o aplicativo

Ativos e pontos de controle típicos

  • Canais de coleta: formulários web, aplicativos, telefone, e-mail, chat, presencial, integrações via API, importações de arquivos.

  • Repositórios: bancos de dados, data lakes, pastas compartilhadas, e-mails, ferramentas de tickets, backups, arquivos físicos.

  • Fluxos: integrações internas, ETL/ELT, exportações manuais, relatórios, compartilhamentos com terceiros.

  • Controles: autenticação, autorização, logs, criptografia, segregação de ambientes, mascaramento, retenção, descarte seguro.

Estrutura recomendada do inventário de tratamento (registro)

Para que o mapeamento seja útil, ele precisa ser registrável e atualizável. Uma estrutura prática é manter um “Registro de Atividades de Tratamento” (RAT) ou inventário equivalente, com campos padronizados. Abaixo está um conjunto de campos que costuma funcionar bem em organizações de diferentes portes:

  • Nome do processo/atividade (ex.: “Onboarding de clientes PJ”, “Recrutamento e seleção”).

  • Área responsável e ponto focal (dono do processo).

  • Categorias de titulares (clientes, leads, colaboradores, candidatos, fornecedores, visitantes).

  • Categorias de dados (identificação, contato, financeiros, localização, credenciais, imagens, dados sensíveis quando houver).

  • Fontes (titular, parceiro, bases internas, terceiros).

  • Finalidades operacionais (o “para quê” do processo, descrito de forma objetiva e verificável).

  • Operações de tratamento (coleta, armazenamento, consulta, compartilhamento, eliminação etc.).

  • Sistemas e repositórios envolvidos (com nomes, ambientes e responsáveis técnicos).

  • Compartilhamentos (internos e externos), incluindo destinatários, meios (API, arquivo, acesso), frequência e justificativa operacional.

  • Localização (país/região de armazenamento e processamento, quando relevante).

  • Retenção (prazo, regra de negócio, gatilho de início e fim, e destino ao final: eliminação, anonimização, arquivamento restrito).

  • Controles de segurança (acesso, logs, criptografia, segregação, backups, monitoramento).

  • Riscos e observações (pontos frágeis, dependências, exceções).

  • Evidências (links para procedimentos, prints de configuração, contratos com terceiros, diagramas).

O objetivo não é “encher planilha”, e sim permitir que alguém de fora do time (auditoria, jurídico, segurança, novo gestor) entenda o tratamento sem depender de memória informal.

Passo a passo prático para mapear dados pessoais

1) Defina o escopo e a unidade de mapeamento

Escolha se o mapeamento começará por processos críticos, por áreas (RH, Comercial, TI), por produtos digitais, ou por jornadas do titular (cadastro, compra, suporte). Para acelerar resultados, priorize processos com maior volume de dados, maior sensibilidade, maior exposição a terceiros ou maior histórico de incidentes.

Defina também a unidade de registro: “atividade de tratamento” (ex.: “Atendimento de suporte”) costuma ser melhor do que “sistema”, porque permite agrupar múltiplas bases e fluxos sob um objetivo operacional.

2) Identifique stakeholders e colete informações com roteiro

Mapeamento é trabalho multidisciplinar. Envolva donos de processo, TI (infra, desenvolvimento, dados), segurança, atendimento, RH e compras/gestão de fornecedores. Use um roteiro de entrevista padronizado para evitar lacunas. Exemplos de perguntas objetivas:

  • Quais dados entram no processo? Por quais canais?

  • Quais campos são obrigatórios e quais são opcionais?

  • Onde esses dados ficam armazenados (sistemas, tabelas, pastas, e-mails)?

  • Quem acessa e por qual motivo? Existe acesso de terceiros?

  • Há exportações manuais (CSV, PDF, planilhas)? Com que frequência?

  • Quais integrações existem (APIs, webhooks, batch)?

  • Quanto tempo os dados precisam ficar disponíveis? O que acontece depois?

  • Quais logs existem para rastrear acesso e alterações?

3) Faça inventário de sistemas e repositórios “fora do radar”

Além dos sistemas oficiais, procure repositórios paralelos que frequentemente concentram dados pessoais sem governança: planilhas em drives compartilhados, anexos em e-mails, exportações em pastas locais, ferramentas de mensagens, ambientes de teste com cópia de produção, bancos de dados antigos, backups mantidos indefinidamente.

Uma técnica prática é cruzar: (a) lista de softwares aprovados, (b) varredura de compartilhamentos e repositórios corporativos por padrões (ex.: “cpf”, “rg”, “@”), e (c) entrevistas com áreas que operam “na ponta”.

4) Modele o fluxo ponta a ponta (data flow)

Para cada atividade, desenhe um fluxo simples: origem → processamento → armazenamento → compartilhamentos → saída. Não precisa ser um diagrama complexo; um desenho em caixas e setas já ajuda a revelar pontos críticos (ex.: exportação manual para fornecedor, envio por e-mail, duplicação de base).

Registre para cada transição: meio (API, arquivo, acesso direto), frequência, autenticação, criptografia em trânsito, e se há validações (ex.: checagem de formato, deduplicação).

5) Classifique dados e defina criticidade

Classificação ajuda a priorizar controles. Um modelo simples de classificação pode combinar: sensibilidade (comum vs. sensível), impacto (financeiro, reputacional, regulatório), volume e exposição (interno, externo, internet). A partir disso, você define prioridades: por exemplo, dados sensíveis com compartilhamento externo exigem revisão imediata de acessos e retenção.

6) Levante controles existentes e lacunas

Para cada repositório e fluxo, registre controles técnicos e organizacionais já implementados: autenticação forte, segregação por perfil, logs de acesso, criptografia em repouso, backups, revisão periódica de permissões, trilhas de auditoria, procedimentos de descarte. Em seguida, marque lacunas com ações objetivas (ex.: “habilitar log de acesso no sistema X”, “remover exportação por e-mail e substituir por portal seguro”).

7) Defina retenção e descarte com gatilhos claros

Retenção não é apenas “X anos”. Ela precisa de gatilhos: “a partir do encerramento do contrato”, “a partir do último contato”, “a partir do término do processo seletivo”. Registre também o destino: eliminação segura, anonimização, arquivamento restrito com acesso limitado. Sem gatilho, a organização tende a reter indefinidamente por inércia.

8) Valide com evidências e implemente governança de atualização

Mapeamento desatualizado vira risco. Defina um mecanismo de atualização: mudanças em sistemas, integrações, fornecedores e formulários devem disparar revisão do registro. Na prática, isso pode ser acoplado a processos de gestão de mudanças (change management), onboarding de fornecedores e revisão periódica por área.

Como registrar o ciclo de vida do tratamento

Registrar o ciclo de vida significa descrever as etapas e controles ao longo do tempo, não apenas o “estado atual” do dado. Uma forma didática é usar um template por atividade com as fases abaixo.

Fase 1: Coleta e entrada

  • Evento de coleta: cadastro, compra, candidatura, visita, suporte.

  • Campos coletados: lista de atributos e se são obrigatórios.

  • Validações: formato, consistência, antifraude, deduplicação.

  • Controles: canal seguro (TLS), proteção contra bots, registro de consentimentos quando aplicável, logs de submissão.

Fase 2: Uso e processamento

  • Operações: consulta, alteração, enriquecimento, segmentação, análise.

  • Perfis de acesso: quem usa e por quê.

  • Controles: segregação de funções, trilhas de auditoria, mascaramento em telas, revisão de acessos.

Fase 3: Armazenamento

  • Repositórios: banco, arquivos, ferramenta SaaS, físico.

  • Ambientes: produção, homologação, desenvolvimento.

  • Controles: criptografia em repouso, gestão de chaves, backups, hardening, monitoramento.

Fase 4: Compartilhamento e transferência

  • Destinatários: áreas internas, fornecedores, parceiros.

  • Meio: API, SFTP, portal, acesso direto, arquivo.

  • Controles: contrato e requisitos de segurança, minimização de campos, tokenização, logs de transferência, revisão periódica do terceiro.

Fase 5: Retenção, arquivamento e descarte

  • Prazo e gatilho: regra clara e verificável.

  • Arquivamento: se necessário, com acesso restrito e justificativa.

  • Descarte: método (eliminação lógica, destruição física, wipe), evidência (log, relatório).

  • Exceções: litígio, auditoria, investigação, com controle de acesso reforçado.

Ao registrar o ciclo de vida, busque consistência: se o processo diz que descarta após X, o sistema deve ter rotina de expurgo, e os backups devem respeitar uma política compatível (ou, no mínimo, haver justificativa e controle para a janela de retenção de backups).

Exemplo prático 1: Atendimento de suporte ao cliente

Contexto: uma empresa recebe solicitações por chat e e-mail e registra tickets em uma ferramenta. O suporte pede prints e, às vezes, documentos para comprovação.

  • Coleta: nome, e-mail, telefone, ID do cliente, descrição do problema; anexos (prints, eventualmente documento). Canal: chat web e e-mail.

  • Uso: triagem, diagnóstico, contato com o cliente, escalonamento para engenharia.

  • Armazenamento: ferramenta de tickets (SaaS), caixa de e-mail compartilhada, base de conhecimento interna.

  • Compartilhamento: engenharia acessa o ticket; fornecedor de suporte N1 acessa parte dos tickets.

  • Retenção: tickets por 2 anos após encerramento; anexos por 1 ano; e-mails por 6 meses (com regra de arquivamento). Gatilho: data de fechamento do ticket.

  • Lacunas comuns identificadas no mapeamento: anexos com documentos sensíveis sem necessidade; exportação de tickets para planilhas; permissões amplas para toda a empresa; ausência de logs detalhados de acesso.

Ações derivadas do registro do ciclo de vida: criar orientação operacional para não solicitar documentos desnecessários; configurar mascaramento de campos; restringir anexos por tipo; habilitar logs; definir rotina de expurgo de tickets e anexos; substituir exportações por relatórios com acesso controlado.

Exemplo prático 2: Recrutamento e seleção

Contexto: currículos chegam por formulário e por e-mail. Gestores avaliam candidatos e trocam mensagens internas. Há testes e entrevistas gravadas em alguns casos.

  • Coleta: dados de identificação e contato, histórico profissional, links, pretensão salarial; eventualmente dados sensíveis (ex.: laudos para adaptação em processo inclusivo) se o candidato fornecer.

  • Uso: triagem, entrevistas, validação de requisitos, comunicação com o candidato.

  • Armazenamento: sistema de recrutamento, pasta compartilhada para currículos recebidos por e-mail, agenda corporativa.

  • Compartilhamento: gestores de área, consultoria de recrutamento (terceiro), plataforma de testes.

  • Retenção: candidatos não aprovados por 6 ou 12 meses para banco de talentos; aprovados migram para processo de admissão (novo ciclo). Gatilho: encerramento da vaga.

  • Lacunas comuns: currículos em e-mails sem expurgo; gravações de entrevistas sem prazo; acesso amplo a pastas; cópias locais em notebooks.

Ações derivadas: centralizar recebimento no sistema; bloquear recebimento por e-mail ou automatizar ingestão e exclusão; definir política para gravações; restringir acesso por vaga; criar rotina de expurgo do banco de talentos; registrar evidências de descarte.

Artefatos e modelos que facilitam a execução

Template de registro (exemplo em formato de tabela textual)

Atividade: Atendimento de Suporte (Tickets) | Dono: Coordenação de Suporte | Sistemas: Ticketing SaaS, E-mail compartilhado, CRM
Titulares: Clientes | Dados: Nome, e-mail, telefone, ID cliente, descrição, anexos
Fontes: Titular (chat/e-mail) | Compartilhamentos: Engenharia (interno), Fornecedor N1 (externo)
Fluxos: Chat -> Ticketing (API) | E-mail -> Ticketing (encaminhamento) | Ticketing -> CRM (integração)
Controles: SSO, RBAC, logs, criptografia em repouso (SaaS), TLS, backup do SaaS (política do fornecedor)
Retenção: Tickets 24 meses após fechamento | Anexos 12 meses | Gatilho: data de fechamento
Descarte: Expurgo automático + relatório mensal | Exceções: litígio (flag de retenção legal)
Riscos/Lacunas: exportações manuais para planilhas | Ação: substituir por relatório com acesso controlado

Checklist de qualidade do mapeamento

  • Existe pelo menos um dono de processo por atividade registrada?

  • As categorias de dados estão descritas com exemplos de campos reais?

  • Todos os repositórios foram listados, incluindo planilhas, e-mails e ambientes de teste?

  • Há diagrama ou descrição do fluxo ponta a ponta?

  • Compartilhamentos com terceiros têm meio, frequência e controles documentados?

  • Retenção tem prazo, gatilho e método de descarte com evidência?

  • Há indicação de logs e trilhas de auditoria para acessos e exportações?

  • O registro prevê como será atualizado quando houver mudanças?

Erros comuns e como evitar

Mapear “o ideal” em vez do “real”

Equipes descrevem o processo como deveria ser, não como é. Para evitar, valide com evidências: telas de configuração, amostras de relatórios, permissões reais, logs, scripts de integração, pastas existentes. Inclua exceções operacionais (ex.: “em urgência, enviam por e-mail”) para tratá-las com controles.

Ignorar fluxos manuais e exportações

Grande parte do risco está em exportações para planilhas, PDFs e envios por e-mail. Registre explicitamente: quem exporta, para quê, onde salva, por quanto tempo, e como descarta. Se não for possível eliminar, implemente controles compensatórios (pasta restrita, criptografia, expurgo, registro de acesso).

Não conectar retenção com backups e cópias

Mesmo que o sistema apague, backups podem manter cópias por longos períodos. O ciclo de vida deve registrar a janela de retenção de backups e como a organização lida com solicitações de eliminação quando há cópias de segurança (por exemplo, eliminação em produção e expiração natural do backup em prazo definido, com controle de acesso ao backup).

Tratar o inventário como projeto pontual

Mapeamento é um processo contínuo. Sem governança, ele envelhece rapidamente com novas integrações, novos fornecedores e mudanças de produto. Inclua o registro como etapa obrigatória em mudanças relevantes: criação de novo formulário, novo campo, nova integração, nova ferramenta, novo fornecedor, migração de ambiente.

Integração do mapeamento com controles técnicos e organizacionais

O mapeamento e o ciclo de vida devem alimentar decisões práticas de segurança e operação. Exemplos de como usar o registro:

  • Gestão de acessos: criar matrizes de permissão por atividade; remover acessos genéricos; implementar revisão periódica baseada no “quem precisa para quê”.

  • Segurança de aplicações: identificar endpoints e integrações que trafegam dados pessoais; exigir autenticação forte, limitação de escopo e logs.

  • Governança de dados: padronizar dicionário de dados e reduzir duplicidade de cadastros; definir “fonte de verdade” por atributo.

  • Gestão de fornecedores: saber exatamente quais terceiros recebem quais dados e por qual canal, facilitando requisitos contratuais e auditorias.

  • Resposta a incidentes: acelerar análise de impacto ao saber quais repositórios e fluxos contêm os dados afetados.

  • Atendimento a solicitações de titulares: localizar rapidamente onde estão dados, quais sistemas precisam ser consultados e quais prazos e exceções existem.

Agora responda o exercício sobre o conteúdo:

Ao estruturar um mapeamento de dados pessoais, qual abordagem melhor evita o erro de listar apenas ferramentas e perder a visão real do tratamento?

Você acertou! Parabéns, agora siga para a próxima página

Você errou! Tente novamente.

O tratamento acontece em processos de negócio; um processo pode usar vários sistemas e um sistema pode suportar vários processos. Iniciar pelo processo permite registrar fluxos, acessos, compartilhamentos e regras de retenção e descarte de forma auditável.

Próximo capitúlo

Minimização, necessidade e desenho de processos orientados a dados

Arrow Right Icon
Aprenda Segurança da informação

AprendaSegurança da informação

Proteja todo conteúdo importante, descubra como utilizar a segurança da informação a seu favor e para que serve. Cursa.app separou um curso grátis pra você

 Aprenda Informática ( TI )

AprendaInformática ( TI )

Cursos online gratuitos de Informática, TI e programação com certificação gratuita. Oferecemos cursos de Excel, programação e muito mais. Aproveite agora!
Baixe o app para ganhar Certificação grátis e ouvir os cursos em background, mesmo com a tela desligada.
QR Code - Baixar Cursa - Cursos Online

Baixe nosso aplicativo pelo QR Code ou pelos links abaixo:.

Disponível no Google Play Disponível no App Store