Como este tema funciona no porte da sua empresa
O mapeamento é conduzido pelo próprio gestor ou sócio administrativo, geralmente em planilha. Os dados a mapear são mais limitados: cadastro de clientes, dados de funcionários (folha, contratos de trabalho), dados de fornecedores e informações coletadas no site. Em poucos dias é possível ter um inventário básico e defensável.
O gestor administrativo coordena o levantamento por área — financeiro, RH, TI, comercial e operações. Cada área mapeia seus próprios dados com um formulário padronizado; o gestor consolida e revisa. A ferramenta pode ser planilha estruturada ou sistema dedicado de gestão de privacidade.
O mapeamento é conduzido pelo DPO com participação dos gestores de cada área. O inventário é mais extenso, envolve sistemas integrados como ERP, CRM e HCM, e é atualizado de forma contínua. O gestor administrativo alimenta o inventário com os dados sob sua responsabilidade.
Mapeamento de dados pessoais é o inventário estruturado que identifica quais dados a empresa coleta, para qual finalidade, de quem (titulares), onde armazena, quem acessa e por quanto tempo retém. É o passo zero da adequação à LGPD: sem saber o que a empresa tem, não é possível ajustar formulários, definir bases legais, revisar contratos ou redigir uma política de privacidade que reflita a realidade. O resultado do mapeamento é o Registro de Atividades de Tratamento, também chamado de inventário de dados.
Por que o mapeamento vem antes de tudo
O mapeamento de dados pessoais vem antes de tudo porque as decisões da adequação à LGPD dependem de saber o que existe — sem esse levantamento, qualquer política de privacidade redigida será genérica, qualquer contrato revisado poderá ter lacunas e qualquer base legal definida poderá não corresponder ao que a empresa de fato faz.
Empresas que pulam o mapeamento e vão direto para a redação de documentos acabam com políticas que mencionam dados que não coletam e omitem dados que efetivamente tratam. O resultado é um conjunto de documentos que não protege a empresa nem os titulares — e que pode ser contestado tanto por um titular que solicite acesso quanto por um parceiro que exija evidências de conformidade.
O mapeamento também é o instrumento que revela situações de risco que o gestor não tinha visibilidade: planilhas com dados de clientes acessíveis a toda a empresa, dados de ex-funcionários sem prazo de descarte definido, ou fornecedores recebendo dados pessoais sem base legal clara.
As seis perguntas do mapeamento para cada dado
Para cada tipo de dado que a empresa coleta, o mapeamento responde a seis perguntas. A resposta a todas elas, para cada dado, é o que compõe o inventário.
- O quê — qual dado: nome, CPF, e-mail, endereço, dados bancários, histórico de compras, dados de saúde, etc. Ser específico — "dados cadastrais" não é suficiente; é preciso listar cada tipo de informação.
- Para quê — finalidade: por que a empresa coleta aquele dado. Emitir nota fiscal, pagar o funcionário, enviar newsletter, fazer análise de crédito. A finalidade deve ser específica e real — não "para melhorar o serviço" sem mais detalhes.
- De quem — titular: cliente, funcionário, fornecedor pessoa física, representante de fornecedor pessoa jurídica, visitante do site. Identificar a categoria de titular ajuda a entender quais direitos ela tem sobre os dados.
- Onde fica — armazenamento: sistema, pasta, servidor, planilha, arquivo físico, nuvem. Incluir o nome do sistema e o fornecedor, se for plataforma externa. Dados em múltiplos lugares precisam de cada localização mapeada.
- Quem acessa — controle de acesso: quais cargos ou pessoas têm acesso àquele dado, com que nível de permissão (leitura, edição, exportação). Esse campo frequentemente revela acessos excessivos.
- Por quanto tempo — retenção: qual é o prazo de guarda daquele dado, com base em qual critério — obrigação legal, prazo contratual ou necessidade operacional. Dados sem prazo definido são um risco: podem ficar indefinidamente sem motivo.
Categorias de dados a mapear no back-office
O back-office administrativo e financeiro trata dados de múltiplas origens. Deixar alguma categoria de fora é o erro mais comum no primeiro mapeamento.
Dados de clientes: cadastro (nome, CPF ou CNPJ, endereço, e-mail, telefone), histórico de pedidos e transações, dados bancários quando há cobrança ou devolução, dados de contato de representantes quando o cliente é pessoa jurídica.
Dados de funcionários: dados de admissão (RG, CPF, endereço, dados bancários para pagamento de salário), dados da folha de pagamento, registros de ponto, dados de benefícios (plano de saúde — que incluem dados sensíveis de saúde), contratos de trabalho, dados de desligamento. Esta é a categoria com mais dados sensíveis no back-office típico.
Dados de fornecedores: dados da empresa (CNPJ, endereço, dados bancários) e dados dos representantes e contatos pessoais (nome, CPF, e-mail, telefone). Os dados da empresa pessoa jurídica estão fora do escopo pessoal da LGPD; os dados dos representantes como pessoas físicas estão dentro.
Dados do site e canais digitais: formulários de contato, cadastro de newsletter, cookies, dados de usuários de sistemas de acesso online. Esses dados frequentemente ficam esquecidos no primeiro mapeamento por não serem percebidos como "dados da empresa".
O gestor mapeia as quatro categorias em sequência, em uma ou duas sessões de trabalho. Ferramenta: planilha simples com as seis colunas do inventário. O foco é ter registro básico e defensável, não perfeição.
O gestor envia formulário padronizado para cada área (financeiro, RH, comercial, TI) com as seis perguntas para cada dado que manipulam. Consolida as respostas em um inventário central e revisa inconsistências. Ferramenta: planilha estruturada ou software de gestão de privacidade.
O DPO coordena o processo com cada área como responsável pelo seu inventário parcial. O gestor administrativo responde pelo inventário das suas áreas e garante que novos sistemas e processos sejam incluídos no registro de atividades conforme entram em operação.
Dados sensíveis: identificar e controlar no inventário
Dados sensíveis merecem uma marcação específica no inventário — não apenas por exigência regulatória, mas porque o gestor precisa saber onde estão para garantir controles mais rigorosos de acesso, armazenamento e compartilhamento.
No back-office, os dados sensíveis mais comuns são dados de saúde de funcionários: atestados médicos, laudos de medicina do trabalho, informações de plano de saúde, histórico de licenças médicas. Dados biométricos — como impressão digital usada em relógio de ponto — também são sensíveis. Dados de crianças aparecem menos, mas podem surgir em programas de dependentes de benefícios.
Para dados sensíveis, o inventário deve registrar controles adicionais: quem especificamente pode acessar, onde estão armazenados (de preferência separados dos demais dados), qual a base legal (que é mais restrita para dados sensíveis) e qual o prazo de guarda. A avaliação da base legal para dados sensíveis deve passar pelo assessor jurídico ou DPO.
Modelo de planilha de inventário: campos mínimos
A estrutura mínima do inventário de dados pessoais deve ter as seis colunas das perguntas do mapeamento, mais a identificação da base legal e a marcação de dado sensível quando aplicável. A tabela abaixo mostra a estrutura recomendada com exemplos de preenchimento.
| Dado | Finalidade | Titular | Onde armazena | Quem acessa | Retenção | Base legal | Sensível? |
|---|---|---|---|---|---|---|---|
| CPF do cliente | Emissão de nota fiscal | Cliente PF | ERP / módulo fiscal | Financeiro e fiscal | Prazo fiscal (orientar-se com o assessor) | Obrigação legal | Não |
| Dados bancários do funcionário | Pagamento de salário | Funcionário | Sistema de folha / planilha DP | DP e financeiro | Enquanto vigente + prazo trabalhista | Execução de contrato / obrigação legal | Não |
| Atestado médico do funcionário | Controle de absenteísmo / eSocial | Funcionário | Pasta RH (acesso restrito) | RH e medicina do trabalho | Prazo trabalhista (orientar-se com o assessor) | Obrigação legal | Sim — dado de saúde |
| E-mail de newsletter | Envio de comunicações comerciais | Lead / cliente | Plataforma de e-mail marketing | Marketing / gestor da ferramenta | Até revogação do consentimento | Consentimento | Não |
O inventário não precisa ser extenso para ser útil — precisa ser honesto. Cada linha deve refletir o que a empresa efetivamente faz, não o que ela gostaria de fazer ou acha que deve fazer.
O que fazer com o resultado do mapeamento
O inventário finalizado revela quatro categorias de situação que o gestor precisa endereçar em sequência:
- Tratamentos sem base legal definida: dados que a empresa coleta sem saber por que pode usá-los. Para cada um, é necessário identificar a base legal adequada com apoio do assessor ou DPO — ou, se não houver base, parar de coletar.
- Dados desnecessários: informações que a empresa coleta sem finalidade clara. A orientação da LGPD é coletar apenas o necessário — dados sem finalidade definida devem ser descartados com segurança.
- Prazos de retenção indefinidos: dados armazenados sem prazo de descarte. Para cada dado, é preciso definir um prazo — baseado em obrigação legal, prazo contratual ou necessidade operacional — e implementar o processo de descarte ao final.
- Acessos excessivos: dados acessíveis por mais pessoas do que o necessário. Para cada dado, revisar quem de fato precisa acessar e restringir ao mínimo necessário para cada função.
Quando e como atualizar o mapeamento
O mapeamento de dados pessoais não é feito uma vez e esquecido — ele precisa ser atualizado sempre que algo muda nos processos da empresa. Os gatilhos mais comuns para atualização são: adoção de um novo sistema que processa dados pessoais, contratação de um novo fornecedor que acessa dados da empresa, novo canal de coleta de dados (novo formulário no site, novo aplicativo), nova finalidade de uso de dados já coletados, e encerramento de um processo ou sistema que estava no inventário.
Como orientação prática de mercado, empresas com volume moderado de dados tendem a fazer uma revisão geral do inventário uma vez por ano e atualizações pontuais sempre que um dos gatilhos acima ocorre. Empresas com volume maior ou dados mais sensíveis fazem revisões mais frequentes, com o DPO monitorando as mudanças de forma contínua.
Sinais de que sua empresa precisa fazer o mapeamento de dados
Se você se reconhece em três ou mais cenários abaixo, o inventário de dados provavelmente ainda não existe ou está desatualizado a ponto de não ser útil.
- A empresa nunca listou quais dados pessoais coleta, onde armazena e por quanto tempo guarda.
- Dados de ex-clientes e ex-funcionários são mantidos indefinidamente sem critério de descarte.
- Diferentes áreas armazenam dados dos mesmos titulares em sistemas e planilhas separadas sem visibilidade central.
- Não se sabe com certeza quem tem acesso a dados de clientes ou de funcionários em cada sistema.
- Ao ser perguntado por um cliente ou funcionário sobre seus dados, a empresa não consegue responder com agilidade.
Caminhos para conduzir o mapeamento de dados pessoais
O mapeamento pode ser conduzido internamente ou com apoio especializado — a escolha depende do volume de dados, da quantidade de sistemas e da complexidade dos fluxos.
Conduzir o levantamento com o gestor como coordenador, usando planilha com as seis colunas do inventário e coletando informações de cada área responsável.
- Perfil necessário: gestor administrativo disponível para coordenar, responsáveis de cada área para contribuir com o levantamento.
- Tempo estimado: de 1 a 3 semanas para o levantamento inicial, dependendo do volume de dados e da quantidade de áreas.
- Faz sentido quando: empresa com poucos sistemas, dados relativamente simples e fluxos de dados sem muita integração entre plataformas.
- Risco principal: lacunas por áreas que subestimam os dados que manipulam ou não entendem o nível de detalhe necessário.
Contratar consultoria especializada para conduzir o mapeamento, realizar entrevistas com cada área e estruturar o inventário com a profundidade adequada.
- Tipo de fornecedor: Consultoria em LGPD/Compliance, DPO as a Service, TI/Segurança da Informação.
- Vantagem: metodologia estruturada, identificação de dados que passariam despercebidos internamente e inventário documentado com qualidade desde o início.
- Faz sentido quando: múltiplos sistemas integrados, dados sensíveis em volume, empresa com várias unidades ou que compartilha dados com parceiros.
- Resultado típico: inventário completo e revisado em 4 a 8 semanas, com identificação de lacunas e plano de ação.
Precisa de apoio para mapear os dados pessoais que sua empresa trata?
Se o inventário de dados virou prioridade, o oHub conecta sua empresa, de forma gratuita, a consultores especializados em LGPD e DPO as a Service. Em menos de 3 minutos você descreve a necessidade e recebe propostas, sem compromisso.
Encontrar fornecedores de Gestão no oHub
Sem custo, sem compromisso. Você recebe propostas e decide se e com quem avançar.
Perguntas frequentes
O que é mapeamento de dados pessoais?
É o inventário estruturado que identifica quais dados a empresa coleta, para qual finalidade, de quem, onde armazena, quem acessa e por quanto tempo retém. É o passo zero da adequação à LGPD — sem saber o que existe, não é possível ajustar formulários, definir bases legais ou redigir uma política de privacidade que reflita a realidade da empresa.
Como fazer o mapeamento de dados pessoais na empresa?
Para cada tipo de dado que a empresa coleta, responder seis perguntas: qual dado, para qual finalidade, de quem (titular), onde está armazenado, quem tem acesso e por quanto tempo fica. As respostas formam o inventário. Em empresas pequenas, o gestor faz esse levantamento diretamente; em empresas médias e grandes, cada área contribui com um formulário padronizado que o gestor consolida.
O que deve constar no inventário de dados da LGPD?
O inventário deve ter, no mínimo: o tipo de dado, a finalidade do tratamento, a categoria de titular, onde está armazenado, quem acessa, o prazo de retenção, a base legal que autoriza o tratamento e a marcação de dado sensível quando aplicável. Quanto mais completo, mais útil é para identificar lacunas e orientar as decisões de adequação.
Quem deve conduzir o mapeamento de dados na empresa?
Em empresas pequenas, o gestor administrativo ou o sócio que acumula a função conduz o levantamento diretamente. Em empresas médias, o gestor coordena o processo com cada área responsável pelos dados. Em empresas grandes, o DPO coordena e os gestores de área contribuem com o levantamento das suas responsabilidades.
Com que frequência o mapeamento de dados deve ser atualizado?
Sempre que algo muda nos processos da empresa: novo sistema, novo fornecedor que acessa dados, novo canal de coleta, nova finalidade de uso ou encerramento de um processo. Como orientação prática, uma revisão geral anual e atualizações pontuais a cada mudança relevante é o padrão de mercado para empresas com volume moderado de dados.
Fontes e referências
- Autoridade Nacional de Proteção de Dados (ANPD). Guia de Boas Práticas e Governança — Registro das Operações de Tratamento de Dados Pessoais. Brasília: ANPD. Disponível em: gov.br/anpd.
- Sebrae. Como mapear dados pessoais na pequena empresa. Brasília: Sebrae.