Como este tema funciona no porte da sua empresa
Mapeamento é rápido: você lista em uma hora. Dados de cliente (nome, email), fornecedor (CNPJ), fisco, funcionário (se houver) e marketing. Tudo em uma planilha. Não precisa de consultoria — você faz sozinho.
Mapeamento requer coordenação com administrativo, vendas, suporte. Leva 2–3 horas no total. Documento em Excel com abas por tipo de dado. Atualiza uma vez por ano ou quando processos mudam.
Mapeamento é projeto formal que requer entrada de múltiplas áreas. Consultoria light (4–8 horas) estrutura documento, valida completude, treina time. Resultado é RIPD simplificado.
Mapeamento de dados é um inventário documentado de todos os dados pessoais que sua empresa coleta, processa e armazena — informando onde vêm, como são usados, onde vivem e qual é a base legal para cada um. É o primeiro passo para ficar em conformidade com a LGPD, sem necessidade de consultoria cara.
Como isso muda conforme o tipo de negócio
Dados principais: cliente (nome, endereço, email, histórico de compra), fornecedor (CNPJ, contato), funcionário. Mapeamento é simples porque operação é linear: coleta ? armazena em CRM/Excel ? usa para marketing. Foco: de onde vêm dados do cliente.
Dados críticos: login de usuário, logs de uso, localização (se app mobile), padrão de comportamento. Dados técnicos vivem em servidor. Mapeamento é mais formal — documente infraestrutura (onde dados ficam), segurança (como protegidos), retenção (por quanto tempo).
O que é mapeamento e por que não é o mesmo que RIPD
Muitas PMEs confundem mapeamento com RIPD (Relatório de Impacto de Proteção de Dados). A diferença é importante para evitar trabalho desnecessário.
Mapeamento é um inventário simples: uma tabela que lista "operação" (o que a empresa faz), "dados coletados" (nome, email, CPF), "se é sensível ou não", "onde armazena" (CRM, Excel, email), "base legal" (contrato, consentimento). Tudo em uma planilha ou documento. É documentação básica que cumpre LGPD de forma prática.
RIPD é mais complexo: análise formal de risco de cada tratamento de dados. Exige identificação de vulnerabilidades, análise de impacto potencial, medidas de mitigação. RIPD é obrigatório só para tratamentos de "alto risco" (dados sensíveis em grande escala, biometria, processamento automatizado). Para PME, é raro precisar.
Para começar na LGPD, mapeamento basta. RIPD vem depois, se necessário. A boa notícia: mapeamento é 20% do esforço e cobre 80% da conformidade básica.
Os 5 passos do mapeamento básico que funciona
Mapeamento não é mistério. Aqui está o processo prático que PMEs conseguem executar em 2–3 horas.
Passo 1: Liste todas as operações que tratam dados. Sente com o time (ou sozinho se for solo) e responda: "Em que situações a gente coleta dados?" Exemplos: (1) venda (coleta nome, email, endereço do cliente), (2) recrutamento (coleta currículo e dados pessoais de candidato), (3) suporte (coleta dados de reclamação de cliente), (4) marketing (coleta email para newsletter), (5) fiscal (coleta dados para nota fiscal e SPED), (6) folha de pagamento (coleta dados do funcionário), (7) fornecedor (coleta CNPJ e contato para pagamento). Lista as principais operações — não precisa ser exaustiva. Se tem 7-8 operações, tá bom.
Passo 2: Para cada operação, detalhe que dados são coletados. Operação "venda" coleta: nome cliente, CPF/CNPJ, email, endereço residencial, telefone, data de nascimento (se houver desconto aniversariante). Operação "folha" coleta: nome completo, CPF, dados bancários, endereço residencial, dependentes, salário. Seja específico — não escreva só "dados pessoais". Quanto mais detalhe agora, melhor depois você controla.
Passo 3: Classifique cada dado como comum ou sensível. Dado comum é informação rotineira: nome, email, endereço, telefone. Dado sensível é informação que exige proteção reforçada: CPF, dados bancários, saúde, biométria, localização precisa. A maioria dos dados será comum. Sensível é exceção — não asuste.
Passo 4: Documente a base legal para cada tratamento. Lei exige que você tenha uma razão legal para coletar cada dado. Exemplos de base legal: (a) contrato (você coleta nome e email porque vende para cliente, venda exige isso), (b) consentimento (você coleta email para newsletter porque cliente marcou checkbox), (c) obrigação legal (você coleta CPF porque fisco obriga em nota fiscal), (d) interesse legítimo (você coleta dados para cobrança porque tem direito de cobrar débito). Para PME, "contrato" e "obrigação legal" cobrem 90% dos casos.
Passo 5: Identifique onde os dados vivem (armazenamento). Dados de cliente em CRM ou Excel? Dados de funcionário em arquivo em Drive? Backups em nuvem ou no servidor local? Dados antigos em pen drive? Mapeie os locais. Depois você controla acesso, segurança, exclusão.
Pronto: você tem mapeamento básico documentado. Levou 2-3 horas. Nada demais.
A planilha de mapeamento que você pode roubar
Aqui está a estrutura de tabela simples que funciona na prática:
Colunas da planilha:
- Operação: O que a empresa faz (venda, recrutamento, suporte, folha, etc.).
- Dados Coletados: Lista específica (nome, email, CPF, endereço, telefone, data de nascimento, etc.).
- Tipo: Comum ou Sensível.
- Base Legal: Por que você coleta (contrato, consentimento, obrigação legal, interesse legítimo).
- Onde Armazena: CRM (qual?), Excel, Drive, servidor local, email, outro.
- Tempo de Retenção: Quanto tempo guarda o dado (enquanto cliente ativo, 5 anos, até encerramento de contrato).
- Responsável: Quem na empresa cuida desse tipo de dado (gerente administrativo, dono, RH, TI).
Você não precisa de software especial. Excel ou Google Sheets funciona perfeitamente. Uma planilha com 10–15 linhas cobre 95% das PMEs.
Exemplo de linha preenchida:
- Operação: Venda de Produto
- Dados: Nome, Email, Endereço, CPF
- Tipo: Comum
- Base Legal: Contrato (necessário para entregar produto)
- Armazenamento: CRM (Salesforce) + Excel backup em Drive
- Retenção: 5 anos após venda (para cobranças futuras, conforme Lei)
- Responsável: Gerente de Vendas
Isso é mapeamento. Nada complicado. Praticamente todos conseguem fazer.
Erros que donos cometem — e como evitar
Erro 1: "Mapeamento precisa ser perfeito e cobrindo absolutamente TUDO." Falso. Cobre operações principais. Se deixou de fora uma operação menor, atualiza depois. Viável sempre bate perfeito.
Erro 2: "Preciso contratar consultoria caro para fazer mapeamento." Falso. PME pequena consegue fazer sozinha em 2–3 horas. Consultoria light faz sentido só se empresa é grande ou operação é muito complexa (múltiplas filiais, integração com terceiros).
Erro 3: "Todos os dados têm que estar em uma lista grande." Errado. Foco em operações principais que geram dados: marketing, cliente, fornecedor, folha, fisco. Se você vende e coleta email de cliente, entra. Se você guarda foto de candidato que rejeitou há 2 anos em pasta drive, pode deixar de fora (é operação muito menor).
Erro 4: "Se não fizer RIPD formal, mapeamento não vale." Falso. Mapeamento básico já cumpre parte importante de LGPD. RIPD vem depois, se necessário (raro para PME).
Erro 5: "Depois que mapear uma vez, nunca mais preciso atualizar." Errado. Revise uma vez por ano ou quando processos mudam significativamente (novo software, novo tipo de venda, nova linha de produto, reorganização).
Como guardar o mapeamento e atualizá-lo
Após fazer mapeamento, guarde em local seguro — isso é evidência de que você tentou estar em conformidade. Basta salvar a planilha em Drive, OneDrive ou servidor protegido. Adicione data de revisão (mês/ano). Quando atualizar, guarde versão anterior (histórico).
Frequência de revisão: anualmente ou quando houver mudança significativa no negócio (novo software de gestão, novo tipo de venda, novo produto, reorganização estrutural).
Não é preciso manter versão impressa — digital em Drive com histórico funciona perfeitamente. Se auditor (Receita Federal, Ministério do Trabalho, ANPD) pedir prova de LGPD, você mostra a planilha com data e diz: "Aqui está nosso inventário de dados de forma prática".
Sinais de que sua empresa precisa documentar mapeamento de dados agora
Se você se reconhece em três ou mais cenários abaixo, mapeamento é prioridade imediata:
- Você coleta dados de cliente (email, telefone) mas não tem documento dizendo onde ficam e por quanto tempo
- Dados estão em múltiplos lugares (CRM, Excel, email, WhatsApp) e você não consegue dizer onde cada um tá
- Um cliente perguntou "que dados vocês têm de mim?" e você não soube responder rápido
- Você recebeu comunicação de órgão (Receita, prefeitura, ANPD) perguntando sobre LGPD e ficou inseguro
- Um fornecedor grande pediu "vocês estão em conformidade LGPD?" e você não tinha resposta clara
- Funcionário saiu da empresa e você não sabe se deletou dados dele corretamente
- Seu contador mencionou LGPD mas você achou que era só responsabilidade dele, não sua
Caminhos para documentar seu mapeamento de dados
Você pode estruturar isso sozinho em poucas horas, ou contar com apoio especializado. Aqui estão as duas rotas:
Você ou gerente administrativo monta a planilha, reúne informações de cada área (ou executa sozinho se solo), preenche as colunas. Leva 2–3 horas no total.
- Perfil necessário: Você ou alguém com acesso às contas, sistemas, listas de cliente e fornecedor.
- Tempo estimado: 2–3 horas para criar; 30 minutos para revisar anualmente.
- Faz sentido quando: Empresa é pequenininha, operação é simples, você tem tempo para organizar.
- Risco principal: Planilha fica desatualizada; você não revisa; documento perde validade com o tempo.
Consultoria LGPD light estrutura mapeamento, valida completude, treina time. Você fica com documento formal e sabe que está correto.
- Tipo de fornecedor: Consultoria LGPD, consultoria de compliance, advogado especializado em LGPD.
- Vantagem: Mapeamento mais completo, documentação formal e estruturada, treino do time, validação jurídica.
- Faz sentido quando: Você não tem tempo, operação é complexa, ou quer garantia de conformidade.
- Resultado típico: Mapeamento documentado em 1–2 semanas, com recomendações para próximos passos.
Sua PME já tem inventário documentado de todos os dados que coleta?
Estruturar mapeamento de dados é o primeiro passo para ficar em conformidade com a LGPD. Na oHub, você se conecta com consultores LGPD, advogados especializados e mentores de conformidade que já ajudaram centenas de PMEs a documentar dados de forma prática e sem complicação. Sem custo inicial, sem compromisso.
Encontrar fornecedores de PME no oHub
Sem custo, sem compromisso. Você recebe propostas e decide se e com quem avançar.
Perguntas frequentes
Por onde começo a fazer mapeamento LGPD?
Comece respondendo: "Em que situações a gente coleta dados?" Venda, suporte, marketing, folha de pagamento — liste as operações principais. Depois, para cada uma, detalhe que dados coleta e onde armazena. Uma planilha Excel simples funciona.
Mapeamento de dados é a mesma coisa que RIPD?
Não. Mapeamento é um inventário documentado de dados. RIPD é análise formal de risco de alto impacto. Para PME, mapeamento basta para cumprir LGPD. RIPD é necessário só para tratamentos de muito alto risco.
Como listar todos os dados que minha empresa trata?
Faça uma tabela com colunas: Operação, Dados Coletados, Tipo (Comum/Sensível), Base Legal, Armazenamento. Para cada processo da empresa (venda, recrutamento, suporte, folha), detalhe que dados trata. Sete a dez linhas cobrem maioria das PMEs.
Preciso de ferramenta especial para mapeamento?
Não. Excel ou Google Sheets é suficiente. Software especializado faz sentido só para empresa com centenas de operações e dados sensíveis em larga escala.
Quanto tempo leva para fazer mapeamento na PME?
Primeira versão leva 2–3 horas. Você reúne as operações principais, lista dados, preenche planilha. Se usar consultoria, estruturação leva 1–2 semanas (incluindo entrevistas e validação).
Quem faz mapeamento de dados: dono, contador ou advogado?
Dono ou gerente administrativo conseguem fazer sozinhos. Contador pode ajudar (sabe dados de folha). Advogado valida se tudo está correto. Não é responsabilidade de uma pessoa — é projeto da empresa.