Como este tema funciona na sua empresa
Pequenas empresas frequentemente conhecem seus dados por intuição — "temos formulários no site, emails de clientes, registros em planilha". Documentar isso formalmente é o primeiro passo para conformidade LGPD e segurança. Sem mapeamento claro, é impossível responder a direitos do titular.
Empresas médias têm múltiplos sistemas: CRM, ERP, portal de clientes, ferramentas de RH. Dados pessoais estão dispersos, frequentemente duplicados. Mapeamento completo revela silos, redundâncias e risco de inconsistência. Implementar um Registro de Atividades de Tratamento (RAT) torna-se crítico.
Grandes organizações têm inventários de dados massivos: Data Lakes, múltiplos bancos de dados por unidade de negócio, sistemas legados ainda em uso. Mapeamento é um projeto de governança contínua, não uma atividade única. Automação de inventário é típica.
Mapeamento de dados pessoais é o processo de inventariar, documentar e classificar todos os dados pessoais que uma organização coleta, armazena, processa ou compartilha — identificando origem, destino, finalidade, período de retenção, responsáveis e riscos de segurança. É requisito obrigatório da LGPD e fundação da conformidade regulatória[1].
Por que mapeamento é obrigatório sob LGPD
LGPD exige que organizações mantenham um Registro de Atividades de Tratamento (RAT), em português também chamado de "TIAR" (Termo de Informações de Atividades de Registro). Este documento deve listar todas as operações de processamento de dados pessoais: coleta, armazenamento, modificação, transferência, exclusão[2].
Sem mapeamento completo, a organização não pode: (1) responder adequadamente a solicitações de direitos do titular; (2) demonstrar conformidade em auditorias regulatórias; (3) executar avaliações de impacto de privacidade (DPIA); (4) validar se tem base legal para cada processamento.
Uma planilha simples listando: dados coletados, onde estão armazenados, para que servem, quem tem acesso, quanto tempo retém. Atualizar quando adiciona novo tipo de dado.
Spreadsheet estruturado ou ferramenta simples de documentação (Notion, Confluence). Incluir campos: tipo de dado, volume, sistema, base legal, responsável interno, transferências externas.
Plataforma de data governance (Collibra, Informatica, alation) ou Data Catalog integrado com Data Lake. Automação de descoberta de dados é essencial.
Etapas práticas de um mapeamento eficaz
Mapeamento competente segue um processo estruturado em cinco fases:
- Identificação de fontes: Que sistemas a organização usa? Quais contêm dados pessoais? (ERP, CRM, RH, portal, emails, bancos de dados, arquivos, logs). Documentar todas as fontes, não apenas as óbvias.
- Classificação de dados: Que tipos de dados pessoais existem? (Nome, email, CPF, endereço, dados biométricos, dados de comportamento, cookies). Diferençar dados comum vs dados sensíveis (raça, religião, biometria, saúde) — regulação é mais rigorosa para sensíveis.
- Documentação de fluxo: De onde vêm os dados? Para onde vão? Quem tem acesso? (Clientes entrada manual ? CRM ? equipe de vendas ? relatórios executivos ? fornecedor de análise). Rastrear o caminho completo.
- Definição de retenção: Por quanto tempo cada tipo é retido? (Clientes ativos enquanto clientes, prospects 2 anos, ex-funcionários 7 anos para fins trabalhistas). Documentar legalmente por que cada período.
- Auditoria e atualização: O mapa é dinâmico. Revisar anualmente ou quando novos sistemas são implementados. Manter versão controle.
Componentes essenciais do Registro de Atividades (RAT)
O RAT deve conter os seguintes elementos para cada atividade de processamento[3]:
- Identificação da operação: Nome da atividade de tratamento (ex.: "Processamento de dados de clientes para faturamento").
- Responsáveis e terceiros: Quem é o controlador (decisor), quem é o operador (executor), quem são sub-processadores (fornecedores).
- Finalidade: Por que esses dados são processados? (Faturação, marketing, conformidade regulatória).
- Base legal: Qual fundamento legal: consentimento, execução de contrato, obrigação legal, interesse legítimo, proteção da vida, interesse público, exercício de autoridade[4].
- Categorias de dados: Quais dados são processados (nome, email, CPF, dados sensíveis).
- Categorias de titulares: Quem são (clientes, funcionários, prospects, fornecedores).
- Período de retenção: Por quanto tempo dados são guardados antes de exclusão.
- Transferências internacionais: Se dados saem do Brasil, para quais países, com que mecanismo legal (adequação, contrato).
- Medidas de segurança: Como dados são protegidos (criptografia, acesso restrito, auditorias).
Dados sensíveis vs dados comuns: tratamento diferenciado
LGPD diferencia dados comuns de dados sensíveis (pessoais sensíveis). Dados sensíveis recebem proteção ainda mais rigorosa[5]:
- Dados sensíveis incluem: Origem racial ou étnica, convicção religiosa ou filosófica, opinião política, filiação sindical, dados genéticos, dados biométricos (facial recognition, impressão digital), dados relacionados à saúde ou vida sexual.
- Restrições adicionais: Processamento de dados sensíveis é permitido principalmente sob consentimento explícito (mais rigoroso que consentimento comum) ou para fins específicos na lei (segurança, saúde pública, exercício de direitos).
- Implicação prática: Empresas que não precisam trabalhar com dados sensíveis devem evitar coletar. Se uma loja online não precisa saber religião de clientes, não peça na cadastro.
Evitar coletar dados sensíveis. Se coleta (ex.: saúde em software médico), documentar explicitamente consentimento e justificativa legal.
Separar processamento de dados sensíveis em seção específica do RAT. Implementar controle de acesso mais restritivo (acesso por papel, auditoria de leitura).
Manter auditoria de acesso e uso para dados sensíveis. Realizar avaliações de impacto (DPIA) obrigatoriamente antes de novo processamento sensível.
Responder a direitos do titular com base no mapeamento
Um dos principais usos do mapa de dados é responder a solicitações de direitos do titular. Quando alguém solicita "me envie meus dados" (direito de acesso), a empresa precisa localizar rapidamente onde estão, em quais sistemas, e compilar uma resposta[6].
Sem mapa, essa tarefa pode levar semanas (procurando em múltiplos sistemas). Com mapa bem-estruturado, pode levar horas. Tempo de resposta obrigatório sob LGPD é 45 dias — mapeamento permite respeitar isso.
Direitos comuns do titular: (1) Acesso: quero meus dados; (2) Retificação: corrigir dados incorretos; (3) Exclusão: apagar meus dados; (4) Portabilidade: enviar dados em formato estruturado para outra empresa; (5) Objeção: não quero que meus dados sejam usados para certos fins.
Sinais de que sua empresa precisa mapear dados pessoais agora
Se você se reconhece em três ou mais cenários abaixo, um mapeamento formal é urgente.
- Não há documento formal listando que dados pessoais a empresa coleta ou processa.
- Quando alguém solicita "meus dados" (direito de acesso LGPD), a empresa não sabe por onde começar a procurar.
- Dados pessoais estão em múltiplos sistemas (CRM, ERP, emails, planilhas) sem rastreabilidade clara.
- Não há documentação clara de quem tem acesso a dados pessoais e por que.
- Dados são retidos "enquanto temos espaço" — não há política de exclusão definida.
- A empresa não sabe se transferências de dados para fornecedores ou cloud estão de acordo com LGPD.
- Não há avaliação formalizada de riscos de segurança para dados pessoais.
Caminhos para implementar mapeamento de dados pessoais
Mapeamento pode ser executado internamente para empresas simples, ou com suporte externo para estruturas complexas.
Viável para empresas pequenas com operações diretas e sem múltiplos sistemas legados.
- Perfil necessário: Responsável de TI ou RH que entenda onde dados estão armazenados, com apoio jurídico pontual
- Tempo estimado: 4 a 12 semanas para mapeamento inicial
- Faz sentido quando: Empresa conhece relativamente bem seus sistemas, dados não são muito dispersos
- Risco principal: Omissão de sistemas legados ou dados em emails/arquivos pessoais não mapeados
Recomendado para empresas médias/grandes com múltiplos sistemas ou estrutura complexa.
- Tipo de fornecedor: Consultoria em Data Governance, Consultoria LGPD/Compliance, especialistas em Privacy
- Vantagem: Descoberta sistemática, documentação profissional, facilita resposta a auditorias futuras
- Faz sentido quando: Múltiplos sistemas, dados dispersos, necessidade de conformidade auditável
- Resultado típico: RAT completo e documentado em 8 a 16 semanas
Precisa de especialista para mapear seus dados pessoais?
Se documentar dados pessoais é uma prioridade para conformidade LGPD, o oHub conecta você com consultorias especializadas em proteção de dados e governança. Em menos de 3 minutos, descreva sua situação (tipo de dados, número de sistemas) e receba propostas de especialistas, sem compromisso.
Encontrar fornecedores de TI no oHub
Sem custo, sem compromisso. Você recebe propostas e decide se e com quem avançar.
Perguntas frequentes
O que é Registro de Atividades de Tratamento (RAT)?
É o documento obrigatório sob LGPD que lista todas as operações de processamento de dados pessoais de uma organização: coleta, armazenamento, compartilhamento, retenção, finalidade e base legal. Deve estar disponível para auditorias regulatórias.
Qual é a diferença entre dados pessoais e dados sensíveis?
Dados pessoais são qualquer informação que identifique ou relacione-se a uma pessoa (nome, email, CPF, endereço). Dados sensíveis são um subconjunto que merece proteção extra: origem racial, religião, dados biométricos, saúde, vida sexual, opinião política.
Por quanto tempo posso reter dados pessoais?
Pelo tempo necessário para a finalidade específica. Dados de cliente ativo enquanto cliente, ex-clientes 2-3 anos, dados de funcionário 7 anos para fins trabalhistas, dados de prospects 2 anos se não há consentimento explícito de marketing. Documentar a justificativa é obrigatório.
Como responder a uma solicitação de acesso a dados (direito do titular)?
O mapa de dados indica onde cada tipo está armazenado. Recebida uma solicitação, localize o titular em todos os sistemas mapeados, compile os dados (criptografado se sensível), e envie em formato estruturado em até 45 dias.
Dados em emails do funcionário precisam ser mapeados?
Sim, se contêm dados pessoais de terceiros (cliente, fornecedor, outro funcionário). Dados do próprio funcionário em seu email de trabalho são corporativos, não pessoais. Mas se um email contém dados de clientes, deve ser considerado na política de retenção corporativa.
Fontes e referências
- Lei Geral de Proteção de Dados Pessoais (LGPD). 2018. Planalto.
- Autoridade Nacional de Proteção de Dados (ANPD). Guia sobre Registro de Atividades de Tratamento.
- ANPD. Componentes do Registro de Atividades de Tratamento (RAT).
- ANPD. Bases Legais para Processamento de Dados sob LGPD.
- LGPD. Artigos sobre Dados Sensíveis (Art. 5º e segs).
- ANPD. Direitos do Titular de Dados Pessoais.