Pular para o conteúdo
Tutelas — Compliance Educacional

Mapeamento de Dados Pessoais: Passo a Passo

Zachariah Zagol · · 7 min de leitura
lgpd mapeamento dados

O mapeamento de dados pessoais é a fundação de qualquer programa de adequação à LGPD. Sem saber quais dados sua empresa coleta, onde estão armazenados e como são tratados, é impossível garantir conformidade.

Apesar da importância, a maioria das empresas ainda não fez um mapeamento adequado — ou fez uma vez e nunca atualizou.

O que é o mapeamento de dados

O mapeamento de dados (data mapping ou Record of Processing Activities) é o inventário detalhado de todas as atividades de tratamento de dados pessoais realizadas pela empresa. Para cada atividade, documenta-se:

  • Quais dados pessoais são tratados
  • De quem são os dados (categorias de titulares)
  • Qual a finalidade do tratamento
  • Qual a base legal
  • Onde os dados são armazenados
  • Quem tem acesso
  • Com quem são compartilhados
  • Por quanto tempo são retidos
  • Quais medidas de segurança são aplicadas

Por que o mapeamento é essencial

Fundamenta todo o programa de compliance

Sem mapeamento, a política de privacidade é ficção. O RIPD é adivinhação. A resposta a titulares é improvisação. Toda decisão sobre proteção de dados depende de conhecer o fluxo real.

Permite identificar riscos

O mapeamento revela dados coletados sem finalidade clara, compartilhamentos desnecessários, armazenamento excessivo e lacunas de segurança. São riscos que passam despercebidos sem uma análise sistemática.

É exigido na prática

A ANPD solicita evidências de mapeamento em processos de fiscalização. Contratos com grandes empresas frequentemente exigem comprovação de inventário de dados. Auditorias ISO 27001 e 27701 também requerem esse registro.

Metodologia passo a passo

Passo 1: Defina o escopo

Comece identificando todas as áreas da empresa que tratam dados pessoais. RH, marketing, vendas, financeiro, TI, jurídico, atendimento ao cliente — praticamente toda área trata dados.

Para empresas de maior porte, pode ser necessário dividir o mapeamento por departamento ou unidade de negócio.

Passo 2: Identifique os processos

Em cada área, liste os processos que envolvem dados pessoais. Exemplos:

  • RH: Recrutamento, admissão, folha de pagamento, benefícios, desligamento
  • Marketing: Campanhas de e-mail, remarketing, análise de audiência, eventos
  • Vendas: Cadastro de clientes, propostas comerciais, CRM
  • Financeiro: Faturamento, cobrança, análise de crédito
  • TI: Gestão de acessos, monitoramento, backup

Passo 3: Colete as informações

Para cada processo, reúna as informações usando questionários estruturados e entrevistas com os responsáveis. Perguntas-chave:

  1. Quais dados pessoais são coletados neste processo?
  2. De quem são os dados?
  3. Por que esses dados são necessários?
  4. Como os dados são coletados?
  5. Onde são armazenados?
  6. Quem tem acesso?
  7. São compartilhados com terceiros? Quais?
  8. Por quanto tempo são mantidos?
  9. Existe base legal definida?
  10. Quais medidas de segurança estão em vigor?

Passo 4: Documente o inventário

Organize as informações em um formato estruturado. Uma planilha é suficiente para empresas menores. Empresas de maior porte podem usar ferramentas especializadas de gestão de privacidade.

Cada registro deve conter todos os campos listados acima, de forma padronizada e consultável.

Passo 5: Analise os gaps

Com o inventário completo, analise:

  • Dados sem finalidade clara — devem ser eliminados
  • Base legal ausente — risco de infração
  • Compartilhamentos não documentados — possível irregularidade
  • Retenção excessiva — dados mantidos além do necessário
  • Segurança insuficiente — dados sensíveis sem proteção adequada

Passo 6: Crie o plano de ação

Para cada gap identificado, defina a ação corretiva, o responsável e o prazo. Priorize pelos riscos mais graves.

Passo 7: Mantenha atualizado

O mapeamento é um documento vivo. Estabeleça um processo de atualização: sempre que um novo sistema for implementado, um novo fornecedor contratado ou um processo alterado, o inventário deve ser revisado.

Ferramentas

  • Planilhas: Simples e acessíveis. Funcionam bem para empresas menores.
  • Ferramentas de GRC: OneTrust, BigID, TrustArc — para empresas de maior porte.
  • Plataformas brasileiras: DPOnet, Privacy Tools, LGPD Solution — soluções localizadas e com suporte em português.
  • IA: Ferramentas de IA podem auxiliar na classificação automática de dados e na identificação de fluxos em sistemas complexos.

Conclusão

O mapeamento de dados pessoais não é um exercício burocrático — é o diagnóstico que permite tratar a empresa. Sem ele, qualquer esforço de adequação à LGPD é construído sobre areia. Conheca nosso workshop de compliance.

Quer aprender a fazer mapeamentos de dados profissionais e oferecer esse serviço a empresas? O workshop da Tutelas ensina a metodologia completa, com templates, questionários e ferramentas para conduzir projetos de data mapping do início ao fim.

Compartilhe este artigo:

LinkedIn WhatsApp

Artigos Relacionados

10/12/2025

Como Implementar a LGPD: Guia Passo a Passo

20/12/2025

DPO: O Que Faz e Como Contratar

19/03/2026

O Futuro da Advocacia é com IA: Dados de 2026

Quer aprender compliance na prática?

Workshop Compliance Inteligente: 9 horas, 675+ documentos, metodologia com IA.

Conhecer o Workshop