Procedimento de Mapeamento de Dados
Código: PROC-MAP-001 Versão: 1.0 Vigência: 01 de dezembro de 2025
1. Objetivo
Estabelecer o processo para identificação, documentação e manutenção do inventário de dados pessoais tratados pela organização, servindo de base para o Registro das Operações de Tratamento (ROPA) conforme Art. 37 da LGPD.
2. Escopo do Mapeamento
2.1 O que Mapear
| Elemento | Descrição | Exemplo |
|---|---|---|
| Dados Pessoais | Qualquer informação relacionada a pessoa identificada ou identificável | Nome, e-mail, CPF |
| Categorias de Titulares | Grupos de pessoas cujos dados são tratados | Alunos, responsáveis, colaboradores |
| Finalidades | Propósitos do tratamento | Gestão acadêmica, comunicação |
| Bases Legais | Fundamento jurídico para o tratamento | Contrato, consentimento, legítimo interesse |
| Sistemas | Aplicações que processam dados | ERP, CRM, plataforma educacional |
| Fluxos | Como os dados circulam | Coleta → Armazenamento → Uso → Descarte |
| Compartilhamentos | Terceiros que recebem dados | Fornecedores, parceiros, autoridades |
| Transferências Internacionais | Envio para fora do Brasil | Cloud providers em outros países |
2.2 Áreas a Envolver
- Produto/Desenvolvimento
- Infraestrutura/TI
- Suporte ao Cliente
- Comercial/Vendas
- Recursos Humanos
- Financeiro
- Jurídico
- Marketing
3. Metodologia
3.1 Abordagens de Mapeamento
| Abordagem | Descrição | Quando Usar |
|---|---|---|
| Top-down | Partir de processos de negócio para dados | Mapeamento inicial |
| Bottom-up | Partir de sistemas/bancos para processos | Validação técnica |
| Híbrida | Combinar ambas | Mapeamento completo |
3.2 Fluxo do Processo
┌──────────────┐ ┌──────────────┐ ┌──────────────┐ ┌──────────────┐
│ PLANEJAMENTO │───►│ COLETA │───►│ ANÁLISE │───►│DOCUMENTAÇÃO │
│ │ │ │ │ │ │ │
└──────────────┘ └──────────────┘ └──────────────┘ └──────────────┘
│
┌──────────────┐ ┌──────────────┐ │
│ MANUTENÇÃO │◄───│ VALIDAÇÃO │◄──────────┘
│ CONTÍNUA │ │ │
└──────────────┘ └──────────────┘
4. Etapas do Mapeamento
4.1 Etapa 1: Planejamento
Ações:
- Definir escopo (áreas, sistemas, processos)
- Identificar stakeholders
- Criar cronograma
- Preparar materiais (questionários, templates)
- Comunicar envolvidos
Saída: Plano de mapeamento aprovado
4.2 Etapa 2: Coleta de Informações
4.2.1 Entrevistas com Áreas
Roteiro de Entrevista:
-
Identificação
- Qual área/processo?
- Quem é responsável?
-
Dados Coletados
- Quais dados pessoais vocês coletam/recebem?
- De quem são esses dados (categorias de titulares)?
- Há dados sensíveis ou de menores?
-
Finalidades
- Para que esses dados são usados?
- Qual o objetivo/resultado esperado?
-
Origem e Coleta
- De onde vêm os dados?
- Como são coletados?
-
Armazenamento
- Onde ficam armazenados?
- Por quanto tempo?
- Quem tem acesso?
-
Compartilhamento
- Os dados são compartilhados com outras áreas?
- São enviados para terceiros?
- Há transferência para fora do Brasil?
-
Segurança
- Quais medidas de proteção existem?
- Como é controlado o acesso?
4.2.2 Análise de Sistemas
Checklist:
- Listar sistemas que tratam dados pessoais
- Identificar campos/tabelas com dados pessoais
- Mapear integrações entre sistemas
- Identificar onde dados são armazenados
- Verificar logs e backups
4.2.3 Análise de Documentos
Documentos a Revisar:
- Contratos com clientes
- Contratos com fornecedores
- Políticas internas
- Formulários de coleta
- Termos de uso
- Política de privacidade
4.3 Etapa 3: Análise
Ações:
- Consolidar informações coletadas
- Identificar gaps e inconsistências
- Classificar dados por sensibilidade
- Identificar bases legais
- Avaliar riscos preliminares
4.4 Etapa 4: Documentação
Saídas:
- Inventário de dados pessoais
- Diagrama de fluxo de dados
- ROPA (Registro de Operações de Tratamento)
4.5 Etapa 5: Validação
Ações:
- Revisar com áreas responsáveis
- Confirmar completude
- Obter aprovação formal
- Corrigir inconsistências
4.6 Etapa 6: Manutenção Contínua
Gatilhos para Atualização:
- Novo sistema implementado
- Nova coleta de dados
- Novo compartilhamento
- Mudança de fornecedor
- Alteração de processo
- Revisão periódica programada
5. Informações a Coletar
5.1 Template de Mapeamento
| Campo | Descrição | Exemplo |
|---|---|---|
| ID | Identificador único | DP-001 |
| Categoria de Dados | Tipo de dado | Dados cadastrais |
| Dados Específicos | Campos/atributos | Nome, CPF, e-mail |
| Sensível? | Se é dado sensível | Não |
| Categoria de Titular | Quem são os titulares | Alunos |
| Volume Estimado | Quantidade de registros | 50.000 |
| Finalidade | Para que é usado | Gestão acadêmica |
| Base Legal | Fundamento LGPD | Execução de contrato |
| Origem | De onde vem | Formulário de matrícula |
| Sistema | Onde é armazenado | Sistema Acadêmico |
| Formato | Como é armazenado | Banco de dados MySQL |
| Retenção | Por quanto tempo | 5 anos após formatura |
| Compartilhamento Interno | Quais áreas acessam | Secretaria, Coordenação |
| Compartilhamento Externo | Terceiros que recebem | Ministério da Educação |
| Transferência Internacional | Se sai do Brasil | Sim - AWS (EUA) |
| Medidas de Segurança | Proteções aplicadas | Criptografia, RBAC |
| Responsável | Gestor do tratamento | Diretor Acadêmico |
5.2 Categorias de Dados Comuns
| Categoria | Exemplos |
|---|---|
| Identificação | Nome, CPF, RG, foto |
| Contato | E-mail, telefone, endereço |
| Demográficos | Data nascimento, gênero, nacionalidade |
| Profissionais | Cargo, empresa, formação |
| Financeiros | Dados bancários, histórico de pagamentos |
| Acadêmicos | Notas, frequência, histórico escolar |
| Saúde | Alergias, condições médicas, laudos |
| Biométricos | Digital, reconhecimento facial |
| Comportamentais | Logs de acesso, navegação |
5.3 Categorias de Titulares
| Categoria | Subcategorias |
|---|---|
| Alunos | Crianças, adolescentes, adultos |
| Responsáveis | Pais, tutores, guardiões |
| Colaboradores | Funcionários, estagiários, terceirizados |
| Professores | CLT, PJ, temporários |
| Candidatos | Alunos potenciais, candidatos a vagas |
| Fornecedores | Representantes de empresas |
| Visitantes | Visitantes de site, eventos |
6. Ferramentas de Mapeamento
6.1 Diagrama de Fluxo de Dados
┌─────────────────────────────────────────────────────────────────┐
│ FLUXO DE DADOS - EXEMPLO │
└─────────────────────────────────────────────────────────────────┘
┌──────────┐ ┌──────────────┐ ┌──────────────┐
│ TITULAR │───►│ FORMULÁRIO │───►│ SISTEMA │
│ (Aluno) │ │ DE MATRÍCULA│ │ ACADÊMICO │
└──────────┘ └──────────────┘ └──────┬───────┘
│
┌──────────────────────────────┼──────────────────┐
│ │ │
▼ ▼ ▼
┌──────────────┐ ┌──────────────┐ ┌──────────────┐
│ BACKUP │ │ E-MAIL │ │ RELATÓRIOS │
│ (AWS S3) │ │ (Marketing) │ │ (BI) │
└──────────────┘ └──────────────┘ └──────────────┘
│
▼
┌──────────────┐
│ Transferência│
│ Internacional│
│ (EUA) │
└──────────────┘
6.2 Planilha de Inventário
Manter planilha estruturada com:
- Abas por área/processo
- Campos padronizados
- Validações de dados
- Histórico de alterações
6.3 Ferramentas Sugeridas
| Ferramenta | Uso |
|---|---|
| Planilhas (Excel/Sheets) | Inventário básico |
| Ferramentas de diagramação | Fluxos de dados |
| Software de GRC | Gestão integrada |
| https://lgpd.ischolar.app | Repositório de documentação LGPD |
| ClickUp | Gestão de projetos e tarefas |
7. Atualização do ROPA
7.1 Estrutura do ROPA
O mapeamento alimenta o ROPA com:
| Elemento ROPA | Fonte no Mapeamento |
|---|---|
| Nome do tratamento | Finalidade + Processo |
| Descrição | Detalhes coletados |
| Categorias de dados | Inventário de dados |
| Categorias de titulares | Classificação de titulares |
| Base legal | Análise jurídica |
| Prazo de retenção | Política de retenção |
| Compartilhamentos | Mapeamento de fluxos |
| Transferências | Análise de sistemas |
| Medidas de segurança | Avaliação técnica |
7.2 Sincronização
- Mapeamento é a fonte de dados
- ROPA é o registro formal
- Atualizar ROPA sempre que mapeamento mudar
8. Periodicidade de Revisão
8.1 Revisão Completa
Frequência: Anual
Escopo:
- Todas as áreas
- Todos os sistemas
- Todos os processos
8.2 Revisão Pontual
Gatilhos:
- Novo sistema/processo
- Incidente de segurança
- Auditoria
- Mudança regulatória
- Fusão/aquisição
8.3 Monitoramento Contínuo
- Alertas de novos sistemas
- Notificações de mudanças de processo
- Integração com gestão de mudanças
9. Responsabilidades
| Função | Responsabilidades |
|---|---|
| DPO | Coordenar mapeamento, manter ROPA, definir metodologia |
| Gestores de Área | Fornecer informações, validar mapeamento da área |
| TI | Mapear sistemas, integrações, infraestrutura |
| Jurídico | Definir bases legais, prazos de retenção |
| Segurança | Mapear controles de segurança |
10. Desafios Comuns
10.1 Problemas e Soluções
| Desafio | Solução |
|---|---|
| Falta de conhecimento das áreas | Treinamento prévio + questionários guiados |
| Sistemas legados sem documentação | Análise de banco de dados + entrevistas |
| Dados espalhados | Priorizar sistemas críticos primeiro |
| Resistência das áreas | Apoio da liderança + mostrar benefícios |
| Manutenção difícil | Integrar ao processo de mudanças |
11. Métricas
11.1 Indicadores
| Indicador | Meta | Frequência |
|---|---|---|
| % de processos mapeados | 100% | Anual |
| % de sistemas documentados | 100% | Anual |
| Atualização do ROPA | Mensal | Mensal |
| Tempo desde última revisão | ≤ 12 meses | Trimestral |
12. Documentação
12.1 Documentos Gerados
- Inventário de Dados Pessoais
- Diagramas de Fluxo de Dados
- ROPA (Registro de Operações de Tratamento)
- Relatório de Mapeamento
- Atas de validação
12.2 Armazenamento
- Local: https://lgpd.ischolar.app
- Acesso: DPO, gestores, auditoria
- Backup: Conforme política
Aprovação
| Função | Nome | Data |
|---|---|---|
| DPO / Diretor de Tecnologia | Pedro Henrique Rosa Barbosa | 15/12/2025 |
Histórico
| Versão | Data | Alteração |
|---|---|---|
| 1.0 | 15/12/2025 | Versão inicial |
Anexos
- Anexo A: Questionário de Mapeamento por Área
- Anexo B: Template de Inventário de Dados
- Anexo C: Template de Diagrama de Fluxo
- Anexo D: Checklist de Revisão
- Anexo E: Guia de Entrevistas