Os dados são considerados o petróleo moderno, e a comparação não se refere apenas ao valor. Assim como os regulamentos definem como o combustível deve ser armazenado e usado com segurança, existem leis para informações de identificação pessoal (PII) e dados confidenciais também.
O problema é que você não pode aplicar regras e políticas ao que você não sabe que tem. Para governar seus dados, você precisa saber onde ele está armazenado, como é usado e quão sensível é. É por isso que o mapeamento de dados é tão importante em governança e conformidade.
O que é mapeamento de dados?
Em governança, o mapeamento de dados é o processo de documentar o ecossistema de dados da sua organização. Ele mostra quais PII você coleta, onde elas são armazenadas, como os dados se movem entre os sistemas e como são usados.
Em resumo, o mapeamento de dados cria visibilidade para que políticas, requisitos de conformidade e medidas de segurança possam ser aplicados de forma consistente.
Considere um varejista. Para processar um pedido, ele precisa:
- Nome e endereço do cliente para entrega
- O e-mail deles para confirmação da conta
- Um registro de compras anteriores para marketing
Adicione registros de funcionários, detalhes de fornecedores e transações financeiras e você verá como os dados se tornam complexos rapidamente.
Um mapa focado em governança classifica esses diferentes tipos de dados — públicos, pessoais ou sensíveis. Ele informa como as PII se conectam a propósitos comerciais e a base legal para seu processamento.
Com essa visão unificada, você poderá aplicar melhor as políticas corretas aos seus dados. Você pode proteger informações pessoais e garantir que elas sejam usadas apenas para fins legítimos. Você também pode garantir que dados pessoais e confidenciais sejam retidos ou excluídos de acordo com regulamentações como a RGPD na UE ou o CCPA na Califórnia.
Além disso, casos de uso avançados, como análise ou treinamento de modelos de IA, exigem dados precisos e consistentes. O mapeamento prepara suas informações para esses fins.
Aplicar políticas de privacidade sobre dados é, por si só, um exercício puramente intelectual. Sua aplicação prática depende fortemente do mapeamento de dados. É ele que informa onde seus dados residem e como eles se movem. Ele classifica as informações de acordo com sua sensibilidade. Isso, por sua vez, informa quais políticas aplicar.
No geral, esse processo não é apenas um exercício de conformidade; ele ajuda a melhorar a qualidade dos seus dados.
Principais benefícios do mapeamento de dados para governança e conformidade
Práticas eficazes de mapeamento de dados ajudam sua empresa de diversas maneiras. Aqui estão algumas delas:
Conformidade regulatória e prontidão para auditoria
O GDPR exige que as organizações mantenham um registro de como usam e processam dados. É verdade que isso não é exigido por outras leis de proteção de dados, como a CCPA e HIPAA. No entanto, eles também precisam que você saiba quais dados pessoais sua empresa possui, por que você os processa e como eles são transferidos.
Além disso, auditores e reguladores não trabalham com base na confiança. Você precisa fornecer mais do que apenas a sua palavra de que está seguindo práticas de dados compatíveis. Um mapa de dados bem mantido faz parte das suas evidências detalhadas. Ele ajuda você a demonstrar e comprovar a responsabilidade.
Redução de riscos
Destaques do mapeamento dados de sombra e TI paralela, que são bancos de dados, planilhas ou aplicativos que operam fora de sistemas aprovados. Como você deve ter ouvido, o desconhecimento da lei não é uma defesa para infringi-la. Da mesma forma, não saber que você possui dados não significa que você não precisa mais seguir as normas ao armazená-los ou usá-los.
Identificar dados ocultos é o primeiro passo para colocá-los sob governança e reduzir o risco de perda ou violações de dados e as multas resultantes.
Eficiência Operacional
Saber onde seus dados residem e como eles fluem ajuda a evitar duplicação e redundância. Entender a movimentação dos dados permite revisar seus processos e reduzir gargalos.
Ao coletar PII, você precisa permitir que os titulares dos dados acessem, revisem ou solicitem a exclusão de seus dados. Se você souber onde esses dados estão armazenados, poderá concluir o DSAR de forma mais rápida e eficiente.
Com todos os seus dados organizados de forma organizada, também é menos provável que você tenha informações antigas ou desatualizadas ocupando seu espaço de armazenamento.
Apoio para DPIAs e RoPAs
Avaliação de Impacto à Proteção de Dados (DPIA) é um processo exigido pelo GDPR para atividades de processamento de alto risco. Ele analisa os riscos que as PII enfrentam durante seu uso.
DPIAs e RoPAs (mais sobre isso depois) contam com inventários de dados precisos e documentação de fluxo. Um mapa de dados torna essas tarefas mais rápidas, precisas e fáceis de manter.
Qualidade de dados aprimorada
O mapeamento é uma ótima maneira de eliminar dados inconsistentes e redundantes. É necessário rotulá-los consistentemente para contextualizar e facilitar a compreensão por máquinas. Dados limpos e validados não apenas fortalecem os relatórios de conformidade, mas também garantem a confiabilidade para análises e IA.
Supervisão de fornecedores e terceiros
As organizações modernas dependem de ecossistemas de fornecedores complexos onde os dados são compartilhados para entregar mais valor aos usuários. O mapeamento revela como os dados pessoais são compartilhados externamente. Ele ajuda a verificar se os fornecedores aplicam os mesmos padrões de proteção e cumprem as obrigações contratuais e legais.
Conformidade Transfronteiriça
Dados comerciais que atravessa fronteiras regulatórias devem estar em conformidade com todos os aspectos. Por exemplo, o GDPR estabelece que informações de identificação pessoal pertencentes a residentes da UE só podem ser transferidas para um país fora da União Europeia em circunstâncias específicas.
Se sua empresa opera em diversas jurisdições, um mapa de dados mostra onde os dados são transferidos e armazenados. Isso indica onde aplicar as regras de transferência internacional e manter a transparência com clientes e reguladores.
É claro que esses benefícios só são possíveis se você realizar o processo de mapeamento com diligência.
Processos e conceitos de mapeamento de dados
O processo de mapeamento de dados pode ser dividido em dois processos: inventário de dados e criação de um mapa de dados.
O inventário é um catálogo dos seus dados e sua localização, organizados por sensibilidade. O mapa de dados é uma representação visual do motivo pelo qual você precisa deles e como eles fluem. Juntos, esses dois elementos informam como gerenciar as informações da sua empresa.
Para entender como o mapeamento de dados funciona na governança, você precisa entender alguns de seus principais conceitos:
Tipos de dados
Um mapa de dados deve rastrear todos os tipos de informações coletadas pela empresa, incluindo dados de clientes, funcionários e da empresa.
Os dados do cliente incluem (mas não estão limitados a):
- Nomes
- Endereços residenciais/comerciais/de e-mail
- Números de telefone
- Informações de pagamento, como cartão de crédito ou dados bancários
- Histórico de pedidos
- Histórico de navegação
Os detalhes do funcionário podem ser:
- Detalhes de contato para registros de RH
- Informações bancárias e de folha de pagamento para pagamentos de salários
- Detalhes de inscrição em saúde e benefícios para fins de seguro e conformidade
- Resultados da revisão de desempenho e registros de treinamento para gerenciar o desenvolvimento e a progressão
- Detalhes de contato de emergência para requisitos de segurança no local de trabalho
As informações comerciais consistem em:
- Contratos e acordos com fornecedores, parceiros ou clientes
- Registros financeiros, como faturas, livros-razão e declarações de impostos
- Propriedade intelectual, incluindo designs de produtos, código-fonte ou dados de pesquisa
- Informações da cadeia de suprimentos, como manifestos de remessa ou preços de fornecedores
Cada informação pode exigir diferentes níveis de proteção, dependendo da privacidade de dados aplicável e das regulamentações específicas do setor.
Fontes e sistemas de dados
Sua organização coleta dados de diversos pontos de contato. Os dados dos clientes podem ser coletados e armazenados em plataformas de CRM, como o Salesforce, ou outras ferramentas de marketing. Os registros dos funcionários podem estar em sistemas de RH e processadores de pagamento.
Você pode ter informações armazenadas em nuvem, planilhas ou bancos de dados legados. Esses registros também podem variar em seu formato de armazenamento. Formatos de dados comuns incluem bancos de dados SQL, JSON, XML e arquivos CSV.
Os formatos listados são todos fontes de dados estruturados. Você também pode ter informações armazenadas em formatos não estruturados, como e-mails, PDFs e outros.
Registros de Atividades de Processamento (RoPAs)
Se o seu negócio estiver abrangido pelo RGPD, deverá manter um registo interno das suas atividades de processamento de dados, nos termos do Artigo 30.º —um registro de atividades de processamento, em outras palavras. Isso significa que você deve saber quais ativos de dados sua empresa possui e como e por que eles são usados para fins internos.
Mapas de dados são essenciais para a construção e manutenção desses RoPAs. Eles registram quais dados pessoais são processados, para qual finalidade, sob qual base legal e por quem.
Fluxos de dados e linhagem
Sua empresa coleta PII com uma finalidade específica, portanto, elas nunca ficam paradas em um banco de dados. Elas precisam fluir por sistemas e aplicativos para cumprir sua finalidade.
O mapeamento na governança mostra como os dados viajam da origem ao destino, seja internamente entre aplicativos ou externamente para fornecedores.
Ele documenta a linhagem para que você não tenha pontos cegos. Além disso, ajuda a identificar dados sombra ou TI sombra, comparando seu inventário de dados com os requisitos do sistema.
Políticas e Controles
Quaisquer dados coletados estão sujeitos a certas regras. As políticas de governança de dados abrangem o motivo pelo qual você precisa das informações, como destruí-las após o cumprimento de sua finalidade e tudo o mais.
De acordo com o GDPR, você precisa de uma base legal para processar informações. Embora o consentimento seja uma delas, não é a única. Outras bases são a necessidade contratual, a obrigação legal, os interesses vitais, as tarefas públicas e os interesses legítimos.
Cada elemento de dados em um mapa de governança deve estar vinculado à base legal, bem como à sua finalidade comercial. Por exemplo, você pode precisar dele para "cumprir um pedido" ou "gerenciar a folha de pagamento". Documentar a finalidade e a base garante a responsabilização e facilita a demonstração de conformidade durante auditorias.
Agora que você coletou informações pessoais e sensíveis, precisa protegê-las usando medidas adequadas de segurança e proteção de privacidade. Esses dados devem ser criptografados no armazenamento e durante a transmissão. O acesso a eles deve ser restrito a quem estiver autorizado a visualizá-los.
Além disso, você não pode reter dados pessoais indefinidamente. Eles devem ser destruídos assim que sua finalidade for cumprida. Suas políticas de dados devem incluir os gatilhos de exclusão e instruções sobre como descartar as informações com segurança.
Metadados
Pontos de dados por si só não têm significado. Metadados — dados sobre dados — fornecem o contexto que torna um mapa utilizável. Eles explicam o que é cada elemento de dados, de onde veio, como é classificado e quem o possui.
Metadados são uma parte essencial do mapeamento de dados. Sem eles, você tem apenas um monte de campos que não significam nada. Além disso, eles não são úteis apenas para mapear dados; também são essenciais se você quiser usar suas informações comerciais para treinar IA ou para análises.
Qualidade e Validação de Dados
Com o tempo, os dados da sua empresa podem se "degradar". Você pode alterar os formatos, tornando os registros mais antigos inconsistentes com os novos. Departamentos diferentes podem fazer cópias para uso próprio, resultando em múltiplas versões das mesmas informações. Certos registros antigos que não são mais necessários, mas não foram excluídos, aumentam a desorganização (e o seu risco).
O mapeamento de dados também melhora a qualidade, sinalizando dados inconsistentes, redundâncias e registros desatualizados. Dados limpos e validados são mais fáceis de gerenciar. Também permite relatórios, análises e treinamento de IA precisos.
Técnicas de Mapeamento de Dados
Não existe uma maneira única de mapear seus dados, e a melhor maneira pode depender do tamanho da sua organização e da complexidade do seu ecossistema de dados. Em geral, o mapeamento pode ser abordado de três maneiras:
Mapeamento manual
Organizações sem ferramentas automatizadas frequentemente recorrem a métodos manuais. Elas podem usar desde planilhas e fluxogramas até questionários estruturados preenchidos por unidades de negócios ou fornecedores. Abordagens manuais são econômicas e flexíveis. Além disso, exigem tempo de manutenção e, muitas vezes, deixam passar dados ocultos ou ocultos.
Mapeamento Híbrido ou Mapeamento Semi-Automatizado
Muitas organizações combinam técnicas manuais e automatizadas. Ferramentas automatizadas destacam onde os dados residem e como eles fluem. Em seguida, as equipes adicionam o contexto que a tecnologia não consegue inferir sozinha. Essa abordagem híbrida equilibra eficiência com precisão.
Mapeamento Automatizado
Ferramentas automatizadas não exigem muita intervenção manual. Elas utilizam análise de metadados, reconhecimento de padrões e, cada vez mais, IA/ML para descobrir e classificar dados em ambientes de nuvem, SaaS e locais. Você obtém uma visão em tempo real de dados pessoais e confidenciais. Isso facilita a manutenção de inventários atualizados, o suporte a auditorias e o cumprimento de prazos de conformidade.
O mapeamento automatizado reduz o erro humano e se adapta facilmente ao seu negócio, à medida que o ambiente se torna mais complexo.
Automatizando o mapeamento de dados com a plataforma de inteligência de dados da BigID
BigID automaticamente descobre e classifica dados sensíveis entre ambientes estruturados, não estruturados e em nuvem. A plataforma cria RoPAs, oferece suporte a DPIAs e mapeia fluxos de dados, incluindo dados sombra, para que você possa permanecer em conformidade, reduzir riscos e simplificar a governança.
Mas não é só isso. A plataforma oferece tudo o que você precisa para gerenciar seus dados, incluindo descoberta e classificação, acesso e segurança e muito mais.
Interessado em descobrir como o BigID pode ajudar os dados da sua empresa? Agende uma demonstração hoje mesmo.
Autor
