Mapeamento de dados: guia prático para organizar, classificar e proteger informações na sua empresa

Mapeamento de dados consiste em criar um registro detalhado de todas as informações pessoais que uma organização processa. Esse registro inclui a origem dos dados, as finalidades de uso, as bases legais aplicáveis, os responsáveis por cada tratamento e os prazos de retenção.

Na prática, o mapeamento produz um inventário completo que responde a cinco perguntas:

1. Quais dados a empresa coleta (nome, CPF, e-mail, dados financeiros, biométricos)?

2. De quem são esses dados (clientes, colaboradores, fornecedores, leads)?

3. Onde ficam armazenados (CRM, ERP, nuvem, servidores locais, terceiros)?

4. Com quem são compartilhados (parceiros, processadores, órgãos públicos)?

5. Por quanto tempo permanecem retidos e qual a política de descarte?

Esse inventário difere de um simples catálogo de sistemas. Enquanto o catálogo lista aplicações e bases de dados, o mapeamento detalha o ciclo de vida completo de cada informação pessoal. Ambos se complementam, mas o mapeamento oferece a visão de ponta a ponta que reguladores exigem.

Por que o mapeamento é essencial para a LGPD?

A LGPD (Lei 13.709/2018) estabelece que toda empresa precisa conhecer os dados pessoais que trata. O artigo 37 exige registros das operações de tratamento, e o artigo 38 prevê que a Autoridade Nacional de Proteção de Dados (ANPD) se abre en una nueva pestaña pode solicitar o Relatório de Impacto à Proteção de Dados (RIPD) a qualquer momento.

Sem mapeamento, elaborar o RIPD se torna inviável. Esse relatório exige a descrição detalhada dos processos de tratamento, as medidas de segurança adotadas e a análise de riscos. Todas essas informações derivam diretamente do inventário de dados.

Além disso, a governança de dados depende do mapeamento como base estrutural. Políticas de acesso, retenção e compartilhamento só funcionam quando a organização sabe exatamente quais dados possui e onde estão.

Do ponto de vista de compliance regulatório, o mapeamento demonstra diligência perante a ANPD. Em caso de vazamento de dados ou incidentes de segurança, empresas com inventário atualizado respondem mais rápido e evidenciam que adotaram medidas preventivas.

O mapeamento também sustenta os direitos dos titulares. Solicitações de acesso, correção, portabilidade e eliminação dependem de localizar rapidamente onde cada dado está armazenado.

Etapas do mapeamento de dados

O processo segue uma sequência lógica que vai do levantamento inicial até o plano de ação. Cada etapa constrói sobre a anterior e alimenta a próxima.

Integrar o mapeamento a uma estratégia de GRC (governança, risco e compliance) assegura que os resultados se conectem a controles e políticas existentes na organização.

1. Inventário de dados pessoais

Comece listando todos os tipos de dados pessoais que a empresa coleta. Percorra cada departamento e documente formulários, sistemas, planilhas e processos manuais que capturam informações de pessoas físicas.

2. Identificação de fluxos

Documente como cada dado transita dentro da organização. Mapeie a entrada (coleta), o processamento (uso), o armazenamento (repositório), o compartilhamento (terceiros) e a saída (descarte ou devolução). Esse exercício equivale a realizar um mapeamento de processos voltado especificamente para informações pessoais.

3. Definição de responsáveis

Atribua um data owner para cada conjunto de dados. Esse responsável responde pela qualidade, pela segurança e pelo cumprimento das políticas de tratamento. Em empresas de médio e grande porte, cada departamento costuma ter pelo menos um data owner designado.

4. Avaliação de riscos

Classifique os riscos associados a cada tratamento. Considere volume de dados, sensibilidade, número de compartilhamentos e adequação dos controles de segurança. Priorize os cenários de maior impacto para ações imediatas.

5. Plano de ação

Defina medidas corretivas para cada lacuna identificada. Estabeleça prazos, responsáveis e indicadores de acompanhamento. O plano de ação transforma o mapeamento de diagnóstico em iniciativa de melhoria contínua.

Classificação e bases legais

Cada dado mapeado precisa receber uma classificação e estar vinculado a uma base legal válida. Essa etapa conecta o inventário às exigências da LGPD.

A privacidade de dados começa pela classificação correta. Dados sensíveis (saúde, biometria, religião, opinião política) exigem bases legais específicas e controles mais rigorosos do que dados pessoais comuns.

Classificação por sensibilidade

• Dados pessoais comuns: nome, e-mail, telefone, endereço, CPF;

• Dados pessoais sensíveis: saúde, biometria, religião, orientação sexual, filiação sindical;

• Dados anonimizados: não se enquadram na LGPD após anonimização irreversível;

• Dados pseudonimizados: ainda são dados pessoais (reversibilidade possível).

Bases legais da LGPD

A LGPD se abre en una nueva pestaña prevê dez bases legais para tratamento de dados pessoais. As mais utilizadas no contexto empresarial estão na tabela a seguir.

Vincular cada tratamento a uma base legal durante o mapeamento evita retrabalho e facilita a elaboração do RIPD.

Fluxos de dados por departamento

Cada área da empresa coleta e processa dados pessoais de maneira distinta. Mapear por departamento assegura cobertura completa e respeita as particularidades de cada operação. A segurança da informação depende dessa visão granular para aplicar controles proporcionais a cada contexto.

Recursos humanos

RH concentra o maior volume de dados sensíveis: atestados médicos, exames admissionais, dados bancários, dependentes e informações sindicais. O fluxo abrange recrutamento, admissão, folha de pagamento, benefícios e desligamento.

• Coleta: currículos, formulários admissionais, documentos pessoais.

• Armazenamento: sistema de folha, pasta funcional, plataforma de benefícios.

• Compartilhamento: contabilidade, plano de saúde, sindicato, eSocial.

• Retenção: até 20 anos para obrigações trabalhistas (CLT, art. 11).

Marketing

Marketing opera com dados de leads e clientes para campanhas, segmentação e análise de comportamento. Cookies, pixels de rastreamento e formulários de conversão são pontos críticos de coleta.

• Coleta: landing pages, redes sociais, eventos, webinars.

• Armazenamento: plataforma de automação, CRM, analytics.

• Compartilhamento: agências, plataformas de mídia, parceiros de co-marketing.

• Base legal principal: consentimento (cookies) e legítimo interesse (e-mail marketing).

Vendas

Vendas processa dados cadastrais e financeiros durante a qualificação de leads, negociação e fechamento. Contratos, propostas e pedidos concentram informações pessoais de decisores e compradores.

• Coleta: formulários de cadastro, reuniões, trocas de e-mail.

• Armazenamento: CRM, sistema de propostas, plataforma de contratos.

• Compartilhamento: financeiro, logística, jurídico.

• Retenção: prazo contratual mais período de garantia.

TI

TI atua como guardião transversal. Além de processar dados de colaboradores (acessos, logs, dispositivos), gerencia a infraestrutura em que todos os outros departamentos armazenam informações.

• Coleta: logs de acesso, monitoramento de rede, help desk.

• Armazenamento: servidores, nuvem, backups, data centers.

• Compartilhamento: fornecedores de infraestrutura, suporte terceirizado.

• Controles: criptografia, controle de acesso, DLP, SIEM.

Mapeamento de dados em terceiros e fornecedores

Dados pessoais não permanecem dentro da empresa. Processadores de pagamento, provedores de nuvem, consultorias, agências de marketing e escritórios de contabilidade recebem informações que precisam constar no inventário.

O mapeamento de terceiros exige documentar quais dados cada fornecedor acessa, qual a finalidade do compartilhamento, onde os dados ficam armazenados (país e jurisdição) e quais controles de segurança estão em vigor.

Uma gestão de dados eficaz inclui avaliação periódica de terceiros. Questionários de due diligence, cláusulas contratuais de proteção de dados e auditorias programadas reduzem o risco de incidentes fora do perímetro da empresa.

Quando o tratamento envolve transferência internacional, o mapeamento deve registrar o país de destino e a base legal para a transferência (cláusulas-padrão contratuais, consentimento específico ou adequação reconhecida pela ANPD). Um vazamento de dados pode gerar responsabilidade solidária para o controlador, reforçando a importância desse controle.

Checklist para fornecedores:

•  contrato com cláusula de proteção de dados;

•  questionário de segurança respondido;

•  evidência de conformidade (certificações, relatórios SOC);

•  plano de resposta a incidentes compartilhado;

•  cláusula de notificação de incidentes em até 48 horas;

•  política de descarte ao término do contrato.

Como manter o mapeamento atualizado?

Mapeamento pontual se torna obsoleto rapidamente. Novos sistemas, novos fornecedores, mudanças regulatórias e reorganizações internas alteram fluxos de dados de forma constante. O inventário precisa acompanhar essas mudanças para continuar útil.

Estabeleça um ciclo de revisão periódica. Revisões trimestrais para áreas de maior risco e semestrais para as demais asseguram que o inventário reflita a realidade operacional. Cada revisão deve verificar novos tratamentos, encerramento de fluxos antigos e mudanças em fornecedores.

Uma gestão de documentos centralizada facilita o controle de versões e o acesso ao inventário atualizado. Manter registros em sistemas dispersos compromete a confiabilidade do mapeamento.

Implemente gatilhos automáticos para atualização. Contratação de novo fornecedor, lançamento de produto, entrada em novo mercado e mudança de sistema devem acionar automaticamente a revisão dos fluxos de dados afetados.

A trilha de auditoria registra cada modificação no inventário e permite rastrear quem alterou o quê e quando. Essa rastreabilidade é essencial para demonstrar conformidade em auditorias internas e externas.

Conheça boas práticas de manutenção.

Erros comuns no mapeamento de dados

Conhecer os equívocos mais frequentes permite evitá-los desde o início do projeto. Esses erros podem comprometer a qualidade do inventário e expor a empresa a riscos desnecessários.

Tratar como projeto pontual

Mapeamento não é projeto com data de fim. Empresas que realizam o levantamento uma única vez e o arquivam perdem a utilidade do inventário em poucos meses. A abordagem correta é incorporar o mapeamento à rotina de governança.

Ignorar dados não estruturados

E-mails, mensagens de WhatsApp, anotações em cadernos e arquivos em pen drives contêm dados pessoais. Limitar o mapeamento a sistemas formais deixa lacunas significativas.

Não designar data owners

Sem responsáveis claros, ninguém responde pela atualização do inventário. Dados órfãos se acumulam, bases legais vencem e fluxos obsoletos permanecem registrados.

Subestimar terceiros

Fornecedores e parceiros processam volumes consideráveis de dados pessoais. Excluí-los do mapeamento cria pontos cegos que podem resultar em incidentes sem resposta adequada.

Classificação genérica

Registrar apenas "dados pessoais" sem detalhar tipos específicos (CPF, e-mail, dados de saúde) impede a aplicação correta de bases legais e controles de segurança proporcionais.

Como a Docusign fortalece o mapeamento de dados na prática 

A Docusign oferece uma plataforma integrada que atua diretamente na raiz de um dos maiores desafios do mapeamento de dados: os contratos e acordos corporativos. Com a plataforma Docusign IAM (Intelligent Agreement Management), impulsionada pelo nosso motor de inteligência artificial, o Docusign Iris, sua empresa transforma documentos estáticos — que antes ficavam ocultos em e-mails e gavetas — em dados estruturados e governáveis.

Na prática, o ecossistema Docusign IAM resolve as lacunas do mapeamento com ferramentas de ponta: 

• Rastreabilidade centralizada com o Agreement Manager: Esqueça a busca manual por bases legais em PDFs estáticos. O Agreement Manager atua como um repositório inteligente que extrai automaticamente informações críticas de contratos (como nomes, CPFs, obrigações e prazos de retenção), alimentando o seu inventário de dados em tempo real;

• Governança desde a coleta com Web Forms e Workflow Builder: Colete dados pessoais de forma padronizada por meio de formulários dinâmicos (Web Forms) e assegure que essas informações sigam fluxos de aprovação estritos (workflows automatizados pelo Workflow Builder), reduzindo o risco de os dados transitarem por canais não mapeados;

• Prevenção ativa com o Monitor: O mapeamento exige segurança contínua. O Monitor rastreia atividades na plataforma 24 horas por dia, disparando alertas imediatos em caso de comportamentos anômalos — como a exportação não autorizada de grandes volumes de contratos —, prevenindo vazamentos.

Ao centralizar o ciclo de vida dos contratos e acordos no Docusign IAM, DPOs e líderes de TI facilitam a elaboração do RIPD e a conformidade contínua com a LGPD, além de elevar a segurança corporativa aos mais altos padrões globais. O resultado dessa maturidade digital é uma operação muito mais ágil e a proteção da organização contra possíveis sanções da ANPD decorrentes de falhas no tratamento e retenção de dados.

Perguntas frequentes

O que é mapeamento de dados na LGPD?

Mapeamento de dados na LGPD é o processo de documentar todos os dados pessoais que a empresa coleta, processa, armazena e compartilha. Esse inventário é exigido pelo artigo 37 da Lei 13.709/2018 e serve como base para elaborar o RIPD e responder a solicitações de titulares.

Qual a diferença entre inventário e catálogo de dados?

O inventário de dados documenta o ciclo de vida completo de cada informação pessoal, incluindo origem, finalidade, base legal e prazo de retenção. O catálogo de dados lista sistemas, bases e tabelas disponíveis na organização. Ambos se complementam, mas o inventário tem foco em conformidade regulatória.

Quem é o responsável pelo mapeamento de dados?

O DPO (encarregado de proteção de dados) coordena o mapeamento, mas cada departamento deve participar ativamente. Data owners de cada área são responsáveis por fornecer informações precisas e manter o inventário atualizado no seu escopo de atuação.

O que é RIPD e qual sua relação com o mapeamento?

RIPD (Relatório de Impacto à Proteção de Dados Pessoais) é um documento que descreve processos de tratamento que podem gerar riscos a titulares. O mapeamento de dados fornece as informações necessárias para elaborá-lo, incluindo tipos de dados, finalidades, bases legais e medidas de segurança.

Mapeamento de dados é obrigatório para todas as empresas?

A LGPD exige que toda empresa que trata dados pessoais mantenha registro das operações de tratamento (artigo 37). Embora a lei não defina formato específico, o mapeamento estruturado é a forma mais eficiente de cumprir essa obrigação e demonstrar conformidade à ANPD.

Glossário

• ANPD (Autoridade Nacional de Proteção de Dados): órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento da LGPD em todo o território nacional.

• Anonimização: processo técnico por meio do qual um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo, tornando-se irreversível e, portanto, fora do escopo de aplicação da LGPD.

• Compliance: estado de conformidade com leis, normas e regulamentos; no contexto do texto, refere-se à demonstração de diligência perante as exigências da LGPD e da ANPD.

• DPO (Data Protection Officer): também chamado de Encarregado, é o profissional que atua como canal de comunicação entre o controlador, os titulares dos dados e a ANPD, coordenando a estratégia de mapeamento.

• GRC (Governança, Risco e Compliance): estratégia integrada que conecta o mapeamento de dados aos controles e políticas de gestão de riscos e conformidade da empresa.

• LGPD (Lei Geral de Proteção de Dados): Lei n.º 13.709/2018, que regulamenta o tratamento de dados pessoais no Brasil, protegendo os direitos fundamentais de liberdade e privacidade.

• Pseudonimização: tratamento no qual um dado perde a capacidade de associação a um indivíduo, senão pelo uso de informação adicional mantida separadamente pelo controlador.

• RIPD (Relatório de Impacto à Proteção de Dados): documentação que descreve os processos de tratamento que podem gerar riscos às liberdades civis e aos direitos fundamentais, contendo medidas de mitigação.