Para que seu projeto de LGPD tenha sucesso, essa fase é crucial, pois é nela que você saberá onde estão dados pessoais e sensíveis e como eles estão sendo usados. Para entender o que fala a lei a respeito dos dados, é necessário entender o que são dados pessoais e dados pessoais sensíveis. No artigo 5º da lei, dado pessoal é qualquer informação relacionada a um indivíduo, uma pessoa natural identificada ou identificável. E dado pessoal sensível, são dados que se referem a origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente a saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.

Além de distinguir os dados pessoais e dados pessoais sensíveis será necessário conhecer o tratamento que são realizados com estes dados, tais como, coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.

Para dar continuidade no mapeamento dos dados, será necessário conhecer o término do tratamento e descarte, para isso, consulte a sua área jurídica, pois terão situações em que terão bases legais onde os dados devem permanecer conforme a base legal indicada. Um exemplo disso seria uma base legal para contratos firmados, e uma base legal de legítimo interesse para campanhas de marketing.

Outra informação para seu mapeamento, será a localização destes dados, ou seja, onde ele está armazenados. Exemplo, sistema de RH, sistema de CRM/ERP, contratos, etc.

Identifique e controles os acessos a essas informações, nem todos precisam ter acesso a estes dados, por exemplo, se sua empresa for uma indústria, o funcionário da fábrica não precisa ter acesso às informações do RH, exceto somente aquilo que for do titular do dado. Adicione junto a isso, qual é o controle de segurança que precisa ter para proteger essas informações. Pode-se adicionar mais informações durante essa fase, tais como, o risco que estes dados representam.

Esse mapeamento pode ser realizado em planilhas ou sistemas específicos para LGPD. Depois de definido, é hora de cada responsável por área, ou alguém designado para isso, coletar as informações sobre os dados pessoais e dados pessoais sensíveis. Com o mapeamento será possível implementar controles de segurança para acesso a estes dados e como estes dados deverão ser armazenados.

Uma observação, essa fase nunca terá fim, essas planilhas sofrerão alterações ao longo do tempo.