Um diretor jurídico de uma empresa de seguros me disse semana passada: "a gente já gastou R$ 1,2 milhão em LGPD entre 2021 e 2024. Por que ainda precisa de governança de dados?"

Resposta curta: porque LGPD resolveu o pedaço regulatório. Não resolveu o pedaço operacional.

E a empresa dele estava num cenário comum: tinha mapa de tratamento, RIPD assinado, encarregado nomeado, política publicada. Tudo lindo no papel. Mas o pessoal da área comercial continuava puxando relatórios com CPF visível para análise de carteira. E ninguém sabia disso.

LGPD diz "você precisa controlar acesso a dado pessoal". Não diz "como". Aí entra governança de dados.

O que a LGPD resolveu — e o que ela não resolve

A LGPD obrigou a empresa a fazer algumas coisas que, francamente, deveriam ter sido feitas há 10 anos:

Isso é meio caminho. É o caminho regulatório.

O que LGPD não resolve:

O cliente que mencionei tinha LGPD nota 8. Tinha governança de dados nota 3. Era uma empresa em risco operacional alto, mas regulatoriamente parecia em paz.

LGPD compliant não é o mesmo que dados governados. O primeiro mantém a ANPD longe. O segundo mantém o negócio operando com decisão de qualidade.

Mapeamento de dados: da LGPD para governança real

Se você tem um mapeamento de dados pessoais decente da fase LGPD, você já tem uns 30% do catálogo de governança.

O que falta?

Falta tudo o que não é dado pessoal mas é crítico. Falta cadastro de produto. Cadastro de fornecedor PJ. Configuração de regras de negócio. Parâmetros contábeis. Estrutura de centro de custo.

Num cliente do setor industrial, atendi em outubro do ano passado, o mapeamento LGPD cobria 340 atributos. Quando expandimos para governança completa, foram 1.800. Mais de 80% dos atributos críticos para o negócio não eram dados pessoais.

O que eu faço nesse cenário:

  1. Pego o mapeamento LGPD como base
  2. Identifico os processos de negócio críticos (geralmente 8 a 12)
  3. Para cada processo, mapeio quais atributos não-pessoais participam
  4. Aplico as mesmas perguntas: quem é dono, quem acessa, quem responde por qualidade

É menos trabalho do que começar do zero. Mas precisa ser feito de forma estruturada, senão vira mapeamento de novo e nunca chega a virar governança.

Data Stewards: quem são e o que fazem no dia a dia

Pergunta que sempre recebo: "o DPO não pode ser o Data Steward?"

Não. Funções diferentes. DPO é regulatório, ponto de contato com ANPD, garante conformidade legal. Data Steward é operacional, mantém qualidade e significado do dado, escala problemas dentro da empresa.

Um Data Steward bem dimensionado cuida de 200 a 400 atributos. Empresa de porte médio com 1.500 atributos críticos precisa de 4 a 7 stewards.

O que ele faz no dia a dia:

Manhã

Revisa dashboards de qualidade. Identifica violações de threshold. Abre tickets para áreas responsáveis pela correção.

Durante a semana

Reúne-se com data owners para discutir casos de conflito. Atualiza catálogo conforme novos atributos surgem (e eles surgem toda semana). Treina novos usuários sobre como consumir dados corretamente.

Mensalmente

Apresenta relatório de qualidade para o comitê de governança. Propõe melhorias. Audita amostras para validar acurácia.

É um trabalho real, em tempo integral. Não é "vou alocar 20% do tempo de uma analista que já tem outras 5 funções". Quando você faz isso, a função não acontece.

Avalie sua maturidade de governança com o assessment gratuito.

Fazer o Assessment de Maturidade →

Políticas de retenção: o que a lei exige vs o que a empresa precisa

LGPD exige que você não retenha dado pessoal além do necessário. Mas "necessário" para LGPD é o tempo da base legal. "Necessário" para governança pode ser bem maior ou bem menor.

Num cliente do setor de saúde, prontuário de paciente tem que ser retido por 20 anos pelo CFM. Dado de campanha de marketing daquele mesmo paciente, pela LGPD, pode ser eliminado em 6 meses depois da campanha. Política única não resolve.

O que funciona é segmentar a política em camadas:

Cada atributo crítico ganha as 3 datas. O sistema de retenção (que pode ser tão simples quanto um job mensal) age automaticamente.

67% das empresas que auditei tinham política de retenção genérica que se aplicava a tudo. "5 anos". O resultado é que ou retêm além da necessidade (risco LGPD) ou apagam antes do permitido (risco fiscal/regulatório). Os dois cenários geram exposição.

Os primeiros 90 dias depois de ter a LGPD implementada

Se você terminou a fase principal de LGPD nos últimos 12 meses, esse é o melhor momento para estruturar governança. A energia ainda está alta, os mapeamentos estão frescos, e o board já entendeu que dado é ativo.

O que eu faria nesses 90 dias:

Dias 1-15: Diagnóstico

Avaliação de maturidade. Identificação de gaps entre LGPD e governança completa. Mapeamento de stakeholders e patrocínio executivo necessário.

Dias 16-45: Estrutura mínima

Nomeação dos 4 papéis para os 50 atributos mais críticos. Criação do comitê de governança (não precisa ser grande — 5 a 7 pessoas certas). Definição de cadência de reuniões.

Dias 46-75: Catálogo inicial

Catalogação dos 50 atributos críticos com as 4 dimensões de qualidade. Definição de thresholds. Construção dos primeiros dashboards (Excel ou Power BI básico já serve).

Dias 76-90: Operação

Primeira reunião de governança com casos reais. Primeiros tickets de qualidade. Refinamento do processo. Apresentação de resultado para patrocinador.

Em 90 dias dá para ter um programa mínimo funcional. Em 180 dias dá para começar a evoluir para 200, 500, 1000 atributos. Não vira maduro em 1 ano — esse é o erro de expectativa. Mas em 1 ano tem programa que existe de verdade.

Comparado com o investimento de LGPD, governança de dados sai mais barata se for feita por cima do que já existe. Mais cara — muito mais cara — se for feita do zero porque ninguém aproveitou o trabalho da LGPD.

A janela para construir governança em cima de LGPD se fecha em 12 a 18 meses. Depois disso, o mapeamento LGPD envelhece, as pessoas que fizeram saem ou esquecem, e você começa do zero.

Como reaproveitar o investimento já feito em LGPD

Quem fez LGPD direito tem 4 ativos que pode reaproveitar:

O erro é construir governança de dados como projeto separado, paralelo, com nova consultoria e novo orçamento. Não. Construa por cima do que já existe.

A consultoria nova só faz sentido se a empresa contratou para LGPD uma firma que não entende governança ampliada. Aí sim faz sentido buscar outra. Mas a infraestrutura organizacional, mantenha.

Treinamento de Data Stewards: o que funciona

Não adianta nomear stewards sem treinar. Treinamento clássico de "governança de dados em 4 horas" não funciona.

O que funciona:

Steward bem treinado em 90 dias começa a entregar valor. Steward sem treinamento contínuo abandona a função em 6 meses.

Os atritos previsíveis entre DPO e Data Steward

Quando você expande de LGPD para governança ampliada, surge naturalmente uma tensão entre o DPO (foco regulatório) e os Data Stewards (foco operacional).

DPO quer que dado pessoal seja minimizado, anonimizado, descartado no prazo. Steward quer dado disponível, integrado, com histórico completo para análise.

Esses dois objetivos se chocam.

O que funciona: criar fórum de decisão conjunta entre DPO e Comitê de Dados, com critérios documentados de como resolver conflitos. Não pode ser "caso a caso" indefinidamente — vira fonte de desgaste interno.

Critérios típicos:

Sem critérios pré-acordados, cada decisão vira batalha política. Com critérios, vira rotina.

Em resumo: as 5 ações de quem já tem LGPD

  1. Não comece do zero. Aproveite mapeamento, comitê e relacionamentos já construídos na fase LGPD.
  2. Expanda o escopo para incluir dados não-pessoais críticos (geralmente 60-70% dos dados relevantes da empresa).
  3. Diferencie DPO (regulatório) de Data Steward (operacional). Funções complementares mas distintas.
  4. Documente critérios de decisão para conflitos entre DPO e Stewards antes que os conflitos apareçam.
  5. Use a janela dos primeiros 12-18 meses pós-LGPD. Depois, o investimento dobra porque o conhecimento esfria.

Empresa que faz isso bem consegue maturidade nível 3 em 12 meses. Empresa que ignora a continuidade gasta 30+ meses para chegar no mesmo lugar.

Se você está nessa janela, comece pelo assessment. Vai te dar clareza sobre o que aproveitar, o que adaptar, e o que construir novo.

Veja também

Guia Completo

Governança de dados: o guia que os consultores não te dão de graça

Governança de dados virou buzzword. Mas na prática, é sobre quem decide, quem acessa e quem responde quando algo dá errado. Guia sem jargão.

 Riscos

Por que programas de governança de dados falham no segundo ano

O primeiro ano é de energia. No segundo, a realidade bate. Veja os padrões de falha que eu vejo se repetindo e o que separa os programas que sobrevivem.

Perguntas frequentes

Como a LGPD se relaciona com governança de dados?

A LGPD exige que a empresa saiba o que coleta, para qual finalidade, onde está armazenado e por quanto tempo. Isso é exatamente o que um programa de governança de dados mapeia. Quem já tem governança implementada tem 40-60% do caminho da LGPD percorrido. A diferença é que a LGPD adiciona direitos dos titulares e obrigações de segurança que vão além do catálogo de dados.

O que é um Data Owner e por que é essencial para governança?

Data Owner é o responsável de negócio por um domínio de dados — não é o TI, é a área que usa e depende do dado. O Data Owner decide o que é dado mestre, aprova acesso, resolve conflitos de definição e é responsável pela qualidade. Sem Data Owner definido, a governança vira um projeto de TI sem patrocinador de negócio — e morre no segundo ano.

Governança de dados vale para empresas de médio porte?

Sim, especialmente se a empresa é regulada (financeiro, saúde, educação) ou cresceu rapidamente e tem dados espalhados em múltiplos sistemas. A versão de médio porte é mais leve: um Data Council com representantes de cada área, 3-5 domínios prioritários e políticas básicas de qualidade e acesso. Não precisa de CDO e equipe dedicada para começar.

Os pontos de convergência entre governança e LGPD

Empresa que constrói governança de dados sem integrar LGPD acaba com programa duplicado — gente diferente cuidando das mesmas coisas, com processos paralelos. Isso é caro e frágil.

O modelo integrado aproveita as sobreposições. Inventário de dados serve para governança E para o artigo 37 da LGPD (registro de operações). Classificação de criticidade serve para priorizar qualidade E para avaliar risco de proteção de dados. Controles de acesso servem para integridade E para minimização de dados pessoais. Documentação de fluxos serve para linhagem E para mapeamento de tratamento.

O DPO precisa ter assento no comitê de governança de dados. O CDO (ou equivalente) precisa estar envolvido nas decisões de tratamento de dados pessoais. Quando essas duas figuras operam isoladas, retrabalho e conflito são inevitáveis.

Empresa madura nessa integração economiza 30-40% do esforço total. E ganha em coerência — política e processo unificados, comunicação clara para o restante da organização.

Bases legais: o ponto onde governança protege juridicamente

Pra cada dado pessoal tratado, a LGPD exige base legal. Consentimento, execução de contrato, cumprimento de obrigação legal, exercício regular de direitos, legítimo interesse — entre outras. A escolha da base legal certa é decisão jurídica que precisa ser registrada.

O erro mais comum: usar consentimento para tudo. Consentimento é a base mais frágil — pode ser revogado a qualquer momento, exige granularidade, precisa ser comprovado. Quando você usa consentimento onde outra base se aplicaria (execução de contrato, por exemplo), você cria fragilidade desnecessária.

O outro erro: usar legítimo interesse para tudo que não se encaixa em outra base. Legítimo interesse exige teste de balanceamento documentado — análise formal de proporcionalidade entre o interesse da empresa e os direitos dos titulares. Sem esse teste, a base legal é contestável.

A governança bem estruturada documenta a base legal escolhida para cada finalidade, com justificativa. Em fiscalização, esse registro é o que sustenta a operação. Tempo para documentação formal: 80-200 horas para empresa de médio porte. Investimento que se paga na primeira fiscalização.

Direitos do titular: o atendimento que vira diferencial

A LGPD garante uma série de direitos: acesso, correção, anonimização, eliminação, portabilidade, informação sobre compartilhamento, revisão de decisão automatizada. Empresa precisa ter processo de atendimento estruturado.

O que vejo na prática: empresa cria caixa de email "dpo@empresa.com" e considera o trabalho feito. Quando começam a chegar pedidos, ninguém sabe responder. Resposta atrasa. Titular reclama na ANPD. Apuração começa.

O modelo que funciona: portal de autoatendimento com fluxo guiado para os direitos mais comuns; SLA de 15 dias para resposta (a LGPD não fixa prazo, mas a ANPD considera 15 dias razoável); equipe treinada para tratar casos que não se encaixam no autoatendimento; trilha de auditoria de cada pedido recebido e tratado; relatório periódico ao comitê de privacidade.

Investimento: portal R$ 30-100 mil; equipe equivalente a 0,5-1 FTE; ferramenta de gestão R$ 20-60 mil/ano. Empresa que opera bem nesse ponto não apenas se protege juridicamente — gera diferenciação de imagem perante clientes preocupados com privacidade.