Como estruturar governança de dados numa empresa que já implementou LGPD

Um diretor jurídico de uma empresa de seguros me disse semana passada: "a gente já gastou R$ 1,2 milhão em LGPD entre 2021 e 2024. Por que ainda precisa de governança de dados?"

Resposta curta: porque LGPD resolveu o pedaço regulatório. Não resolveu o pedaço operacional.

E a empresa dele estava num cenário comum: tinha mapa de tratamento, RIPD assinado, encarregado nomeado, política publicada. Tudo lindo no papel. Mas o pessoal da área comercial continuava puxando relatórios com CPF visível para análise de carteira. E ninguém sabia disso.

LGPD diz "você precisa controlar acesso a dado pessoal". Não diz "como". Aí entra governança de dados.

O que a LGPD resolveu — e o que ela não resolve

A LGPD obrigou a empresa a fazer algumas coisas que, francamente, deveriam ter sido feitas há 10 anos:

• Mapeamento de dados pessoais e bases legais
• Política de privacidade externa e interna
• Procedimentos para atender direitos do titular
• Nomeação de encarregado (DPO)
• Relatório de Impacto à Proteção de Dados (RIPD) em casos de alto risco

Isso é meio caminho. É o caminho regulatório.

O que LGPD não resolve:

• Quem decide quando há conflito de significado de um dado
• Como garantir qualidade do dado ao longo do tempo
• Como integrar governança com gestão de risco operacional
• Como tratar dados não-pessoais que também são críticos
• Como mensurar maturidade e evoluir

O cliente que mencionei tinha LGPD nota 8. Tinha governança de dados nota 3. Era uma empresa em risco operacional alto, mas regulatoriamente parecia em paz.

LGPD compliant não é o mesmo que dados governados. O primeiro mantém a ANPD longe. O segundo mantém o negócio operando com decisão de qualidade.

Mapeamento de dados: da LGPD para governança real

Se você tem um mapeamento de dados pessoais decente da fase LGPD, você já tem uns 30% do catálogo de governança.

O que falta?

Falta tudo o que não é dado pessoal mas é crítico. Falta cadastro de produto. Cadastro de fornecedor PJ. Configuração de regras de negócio. Parâmetros contábeis. Estrutura de centro de custo.

Num cliente do setor industrial, atendi em outubro do ano passado, o mapeamento LGPD cobria 340 atributos. Quando expandimos para governança completa, foram 1.800. Mais de 80% dos atributos críticos para o negócio não eram dados pessoais.

O que eu faço nesse cenário:

1. Pego o mapeamento LGPD como base
2. Identifico os processos de negócio críticos (geralmente 8 a 12)
3. Para cada processo, mapeio quais atributos não-pessoais participam
4. Aplico as mesmas perguntas: quem é dono, quem acessa, quem responde por qualidade

É menos trabalho do que começar do zero. Mas precisa ser feito de forma estruturada, senão vira mapeamento de novo e nunca chega a virar governança.

Data Stewards: quem são e o que fazem no dia a dia

Pergunta que sempre recebo: "o DPO não pode ser o Data Steward?"

Não. Funções diferentes. DPO é regulatório, ponto de contato com ANPD, garante conformidade legal. Data Steward é operacional, mantém qualidade e significado do dado, escala problemas dentro da empresa.

Um Data Steward bem dimensionado cuida de 200 a 400 atributos. Empresa de porte médio com 1.500 atributos críticos precisa de 4 a 7 stewards.

O que ele faz no dia a dia:

Manhã

Revisa dashboards de qualidade. Identifica violações de threshold. Abre tickets para áreas responsáveis pela correção.

Durante a semana

Reúne-se com data owners para discutir casos de conflito. Atualiza catálogo conforme novos atributos surgem (e eles surgem toda semana). Treina novos usuários sobre como consumir dados corretamente.

Mensalmente

Apresenta relatório de qualidade para o comitê de governança. Propõe melhorias. Audita amostras para validar acurácia.

É um trabalho real, em tempo integral. Não é "vou alocar 20% do tempo de uma analista que já tem outras 5 funções". Quando você faz isso, a função não acontece.

Políticas de retenção: o que a lei exige vs o que a empresa precisa

LGPD exige que você não retenha dado pessoal além do necessário. Mas "necessário" para LGPD é o tempo da base legal. "Necessário" para governança pode ser bem maior ou bem menor.

Num cliente do setor de saúde, prontuário de paciente tem que ser retido por 20 anos pelo CFM. Dado de campanha de marketing daquele mesmo paciente, pela LGPD, pode ser eliminado em 6 meses depois da campanha. Política única não resolve.

O que funciona é segmentar a política em camadas:

• Retenção legal mínima (não pode apagar antes)
• Retenção operacional (negócio quer manter para análise histórica)
• Retenção máxima (depois disso, apagar é obrigação)

Cada atributo crítico ganha as 3 datas. O sistema de retenção (que pode ser tão simples quanto um job mensal) age automaticamente.

67% das empresas que auditei tinham política de retenção genérica que se aplicava a tudo. "5 anos". O resultado é que ou retêm além da necessidade (risco LGPD) ou apagam antes do permitido (risco fiscal/regulatório). Os dois cenários geram exposição.

Os primeiros 90 dias depois de ter a LGPD implementada

Se você terminou a fase principal de LGPD nos últimos 12 meses, esse é o melhor momento para estruturar governança. A energia ainda está alta, os mapeamentos estão frescos, e o board já entendeu que dado é ativo.

O que eu faria nesses 90 dias:

Dias 1-15: Diagnóstico

Avaliação de maturidade. Identificação de gaps entre LGPD e governança completa. Mapeamento de stakeholders e patrocínio executivo necessário.

Dias 16-45: Estrutura mínima

Nomeação dos 4 papéis para os 50 atributos mais críticos. Criação do comitê de governança (não precisa ser grande — 5 a 7 pessoas certas). Definição de cadência de reuniões.

Dias 46-75: Catálogo inicial

Catalogação dos 50 atributos críticos com as 4 dimensões de qualidade. Definição de thresholds. Construção dos primeiros dashboards (Excel ou Power BI básico já serve).

Dias 76-90: Operação

Primeira reunião de governança com casos reais. Primeiros tickets de qualidade. Refinamento do processo. Apresentação de resultado para patrocinador.

Em 90 dias dá para ter um programa mínimo funcional. Em 180 dias dá para começar a evoluir para 200, 500, 1000 atributos. Não vira maduro em 1 ano — esse é o erro de expectativa. Mas em 1 ano tem programa que existe de verdade.

Comparado com o investimento de LGPD, governança de dados sai mais barata se for feita por cima do que já existe. Mais cara — muito mais cara — se for feita do zero porque ninguém aproveitou o trabalho da LGPD.

A janela para construir governança em cima de LGPD se fecha em 12 a 18 meses. Depois disso, o mapeamento LGPD envelhece, as pessoas que fizeram saem ou esquecem, e você começa do zero.

Como reaproveitar o investimento já feito em LGPD

Quem fez LGPD direito tem 4 ativos que pode reaproveitar:

• Mapeamento de processos com tratamento de dado (vira base do catálogo)
• Comitê de privacidade (pode evoluir para comitê de governança ampliado)
• Política e procedimentos publicados (estrutura de governança já testada)
• Relacionamento com áreas de negócio (canais abertos)

O erro é construir governança de dados como projeto separado, paralelo, com nova consultoria e novo orçamento. Não. Construa por cima do que já existe.

A consultoria nova só faz sentido se a empresa contratou para LGPD uma firma que não entende governança ampliada. Aí sim faz sentido buscar outra. Mas a infraestrutura organizacional, mantenha.

Treinamento de Data Stewards: o que funciona

Não adianta nomear stewards sem treinar. Treinamento clássico de "governança de dados em 4 horas" não funciona.

O que funciona:

• Treinamento prático com dados reais da própria empresa
• Mentoria por 3-6 meses (alguém experiente acompanha)
• Comunidade interna de stewards para trocar experiências
• Métricas de desempenho atreladas à função

Steward bem treinado em 90 dias começa a entregar valor. Steward sem treinamento contínuo abandona a função em 6 meses.

Os atritos previsíveis entre DPO e Data Steward

Quando você expande de LGPD para governança ampliada, surge naturalmente uma tensão entre o DPO (foco regulatório) e os Data Stewards (foco operacional).

DPO quer que dado pessoal seja minimizado, anonimizado, descartado no prazo. Steward quer dado disponível, integrado, com histórico completo para análise.

Esses dois objetivos se chocam.

O que funciona: criar fórum de decisão conjunta entre DPO e Comitê de Dados, com critérios documentados de como resolver conflitos. Não pode ser "caso a caso" indefinidamente — vira fonte de desgaste interno.

Critérios típicos:

• Dado pessoal de marketing — DPO decide (regulatório prevalece)
• Dado pessoal em base operacional — decisão conjunta com pesos definidos
• Dado não-pessoal de processo — Steward decide

Sem critérios pré-acordados, cada decisão vira batalha política. Com critérios, vira rotina.

Em resumo: as 5 ações de quem já tem LGPD

1. Não comece do zero. Aproveite mapeamento, comitê e relacionamentos já construídos na fase LGPD.
2. Expanda o escopo para incluir dados não-pessoais críticos (geralmente 60-70% dos dados relevantes da empresa).
3. Diferencie DPO (regulatório) de Data Steward (operacional). Funções complementares mas distintas.
4. Documente critérios de decisão para conflitos entre DPO e Stewards antes que os conflitos apareçam.
5. Use a janela dos primeiros 12-18 meses pós-LGPD. Depois, o investimento dobra porque o conhecimento esfria.

Empresa que faz isso bem consegue maturidade nível 3 em 12 meses. Empresa que ignora a continuidade gasta 30+ meses para chegar no mesmo lugar.

Se você está nessa janela, comece pelo assessment. Vai te dar clareza sobre o que aproveitar, o que adaptar, e o que construir novo.