Empresas implementam LGPD, ISO 27001 e governança de dados como programas separados — três equipes diferentes, três orçamentos diferentes, três consultorias diferentes. O resultado são requisitos sobrepostos implementados em triplicata e lacunas nos pontos de intersecção.
Por Anderson Chipak · ALC Consultoria · Atualizado abr/2026
O que cada framework exige — e onde se sobrepoe
| Requisito | LGPD | ISO 27001 | Gov. Dados |
|---|---|---|---|
| Mapeamento de dados pessoais | Art. 37 — RIPD obrigatório | A.8 — Inventário de ativos | Catálogo de dados |
| Classificação e proteção de dados | Art. 46 — medidas de segurança | A.8.2 — Classificação de informação | Política de classificação |
| Controle de acesso a dados sensíveis | Art. 46 c/c Art. 5 II | A.9 — Controle de acesso | Matriz de acesso por classificação |
| Gestão de incidentes com dados | Art. 48 — notificação 72h | A.16 — Gestão de incidentes | Processo de incidentes de dados |
| Direitos dos titulares | Art. 17-22 — acesso, correção, exclusão | Indireto (A.18) | Processo de atendimento de titulares |
| Gestão de fornecedores/DPA | Art. 39 — operadores | A.15 — Relações com fornecedores | Catálogo de tratamentos externos |
| Retenção e descarte | Art. 16 — finalidade + prazo | A.8.3 — Manuseio de mídia | Política de retenção de dados |
| Qualidade e integridade de dados | Art. 6 V — qualidade | Indireto (A.14 — sistemas) | Regras e monitoramento de qualidade |
A ISO 42001, publicada em 2023, é o sistema de gestão para Inteligência Artificial. Ela exige que a organização governe os dados usados para treinar e operar sistemas de IA — o que só é possível com um programa de governança de dados maduro como base.
ISO 42001 exige
Dados de treinamento documentados, com linhagem e qualidade verificada. Sem catálogo de dados, impossível demonstrar conformidade.
Governança habilita
Data Owners responsáveis pelos dados de treinamento. Classificação de dados pessoais usados em IA. Linhagem dos dados de modelo.
LGPD no contexto IA
Art. 20 da LGPD: direito à revisão de decisão automatizada. Sistemas de IA que usam dados pessoais precisam de base legal explícita.
Mapeie os dados antes de qualquer framework
RIPD (LGPD), inventário de ativos (ISO 27001) e catálogo de dados (governança) são todos a mesma atividade — mapear o que existe. Fazer uma vez e alimentar os três frameworks economiza 60% do esforço de adequação.
Defina Data Owners antes de criar políticas
Políticas sem responsáveis definidos são documentos que ninguém executa. O primeiro passo real é nomear os Data Owners por domínio e garantir que eles entendam suas responsabilidades sob a LGPD e a ISO 27001.
Use o assessment de maturidade como ponto de partida
Antes de definir o roadmap, avalie onde a organização está nos 5 domínios. Sem essa linha de base, qualquer esforço de implementação começa sem priorização — e o orçamento vai para o que é mais fácil, não para o que é mais urgente.
ISO 27001
Gap analysis gratuito →
checklist-iso27001.com.br
SOX
Controles SOX para TI →
sox-ti.com.br
ERP
Auditoria de ERP →
auditoria-erp.com.br
20 perguntas nos 5 domínios DAMA — score por área, gaps criticos e plano de ação.
Assessment gratuito →Neste site
ALC Consultoria
Programa integrado LGPD + ISO 27001 + governança de dados — sem implementar o mesmo requisito tres vezes.
Diagnóstico gratuito 60 min →Por Anderson Chipak — auditor de sistemas críticos · ALC
