Uma das perguntas mais difíceis para um Encarregado de Proteção de Dados (DPO) responder dentro de uma organização é, ironicamente, a mais básica: onde estão os dados pessoais?
Apesar de parecer simples, essa resposta exige muito mais do que conhecimento jurídico ela exige visibilidade técnica e capacidade de rastreamento em ambientes complexos, diversos e dinâmicos, como redes com dezenas ou centenas de computadores, sistemas legados, bases de dados mal documentadas e repositórios informais como planilhas soltas, pendrives, e-mails e backups em nuvem.
Este é o ponto cego de muitas empresas: não é que não queiram atender à LGPD, é que não sabem, com segurança, onde os dados estão armazenados.
1. Redes distribuídas e a fragmentação da informação
Em empresas com múltiplas máquinas, departamentos e usuários, os dados se espalham. Eles podem estar:
em computadores locais, armazenados em pastas pessoais ou compartilhadas;
em servidores internos ou nuvem corporativa, com diferentes níveis de acesso e organização;
em bases de dados estruturadas, muitas vezes sem documentação técnica ou sem relacionamento explícito entre os campos;
em documentos não estruturados: PDFs, imagens, contratos escaneados, e-mails e mensagens arquivadas.
Esse emaranhado forma um ecossistema de dados caótico, onde a mesma informação pode estar duplicada, fragmentada ou desatualizada dificultando o controle, a rastreabilidade e a eliminação segura.
2. O problema dos bancos de dados estruturados sem documentação
Muitos sistemas corporativos foram construídos com foco operacional, não com foco em governança de dados. Isso significa que é comum encontrar:
bancos de dados com campos genéricos (“campo1”, “valorA”, “observação”);
ausência de dicionário de dados ou esquemas atualizados;
falta de integração entre sistemas, dificultando a correlação entre dados;
informações sensíveis inseridas em campos não previstos, como anotações médicas em campos de observação, ou CPF em campos de descrição.
Sem uma estrutura clara, o DPO fica limitado a suposições ou à dependência de especialistas que “conhecem o sistema”, o que compromete a autonomia e a eficiência do processo de avaliação de risco.
3. O desafio de localizar dados de um titular: atender à LGPD exige rastreabilidade
Quando um titular de dados protocola um pedido de acesso, correção ou exclusão, o DPO tem o dever legal de:
localizar todos os dados que identifiquem esse titular;
compreender o contexto de uso (finalidade, base legal, compartilhamento);
garantir a entrega das informações solicitadas com clareza e precisão;
eventualmente, remover os dados de todos os locais onde estejam armazenados.
Esse processo é inviável sem ferramentas tecnológicas especializadas. A depender do volume de dados e da desorganização da rede, pode levar semanas e mesmo assim, com alto risco de erro, omissão ou inconsistência.
Além disso, o titular tem o direito de saber se seus dados foram compartilhados, onde estão armazenados e com qual finalidade. Como responder com precisão sem ter visibilidade do ambiente?
4. Data Discovery: a resposta tecnológica para um problema invisível
Frente a esse cenário, o Data Discovery de Dados Pessoais da PROTEGON surge como uma solução essencial para organizações que buscam segurança, agilidade e conformidade com a LGPD.
O que o Data Discovery PROTEGON faz:
Escaneia toda a rede varre computadores, servidores, dispositivos conectados e repositórios de arquivos, identificando dados pessoais e sensíveis automaticamente.
Classifica por tipo de dado reconhece informações como CPF, RG, e-mail, dados bancários, dados de saúde e outros, mesmo em documentos não estruturados.
Organiza por equipamento, local e tipo de arquivo permitindo visibilidade clara sobre onde estão os dados e como estão distribuídos.
Gera relatórios comparativos mostrando evolução entre escaneamentos, identificando novos riscos, e apoiando auditorias e decisões estratégicas.
Apoia diretamente o atendimento aos titulares ao localizar rapidamente os dados de um titular específico, o DPO pode cumprir os prazos legais com segurança e documentação adequada.
5. A base para avaliar riscos e construir governança
Mais do que atender a um titular, o Data Discovery permite avaliar o nível de exposição da empresa a riscos de privacidade, como:
vazamento por armazenamento indevido;
dados sensíveis fora do ambiente esperado;
cópias não controladas de arquivos com informações críticas;
sistemas legados com alto volume de dados obsoletos.
Com essa visão, o DPO pode:
alimentar o registro de operações de tratamento (ROPA);
estabelecer controles de segurança direcionados;
orientar ações de limpeza, reorganização e descarte;
justificar decisões perante a ANPD e auditorias externas.
Sem saber onde estão os dados, não há programa de privacidade eficaz
A LGPD exige mais do que boa vontade: exige controle, transparência e segurança real sobre os dados pessoais em todo o ambiente organizacional.
O primeiro passo para isso é saber onde estão os dados. E isso só é possível com tecnologia de ponta, especializada e integrada à realidade da empresa.
O Data Discovery da PROTEGON é essa tecnologia. Uma ferramenta indispensável para quem leva a LGPD a sério e deseja transformar a proteção de dados em um diferencial competitivo.
Autor: João Gonçalves Advogado em Direito Digital, e Gestor em Saúde com mais de 25 anos de experiência em saúde, compliance e proteção de dados. CEO da HDPO LGPD em Saúde e Diretor da PROTEGON, lidera projetos estratégicos de governança, segurança da informação e adequação à LGPD em hospitais, operadoras de planos de saúde e empresas de tecnologia. Com forte atuação na implementação de programas de privacidade, João também ministra treinamentos e palestras sobre cibersegurança, inteligência artificial e privacidade de dados, sendo referência na área.
