← Voltar à avaliação LGPD

Casos de Uso — Avaliação de Maturidade LGPD em Plataforma de Dados

Cenários fictícios demonstrando como arquitetura, ferramentas e processos influenciam o resultado da avaliação de maturidade LGPD aplicada à camada de dados — data lake, warehouse, lakehouse, feature store e pipelines de ML.

Cenários ilustrativos · empresas e nomes fictícios

Visão Gerencial — Comparativo dos Cenários

Maturidade LGPD dos 5 cenários sobreposta no radar de 9 domínios. Passe o mouse sobre um cenário para destacá-lo no gráfico, ou clique para ir direto à análise detalhada.

1 2 3 4 5 Governança Bases legais Discovery Acesso Lineage Direitos titular Transf. Intl. ML/IA Incidentes
Eixos: Governança DPO, RACI, ROPA, RIPD Bases legais base por dataset, consentimento, revogação Discovery classificação automatizada de PII, texto livre, reidentificação Acesso RBAC/ABAC, masking, pseudonimização, break-glass Lineage column-level, retenção/TTL, eliminação verificável Direitos titular DSR ponta a ponta, portabilidade, art. 18, VII Transf. Intl. mapa cross-border, region pinning, LLM SaaS ML/IA ficha do modelo, art. 20, memorização, IA gen Incidentes detecção em data plane, escalonamento ao DPO, tabletop
Cenário 1 Nível 1 — Inicial
DataCo Startup
Fintech early-stage de 35 colaboradores · LGPD existe no rodapé do site, não na plataforma
Ir para o cenário →
Cenário 2 Nível 2 — Repetível
Varejo MidMarket
Rede de varejo com e-commerce · SaaS de marketing nos EUA · ROPA em planilha
Ir para o cenário →
Cenário 3 Nível 3 — Definido
Saúde Corporativa
Operadora de saúde regulada · PHI tokenizado · catálogo ativo, ROPA sincronizado
Ir para o cenário →
Cenário 4 Nível 4 — Gerenciado
Banco Tradicional
Banco múltiplo Tier-1 · KRIs de privacidade no comitê · DSR < 15 dias
Ir para o cenário →
Cenário 5 Nível 5 — Otimizado
BigTech Global
Plataforma multi-cloud · privacy by design como restrição · eliminação cripto-comprovável
Ir para o cenário →
Cenário 1 — DataCo Startup
Fintech early-stage de 35 colaboradores · LGPD existe no rodapé do site, não na plataforma
Nível 1 — Inicial

Infográfico — Arquitetura & Controles de Privacidade

PII em claro · sem ROPA · sem mapa cross-border · sem DSR FONTES (PII em claro) ARMAZENAMENTO CONSUMO App Postgres CPF, e-mail, score Planilhas cliente VIP, leads CSVs / E-mail anexos manuais dump manual · sem mascaramento S3 sem catálogo pastas por dev ⚠ PII em claro · sem RBAC · sem TTL Jupyter local creds em .env Excel cópias locais c/ CPF ChatGPT público prompts c/ dados de cliente DPO só no rodapé sem login no catálogo PII em claro · ROPA inexistente · DSR resolvido por SQL ad-hoc · prompts a LLM público com dados internos · sem inventário de fluxos cross-border

Arquitetura

Postgres replicado por dump manual; S3 improvisado como data lake com pastas por dev; análise em Jupyter local + Excel. PII trafega em claro entre todas as camadas. Times usam ChatGPT público com tickets e e-mails de cliente coladas no prompt.

Ferramentas LGPD

  • Política de privacidade no rodapé do site
  • DPO terceirizado de retainer mensal
  • Sem catálogo / sem ROPA estruturado
  • Consentimento gravado no app, ignorado pela analítica
  • Sem mapa de transferência internacional

Processos

Pedidos do titular respondidos por engenheiro de plantão com DELETE manual em uma tabela; cópias derivadas seguem intactas. Incidentes envolvendo PII tratados pelo SOC sem gatilho ao DPO. Tabletop de incidente nunca aconteceu.

Resultado provável da avaliação LGPD — Pergunta a Pergunta

Governança e Accountability Reprovado
Existe RACI publicado e nominado para LGPD na plataforma de dados, com data owner e data steward designados por domínio?DPO terceirizado opera em e-mail/PDF; não há data owners formais; envolvimento só após incidente.
O ROPA (art. 37) é gerado a partir do catálogo, e não digitado em planilha estática?ROPA não existe em nenhum formato; nem no catálogo, nem em planilha. Datasets críticos sequer estão inventariados.
Tratamentos de alto risco passam por RIPD aprovado antes do go-live (art. 38)?RIPD não é parte do processo; conceito desconhecido pelo time de Data.
Bases Legais e Consentimento Reprovado
Cada dataset/atividade tem base legal declarada como atributo de catálogo (não só na política do site)?Bases legais aparecem só na política do site; nenhum atributo no metadado da plataforma.
Estado do consentimento por finalidade é joinável nos consumos analíticos?Consentimento fica no app, sem ser exportado para o ambiente analítico; pipelines de marketing não filtram.
Revogação de consentimento (art. 18, IX) propaga aos derivados — públicos de campanha, exports, datasets de treino?Revogação atualiza o sistema-fonte; nada propaga; público de campanha continua incluindo o titular.
Discovery e Classificação Reprovado
Há scanner automatizado de PII rodando em todo dataset novo nas camadas raw, staging e curated?Classificação manual eventual em datasets curados; raw e staging não são varridos; novos datasets entram sem classificação.
A plataforma identifica PII em campos de texto livre (`obs`, transcrições)?Texto livre não é varrido; comentários de atendimento entram em curated em claro.
Há avaliação de reidentificação por combinação de campos antes de exports?"Anonimização" é remoção de CPF/e-mail; ninguém testou se o resto reidentifica.
Acesso e Minimização Reprovado
RBAC formal com grupos por sensibilidade no IdP, MFA para PII e recertificação?Acesso por exceção em planilha; engenheiros têm leitura ampla; sem MFA específico para warehouse; recertificação inexistente.
Mascaramento dinâmico nas colunas tagueadas como PII, dependente do papel?PII em claro em todas as camadas para qualquer perfil com acesso à tabela.
Pseudonimização com cofre de chaves (KMS/HSM), e não hash sem cofre?Hash MD5 do CPF aplicado por dev quando lembra; sem cofre; tratado erroneamente como anonimização.
Lineage, Retenção e Eliminação Reprovado
Lineage column-level disponível no catálogo, integrado a pipelines?Lineage informal no header do SQL; ninguém consegue dizer rapidamente de onde a coluna "cpf" em "gold.cliente" veio.
Cada dataset tem TTL ativo (job de expiração roda)?Retenção mencionada em política mas não aplicada; dados crescem indefinidamente em S3.
Eliminação por DSR (art. 18, VI) é orquestrada com validação cross-camada?Pedido resolvido por DELETE manual em uma tabela; feature store, BI e dataset de treino seguem intactos.
Direitos do Titular Reprovado
Workflow centralizado para os direitos do art. 18 com SLA medido?Pedidos respondidos por SQL ad-hoc por engenheiro disponível; sem registro central; SLA não medido.
Portabilidade em formato estruturado padrão, incluindo dados derivados?Portabilidade entregue em PDF descritivo, sem padrão; derivados (score, segmentação) não são incluídos.
Resposta a art. 18, VII (informação sobre compartilhamento) lista terceiros?Resposta genérica do canal do DPO citando categorias; sem base de dados que ligue compartilhamento ao titular.
Transferência Internacional Reprovado
Mapa de fluxos cross-border por dataset/SaaS, mantido pelo DPO, com salvaguarda formal?Sem inventário de fluxos cross-border; SaaS com PII contratado por área usuária sem due diligence.
Region pinning declarativo (IaC com guardrails)?Região é decisão por projeto, no console; nada impede um dev criar bucket nos EUA com dado classificado.
Uso de LLM SaaS / IA gen externa com dados internos é detectado e governado?Devs colam tickets e contratos com PII em ChatGPT público livremente; nada está no inventário do DPO.
ML/IA com Dados Pessoais N/A
Modelos em produção que usam PII têm ficha de privacidade (treino, base legal, finalidade, retenção)?N/A — não há modelos próprios em produção. Apenas dashboards e SQL.
Mecanismo operacional de revisão pelo titular para decisão automatizada (art. 20)?N/A — não há decisão automatizada de modelo próprio.
Avaliação de risco de memorização e governança de IA gen com dados internos?N/A — sem modelos próprios; o uso de LLM SaaS é tratado em "Transferência Internacional".
Resposta a Incidentes Reprovado
Regras de detecção específicas do plano de dados (query em coluna sensível, export externo)?Logs do warehouse retidos < 90 dias sem correlação com SOC; detecção depende de denúncia.
SLA de escalonamento ao DPO após incidente que afete dados pessoais?Incidentes envolvendo PII tratados pelo SOC sem gatilho ao DPO; comunicação à ANPD seria improvisada.
Tabletop integrando Data + SOC + DPO + Jurídico + Comunicação?Tabletop não acontece; conceito desconhecido.
Adesão a regulações irmãs · cobertura LGPD por artigo
ISO/IEC 27701:2019
PIMS — extensão da 27001
0%
0 / 9 requisitos atendidos
ISO/IEC 27018:2019
PII em cloud público
0%
0 / 5 requisitos atendidos
NIST Privacy Framework 1.0
Identify-P / Govern-P / Control-P
0%
0 / 6 requisitos atendidos
GDPR (UE 2016/679)
Comparativo europeu
0%
0 / 9 requisitos atendidos
Cobertura por artigo da LGPD (17 artigos avaliados)
art. 6º · Princípios art. 7º · Bases legais art. 8º · Consentimento art. 9º · Informação ao titular art. 11 · Sensíveis art. 15 · Término art. 16 · Eliminação art. 18 · Direitos do titular art. 19 · Prazo art. 20 · Decisão automatizada (N/A) art. 33 · Transferência internacional art. 37 · ROPA art. 38 · RIPD art. 41 · Encarregado art. 46 · Segurança art. 48 · Comunicação de incidente art. 50 · Boas práticas
Sem ROPA, sem classificação automatizada e com PII trafegando em claro entre todas as camadas, qualquer fiscalização da ANPD encontraria deficiência material em todos os domínios. Recomendação: tratamento de risco antes da próxima auditoria — começando por inventário de PII no S3, RBAC mínimo no Postgres e gatilho formal ao DPO em qualquer incidente que envolva dado pessoal.
Cenário 2 — Varejo MidMarket
Rede varejista com 800 colaboradores · e-commerce + SaaS de marketing nos EUA · ROPA em planilha
Nível 2 — Repetível

Infográfico — Arquitetura & Controles de Privacidade

ROPA em planilha · consentimento isolado · SaaS de marketing nos EUA · DSR manual FONTES INGESTÃO DATA WAREHOUSE CONSUMO SaaS EXT. ERP SAP finanças/estoque E-commerce PII + consentimento Salesforce CRM (BR) Fivetran conectores Snowflake DW BR-east-1 PII tagueada parcial Power BI workspaces Mailchimp / HubSpot ⚠ EUA · sem mapa export de público de campanha sem filtro de consentimento Governança LGPD parcial · ROPA em planilha · sem propagação de revogação DPO (interno · 1 pessoa) Azure AD (SSO) Jira (DSR) ⚠ ROPA > 12 meses consentimento existe no e-commerce, mas só é joinado em 30% dos consumos

Arquitetura

Snowflake (região BR) como warehouse, Fivetran ingerindo SAP, e-commerce e Salesforce. Power BI por área. Tudo dentro do Brasil — exceto exports automáticos para Mailchimp/HubSpot (EUA), feitos diariamente sem filtro de consentimento ativo.

Ferramentas LGPD

  • DPO interno (1 pessoa, sem visibilidade ao catálogo)
  • ROPA em planilha (atualizado há 14 meses)
  • Tagueamento manual de PII em datasets curados
  • Consentimento gravado no e-commerce
  • DSR via tickets no Jira, sem SLA medido

Processos

Acessos por SSO, sem MFA específico para PII, recertificação anual em planilha. Mudanças via PR no Git mas merges feitos pelo próprio autor. Eliminação por DSR resolvida em runbook informal; cópias derivadas (extracts em Mailchimp) são tratadas só se alguém lembrar.

Resultado provável da avaliação LGPD — Pergunta a Pergunta

Governança e Accountability Deficiência
!
RACI publicado e nominado para LGPD na plataforma de dados?DPO interno tem ponto focal informal com Data; data owners declarados de boca para domínios principais; sem RACI documentado.
!
ROPA gerado a partir do catálogo, e não digitado em planilha?ROPA em planilha cobrindo 10–15 datasets críticos; última atualização há 14 meses; novos pipelines não disparam atualização.
Tratamentos de alto risco passam por RIPD aprovado antes do go-live?RIPD existe para um projeto cobrado pelo regulador; produzido em Word, sem fluxo formal de aprovação.
Bases Legais e Consentimento Deficiência
!
Cada dataset tem base legal declarada como atributo de catálogo?Datasets curados têm base legal anotada manualmente em planilha; consumos derivados (views, exports) não herdam.
!
Estado do consentimento é joinável nos consumos analíticos?Tabela de consentimento existe na camada raw; só ~30% dos consumos curados aplicam o filtro; campanhas de marketing via Mailchimp não filtram.
Revogação propaga aos derivados — públicos de campanha, datasets de treino, exports?Revogação chega ao Salesforce em D+1; públicos exportados para Mailchimp já saíram; titular continua recebendo até a próxima carga.
Discovery e Classificação Deficiência
!
Scanner automatizado de PII em raw, staging e curated?Tagueamento manual cobre os datasets curados mais usados; sem releitura periódica; raw sem cobertura.
PII identificada em campos de texto livre (`obs`, comentários, transcrições)?Texto livre não é varrido; comentários do atendimento entram em curated em claro.
Avaliação de reidentificação antes de exports a parceiros?Política diz "anonimização adequada"; aplicação varia por engenheiro; sem critério numérico (k, l, ε).
Acesso e Minimização Deficiência
RBAC com grupos por sensibilidade e MFA para PII?Grupos no Azure AD; acesso a sensíveis requer ticket; MFA padrão (não específico para warehouse).
Recertificação trimestral de acessos ao warehouse?Recertificação anual em planilha por e-mail; cobertura inconsistente; sem evidência arquivada.
!
Mascaramento dinâmico nas colunas tagueadas como PII?Camada curated mascara campos óbvios para perfis "consulta"; analistas plenos têm acesso em claro; raw sem mascaramento.
Pseudonimização com cofre de chaves (KMS/HSM)?Hash de CPF para join cross-domínio; salt inconsistente entre projetos; cofre não existe.
Lineage, Retenção e Eliminação Deficiência
!
Lineage column-level integrado ao catálogo?DBT docs cobrem lineage table-level dos pipelines críticos; column-level inexiste; resposta a "de onde veio o CPF de gold.cliente_360" leva horas.
!
Cada dataset com TTL ativo (job de expiração roda)?Retenção declarada por domínio em documento; execução manual em alguns datasets; sem evidência sistemática.
Backups com janela compatível com a retenção máxima — DSR não é desfeita por restore?Time Travel do Snowflake (default 7 dias) não está alinhado a política de retenção; restore traria PII já apagada.
Direitos do Titular Deficiência
!
Workflow centralizado para os direitos do art. 18 com SLA medido?Procedimento documentado por direito; execução pelo time de Data sob demanda; SLA informal ("15 dias") sem indicador.
!
Portabilidade em formato estruturado padrão, incluindo derivados?Formato é CSV/Excel mas inclui apenas dados originais; score e segmentação não são entregues.
Resposta a art. 18, VII (compartilhamento) lista terceiros?Compilada manualmente consultando contratos; pode levar dias e tem alto risco de omissão de SaaS contratados pelas áreas.
Transferência Internacional Reprovado
Mapa de fluxos cross-border por dataset/SaaS, com salvaguarda formal?Lista parcial de fornecedores; contratos com cláusulas genéricas; cloud em região BR mas exports para Mailchimp/HubSpot (EUA) sem cláusulas-padrão da ANPD nem BCRs.
Region pinning declarativo (IaC com guardrails)?Política descreve regiões aprovadas em documento; cumprimento depende de revisão manual; áreas usuárias contratam SaaS gringo direto.
Uso de LLM SaaS é detectado e governado?Política dizendo "não cole PII em LLM público"; sem detecção; uso conhecido apenas por cobrança da fatura.
ML/IA com Dados Pessoais Deficiência
!
Modelos com PII têm ficha de privacidade?Existe motor de recomendação contratado de fornecedor (caixa-preta); inventário binário "usa PII?" em planilha.
Mecanismo operacional de revisão pelo titular (art. 20)?Decisões automatizadas (ex.: aprovação de crédito recorrente) ocorrem sem porta de revisão; "fale com o atendimento" é a resposta padrão.
Avaliação de risco de memorização em modelos críticos com PII?Modelos tratados como artefatos neutros; ninguém testou se memorizam PII; uso de IA gen é livre.
Resposta a Incidentes Deficiência
!
Regras de detecção específicas do plano de dados?Logs de query enviados ao SIEM com regras genéricas (download volumoso, fora de horário); sem regras por classificação de coluna.
SLA de escalonamento ao DPO após incidente em PII?Runbook cita LGPD genericamente; escalonamento depende do bom-senso do plantonista.
Tabletop integrando Data + SOC + DPO + Jurídico + Comunicação?Tabletop anual envolve SOC + jurídico; cenário de data platform mencionado raso; sem Data Engineering ou DPO ativos.
Adesão a regulações irmãs · cobertura LGPD por artigo
ISO/IEC 27701:2019
PIMS — extensão da 27001
11%
1 / 9 requisitos atendidos
ISO/IEC 27018:2019
PII em cloud público
20%
1 / 5 requisitos atendidos
NIST Privacy Framework 1.0
Identify-P / Govern-P / Control-P
17%
1 / 6 requisitos atendidos
GDPR (UE 2016/679)
Comparativo europeu
0%
0 / 9 requisitos atendidos
Cobertura por artigo da LGPD (17 artigos avaliados)
art. 6º · Princípios art. 7º · Bases legais art. 8º · Consentimento art. 9º · Informação ao titular art. 11 · Sensíveis art. 15 · Término art. 16 · Eliminação art. 18 · Direitos do titular art. 19 · Prazo art. 20 · Decisão automatizada art. 33 · Transferência internacional art. 37 · ROPA art. 38 · RIPD art. 41 · Encarregado art. 46 · Segurança art. 48 · Comunicação de incidente art. 50 · Boas práticas
Existem práticas, mas elas não atravessam a plataforma de ponta a ponta. O ponto mais crítico é a transferência internacional via SaaS de marketing nos EUA sem cláusulas-padrão da ANPD, combinada com público de campanha exportado sem filtro de consentimento revogado — exposição clássica que a ANPD costuma cobrar. Recomendação: gate do DPO em todo SaaS que processa PII, propagação de revogação aos extracts, ROPA sincronizado a partir do catálogo do Snowflake.
Cenário 3 — Saúde Corporativa
Operadora de saúde com 4.500 colaboradores · PHI tokenizado · catálogo ativo, ROPA sincronizado
Nível 3 — Definido

Infográfico — Arquitetura & Controles de Privacidade

Lakehouse Bronze / Silver / Gold · PHI tokenizada na Silver · ROPA do Collibra · DSR com SLA FONTES LAKEHOUSE (Databricks · Delta) — PHI tokenizada na Silver CONSUMO HIS / ERPs prontuário · contas APIs externas parceiros / ANS Kafka eventos clínicos BRONZE raw Delta imutável retenção 20 anos (CFM) acesso restrito DPO Databricks SILVER DQ + tokenização PHI → token cofre KMS k-anonymity p/ exports Great Expectations GOLD marts curados ABAC por finalidade audit log de query datasets certificados RBAC · Unity Catalog Tableau RLS por especialidade ML Serving triagem · fraude Governança LGPD formal · ROPA do Collibra · DSR com SLA · RIPD pré-go-live · cloud BR Collibra (ROPA) Unity Catalog (PII tags) Okta + MFA ServiceNow (DSR) Splunk (audit) DPO interno · 3 FTEs cláusulas-padrão ANPD com 4 SaaS estrangeiros · region pinning revisado em PR · LLM corporativo Azure OpenAI sem prompt-scrubbing automático

Arquitetura

Lakehouse em Databricks (Bronze/Silver/Gold) com Unity Catalog e tokenização de PHI na camada Silver com cofre KMS. Cloud em região BR. Catálogo central no Collibra alimenta o ROPA. Quatro SaaS estrangeiros mapeados, com cláusulas-padrão ANPD aplicadas.

Ferramentas LGPD

  • DPO interno · 3 FTEs · acesso de leitura ao catálogo
  • ROPA sincronizado catálogo → Collibra
  • RIPD obrigatório para pipelines com PHI / decisão automatizada
  • Workflow de DSR no ServiceNow com SLA medido (~12 dias)
  • Mapa de fluxos cross-border revisado anualmente

Processos

RBAC granular via Okta + Unity Catalog, MFA para PHI, recertificação trimestral por data owner. Eliminação por DSR percorre runbook por lineage table-level com testes anuais. Tabletop integrando Data + SOC + DPO + jurídico anual com cenário específico de data platform.

Resultado provável da avaliação LGPD — Pergunta a Pergunta

Governança e Accountability Aceitável
RACI publicado e nominado para LGPD na plataforma de dados?RACI publicado com DPO, data owner clínico, data owner financeiro, data steward e engenheiro responsável; revisado anualmente; data owner registrado no catálogo por dataset.
ROPA gerado a partir do catálogo, e não digitado em planilha?ROPA sincronizado Collibra ↔ Unity Catalog; cobertura > 90% dos datasets críticos; atributos finalidade, base legal, retenção, classificação presentes.
Tratamentos de alto risco passam por RIPD aprovado antes do go-live?RIPD obrigatório para pipelines com PHI ou decisão automatizada; aprovação registrada em ferramenta; critério de gatilho documentado.
Bases Legais e Consentimento Aceitável
Cada dataset tem base legal declarada como atributo de catálogo?Toda atividade no ROPA tem base legal documentada (art. 7º para gerais, art. 11 para sensíveis incluindo "tutela da saúde" para PHI); atributo `legal_basis` no catálogo.
Estado do consentimento é joinável nos consumos analíticos?Consentimento é dimensão integrada ao modelo de beneficiário; pipelines de comunicação filtram por consentimento ativo; PHI usa hipóteses do art. 11 (tutela da saúde) sem depender de consentimento.
!
Revogação de consentimento propaga aos derivados em até 24h?Workflow documentado para campanhas e exports; feature stores e datasets de treino propagam no retreino seguinte (mensal).
Discovery e Classificação Forte
Scanner automatizado de PII em raw, staging e curated?BigID + regex/NER pretreinado em raw, staging e curated; taxonomia aprovada pelo DPO (PII básica, PII sensível art. 11, dado de saúde, dado de menor); cobertura > 90% curated, > 70% raw.
PII em campos de texto livre é identificada?Scanner com NER específico de saúde (CID, CRM, prontuário) aplicado a `obs`, evolução clínica e laudos; tagueamento automático no catálogo.
Avaliação de reidentificação antes de exports a parceiros?Datasets externalizados passam por k-anonymity (k=5) com aprovação do DPO; critérios documentados; testes de adversário com base ANS realizados anualmente.
Acesso e Minimização Forte
RBAC com grupos por sensibilidade e MFA para PII?RBAC granular em Unity Catalog + ABAC para PHI; MFA obrigatório; recertificação trimestral por data owner com evidência arquivada e revogação executada.
Mascaramento dinâmico nas colunas tagueadas como PII?Mascaramento dinâmico configurado em colunas tagueadas no Unity Catalog; regra por papel + finalidade; controle versionado em git.
Pseudonimização com cofre de chaves (KMS/HSM)?Tokenização determinística com chave em KMS gerenciado; acesso à reversão restrito a 4 perfis com MFA; documentação no catálogo identifica colunas como pseudonimizadas (ainda dados pessoais).
Procedimento de break-glass com aprovação dual e expiração curta?Break-glass formalizado com aprovação dual, expiração horária e log auditável; uso revisado mensalmente por segurança.
Lineage, Retenção e Eliminação Aceitável
Lineage column-level integrado ao catálogo?Lineage column-level disponível no Unity Catalog para 80% dos pipelines críticos; resposta a "de onde veio o CPF de gold.beneficiario_360" rastreável em minutos.
Cada dataset com TTL ativo (job de expiração roda)?Retenção declarada por dataset com TTL no catálogo (20 anos para prontuário CFM, 5 anos para fiscal, 6 meses para staging); job semanal expira partições; eliminação registrada em log auditável.
!
Eliminação por DSR orquestrada com validação cross-camada?Eliminação via runbook que percorre lineage table-level; usa Delta DELETE/MERGE; testada anualmente. Column-level e validação cripto-hash ainda em plano para o próximo ano.
Direitos do Titular Aceitável
Workflow centralizado para os direitos do art. 18 com SLA medido?Workflow centralizado DPO → Data Platform no ServiceNow, runbooks por direito, integração com catálogo para localização do titular; SLA medido por direito (atual ~12 dias).
Portabilidade em formato estruturado padrão, incluindo derivados?Pacote tem schema documentado em JSON/CSV, incluindo dados originais + derivados (segmentação clínica, score de risco); exemplo mascarado disponível.
Resposta a art. 18, VII (compartilhamento) lista terceiros?Inventário de compartilhamentos mantido junto ao ROPA; resposta consolidada por DSR usando esse inventário em < 5 dias úteis.
Transferência Internacional Aceitável
Mapa de fluxos cross-border, com salvaguarda formal?Mapa por dataset/SaaS mantido pelo DPO; cláusulas-padrão da ANPD aplicadas a 4 SaaS estrangeiros (telemedicina, helpdesk, CRM); revisão anual.
!
Region pinning declarativo (IaC com guardrails)?IaC versionada padroniza região BR; revisão de PR pega divergências; Azure Policy bloqueia regiões claramente fora do escopo. Guardrails IaC para "negar provisionamento" ainda não implantados.
!
Uso de LLM SaaS é detectado e governado?Inventário de uso de LLM SaaS mantido; Azure OpenAI corporativo aprovado; egress monitoring alerta para domínios de LLM. Prompt-scrubbing automático ainda em piloto.
ML/IA com Dados Pessoais Deficiência
!
Modelos com PII têm ficha de privacidade?Modelos críticos (triagem clínica, fraude) têm registry em planilha governada com base legal e finalidade; ficha estruturada e versionamento de dataset de treino ainda em implantação.
!
Mecanismo operacional de revisão pelo titular (art. 20)?Revisão por pessoa natural existe para negativa de cobertura, mas é informal, sem SLA medido nem registro estruturado.
Avaliação de risco de memorização e governança de IA gen?Não há avaliação prática de membership inference / model inversion; uso de IA gen com dados internos é restrito por orientação verbal sem detecção técnica.
Resposta a Incidentes Aceitável
Regras de detecção específicas do plano de dados?Regras no Splunk: query com SELECT em coluna sensível sem filtro, export para destino externo, acesso a dataset por perfil sem propósito; runbook documentado.
SLA de escalonamento ao DPO após incidente em PII?Runbook prevê classificação com critério de PII; SLA de escalonamento ao DPO < 2h após classificação; comunicação à ANPD ensaiada anualmente em tabletop.
Tabletop integrando Data + SOC + DPO + Jurídico + Comunicação?Tabletop anual integrando os 5 papéis com cenário específico de data platform (vazamento de prontuário); ações corretivas registradas em backlog.
Adesão a regulações irmãs · cobertura LGPD por artigo
ISO/IEC 27701:2019
PIMS — extensão da 27001
100%
9 / 9 requisitos atendidos
ISO/IEC 27018:2019
PII em cloud público
100%
5 / 5 requisitos atendidos
NIST Privacy Framework 1.0
Identify-P / Govern-P / Control-P
100%
6 / 6 requisitos atendidos
GDPR (UE 2016/679)
Comparativo europeu (piso mais alto)
78%
7 / 9 requisitos atendidos · gap em Governança e ML/IA
Cobertura por artigo da LGPD (17 artigos avaliados)
art. 6º · Princípios art. 7º · Bases legais art. 8º · Consentimento art. 9º · Informação ao titular art. 11 · Sensíveis art. 15 · Término art. 16 · Eliminação art. 18 · Direitos do titular art. 19 · Prazo art. 20 · Decisão automatizada art. 33 · Transferência internacional art. 37 · ROPA art. 38 · RIPD art. 41 · Encarregado art. 46 · Segurança art. 48 · Comunicação de incidente art. 50 · Boas práticas
Plataforma já adequada à LGPD em 16 dos 17 artigos avaliados; o gap relevante é o art. 20 — decisão automatizada do modelo de triagem clínica não tem mecanismo formal de revisão pelo titular, e a memorização não é avaliada. Próximo ciclo de melhoria: ficha estruturada por modelo no MLflow, SLA de revisão humana publicado, prompt-scrubbing automático no gateway de LLM e fechamento da lacuna de governança de ML — preparando o caminho para o nível 4.
Cenário 4 — Banco Tradicional
Banco múltiplo Tier-1 · KRIs de privacidade no comitê · DSR < 15 dias
Nível 4 — Gerenciado

Infográfico — Arquitetura & Controles de Privacidade

Data Mesh por domínio · KRIs de privacidade · DSR < 15 dias · LGPD + BCB 4.658 mapeadas DOMÍNIOS DE NEGÓCIO (data products) — base legal e retenção como atributo do data contract Domínio Crédito contrato versionado · base legal: contrato/legítimo interesse PII tokenizada · retenção 5 anos cobertura ROPA 99% KRI verde Domínio Pagamentos contrato versionado · base legal: execução contratual consentimento joinado · retenção 5 anos cobertura ROPA 99% KRI verde Domínio Compliance contrato versionado · base legal: obrigação legal lineage column-level · retenção 10 anos cobertura ROPA 100% KRI verde Plataforma central · privacy contracts · 4 ambientes isolados (BR-only) BigQuery · Dataplex (PII tags) SailPoint IGA · cert. trimestral JIT (HashiCorp Boundary) HSM · token por finalidade DLP egress · audit cripto RBAC + ABAC dinâmico via OPA · Org Policy bloqueia provisionamento fora do BR · LLM gateway com prompt-scrubbing KRIs de privacidade — reportados ao Comitê DPO + Riscos + Auditoria % datasets com legal_basis MTTR de DSR (atual: 9 dias) cross-border sem salvaguarda = 0 tempo de propagação de revogação

Arquitetura

Data Mesh em GCP (BR-only) com data products por linha de negócio, contratos de dados versionados declarando base legal, retenção e classificação. Tokenização por finalidade com chaves em HSM. Lineage column-level ponta-a-ponta com OpenLineage.

Ferramentas LGPD

  • DPO embarcado em squads (1 DPO + 4 DPO-adjuntos)
  • ROPA fonte da verdade · sincroniza catálogo
  • RIPD-delta automático em mudança de finalidade
  • SailPoint IGA · recertificação trimestral 99,2% no prazo
  • LLM gateway corporativo com prompt-scrubbing

Processos

KRIs de privacidade reportados mensalmente ao Comitê DPO + Riscos: % de datasets com base legal declarada, MTTR de DSR (atual 9 dias), cross-border sem salvaguarda (zero), tempo médio de propagação de revogação. Tabletop semestral integrando Data + SOC + DPO + jurídico + comunicação.

Resultado provável da avaliação LGPD — Pergunta a Pergunta

Governança e Accountability Forte
RACI publicado e nominado para LGPD na plataforma de dados?KPIs de governança (cobertura ROPA, idade RIPD, comparecimento do DPO em squads) reportados mensalmente; comitê trimestral DPO + Data + Segurança com pauta fixa.
ROPA gerado a partir do catálogo, e não digitado em planilha?Cobertura ROPA reportada como KRI mensal (99%+); reconciliação automática catálogo ↔ ROPA detecta divergências; campanhas trimestrais de qualidade do registro.
Tratamentos de alto risco passam por RIPD aprovado antes do go-live?KRI de idade média de RIPD por tratamento e % no SLA; reavaliação obrigatória quando o tratamento muda materialmente, com trilha de auditoria.
Bases Legais e Consentimento Forte
Cada dataset tem base legal declarada como atributo de catálogo?Cobertura de `legal_basis` é KRI; auditoria amostral mensal valida coerência entre uso declarado e base; pareceres atualizados quando a ANPD muda orientação materialmente.
Estado do consentimento é joinável nos consumos analíticos?Cobertura "% consumos com base consentimento que aplicam filtro" reportada como KRI; teste automatizado em CI/CD valida o filtro antes de promover view ou modelo.
Revogação propaga aos derivados em até 24h?KRI "tempo médio de propagação de revogação" e "% revogações com propagação completa em 24h" reportados; alerta para retenção indevida em derivado.
Discovery e Classificação Forte
Scanner automatizado de PII em raw, staging e curated?Reclassificação periódica (mensal e trigger por mudança de schema); KRI de idade média de classificação; falsos positivos auditados; drift de classificação monitorado.
PII em campos de texto livre é identificada?KRI de "% de campos de texto livre classificados" e "taxa de falso positivo / negativo" monitorados via amostragem auditada; modelos NER específicos para domínio bancário.
Avaliação de reidentificação antes de exports a parceiros?KRI de "% exports externos com avaliação de reidentificação no SLA"; auditoria amostral confirma critério; testes de adversário (linkage com base externa) realizados periodicamente.
Acesso e Minimização Otimizado
RBAC com grupos por sensibilidade e MFA para PII?Just-in-time access para PII sensível com expiração automática; recertificação contínua orientada a uso real (analytics sugerem revogação por uso zero); MFA phishing-resistant (FIDO2) para perfis de risco.
Mascaramento dinâmico nas colunas tagueadas como PII?Acesso a PII em claro só por break-glass com aprovação dual, log e expiração de minutos; toda query a coluna sensível gera evento auditável correlacionável ao titular.
Pseudonimização com cofre de chaves (KMS/HSM)?Tokenização por finalidade (mesmo CPF gera tokens distintos por contexto), prevenindo correlação cross-finalidade não autorizada; cofre HSM auditado e segregado.
Procedimento de break-glass com aprovação dual?KRI de uso de break-glass (frequência, duração, motivo); tendência crescente dispara investigação; comportamento durante a sessão é gravado e revisado por amostragem.
Lineage, Retenção e Eliminação Forte
Lineage column-level integrado ao catálogo?Lineage column-level cobre ingestão, processamento, BI e ML (incluindo features); usado em automação de eliminação por DSR e em análise de propagação de revogação.
Cada dataset com TTL ativo (job de expiração roda)?KRI de "% pipelines com retenção ativa" e "registros expirados no prazo" reportados; tentar reter além do prazo exige aprovação registrada.
Eliminação por DSR orquestrada com validação cross-camada?KRI "MTTR de DSR de eliminação" reportado mensalmente (atual 9 dias); validação cripto-hash da remoção em todas as cópias; falhas geram incidente formal.
Direitos do Titular Forte
Workflow centralizado para os direitos do art. 18 com SLA medido?KRI por direito (MTTR, % no prazo legal, taxa de re-trabalho); dashboard publicado para gestão; análise de tendência mensal.
Portabilidade em formato estruturado padrão, incluindo derivados?Pacote auditado por amostragem; KRI de qualidade (campos faltantes, falhas de geração); revisão semestral do schema entre Data, DPO e jurídico.
Resposta a art. 18, VII (compartilhamento) lista terceiros?Compartilhamento é evento logado (export, API, integração) e correlacionável ao titular via lineage; resposta automatizável; KRI de completude.
Transferência Internacional Forte
Mapa de fluxos cross-border, com salvaguarda formal?KRI "fluxos cross-border sem salvaguarda" = 0 monitorado; novos SaaS com PII passam por gate do DPO antes de habilitar endpoint fora do Brasil; egress monitoring alerta fluxo novo.
Region pinning declarativo (IaC com guardrails)?Guardrails IaC + policy as code negam provisionamento fora da região para dado classificado; relatório de bloqueios analisado mensalmente; exceções documentadas com prazo.
Uso de LLM SaaS é detectado e governado?Gateway corporativo intermedia chamadas a LLM externas; PII é tokenizada/redacted no prompt antes de sair; logs revisados; KRI de adesão.
ML/IA com Dados Pessoais Aceitável
Modelos com PII têm ficha de privacidade?KRI "% modelos com ficha completa" = 100% reportado; revisão periódica das fichas em comitê de risco de modelo; integração com model registry (MLflow).
Mecanismo operacional de revisão pelo titular (art. 20)?Mecanismo do art. 20 publicado: titular sabe como pedir revisão de credit scoring/fraude; pessoa natural responsável documentada por modelo; SLA acordado; resposta inclui critérios.
!
Avaliação de risco de memorização e governança de IA gen?Avaliação anual em modelos críticos com PII (membership inference); pseudonimização aplicada antes do treino quando viável; privacy budget (DP) ainda não institucionalizado.
Resposta a Incidentes Forte
Regras de detecção específicas do plano de dados?UEBA aplicado a perfis com acesso a PII; KRI "tempo de detecção de exfiltração simulada" via exercícios red team; tendência por tipo de evento monitorada.
SLA de escalonamento ao DPO após incidente em PII?KRI de tempo de classificação de incidente PII, tempo entre classificação e escalonamento ao DPO, e tempo até comunicação reportados; árvore de comunicação por severidade pré-aprovada.
Tabletop integrando Data + SOC + DPO + Jurídico + Comunicação?Tabletop semestral; KRI de % de ações corretivas fechadas no SLA; rotação de cenários (exfiltração, ransomware, model leakage, vazamento por terceiro, transferência internacional não autorizada).
Adesão a regulações irmãs · cobertura LGPD por artigo
ISO/IEC 27701:2019
PIMS — extensão da 27001
100%
9 / 9 requisitos atendidos
ISO/IEC 27018:2019
PII em cloud público
100%
5 / 5 requisitos atendidos
NIST Privacy Framework 1.0
Identify-P / Govern-P / Control-P
100%
6 / 6 requisitos atendidos
GDPR (UE 2016/679)
Comparativo europeu (piso mais alto)
100%
9 / 9 requisitos atendidos
Cobertura por artigo da LGPD (17 artigos avaliados)
art. 6º · Princípios art. 7º · Bases legais art. 8º · Consentimento art. 9º · Informação ao titular art. 11 · Sensíveis art. 15 · Término art. 16 · Eliminação art. 18 · Direitos do titular art. 19 · Prazo art. 20 · Decisão automatizada art. 33 · Transferência internacional art. 37 · ROPA art. 38 · RIPD art. 41 · Encarregado art. 46 · Segurança art. 48 · Comunicação de incidente art. 50 · Boas práticas
Privacidade saiu do programa de compliance e virou métrica de produto: KRIs reportados mensalmente, cobertura ROPA medida, MTTR de DSR no dashboard. Auditoria externa (Big4) consegue confiar em controles automatizados (privacy reliance), reduzindo o escopo de testes substantivos. Gap remanescente: privacy budget (differential privacy) institucionalizado em ML — preparando o caminho para o nível 5.
Cenário 5 — BigTech Global
Plataforma multi-cloud · privacy by design como restrição · eliminação cripto-comprovável
Nível 5 — Otimizado

Infográfico — Arquitetura & Controles de Privacidade

Privacy contracts em CI/CD · eliminação cripto-comprovável · privacy budget · LLM corporativo com prompt-scrubbing Camada Privacy-as-Code (OPA / Conftest) — gate em CI/CD contract sem `legal_basis` falha · sem ROPA falha · sem RIPD-delta falha · região não-aprovada falha FEDERAÇÃO MULTI-CLOUD · region pinning automático por classificação AWS · Snowflake data products federados JIT via Boundary tokenização por finalidade privacy budget em exports GCP · Databricks data products federados Vault para secrets Zero Trust Network eliminação cripto-comprovável Azure · Edge / Subsidiárias M&A processamento local criptografia E2E ⚠ M&A pendente integração cobertura cross-border 90% UEBA — ML detecta exfiltração de PII revogação automática de acesso ocioso a PII sensível comunicação ANPD com rascunho automático + lista de titulares afetados via lineage Auditoria Contínua de Privacidade dashboards em tempo real para DPO DSR cripto-comprovável < 15 dias Stack Privacy by Design: data contracts privacy budget (DP) OPA / Conftest LLM gateway scrubbing + ML anomaly detection Loop de melhoria contínua: pós-mortem → nova policy → enforcement automático

Arquitetura

Plataforma multi-cloud (AWS, GCP, Azure) com self-service, privacy-as-code (OPA), Zero Trust, just-in-time access, ambientes efêmeros por feature branch e detecção automatizada de exfiltração de PII (UEBA). Privacy budget (differential privacy) em exports agregados.

Ferramentas LGPD

  • DPO-adjunto embarcado em cada squad de Data
  • Data contract com `legal_basis`, `retention`, `lineage` obrigatórios
  • OPA gateia publicação de dataset sem privacy attributes
  • LLM corporativo com prompt-scrubbing automático
  • Eliminação por DSR cripto-comprovável em < 15 dias

Processos

Privacy by design é restrição de plataforma (não política): mudança em contrato dispara RIPD-delta automático; revogação de consentimento em massa retreina modelos quando ultrapassa limiar acordado; pós-mortem cross-funcional alimenta backlog de melhoria contínua. Gap: subsidiárias adquiridas em M&A nos últimos 18 meses ainda em integração ao padrão.

Resultado provável da avaliação LGPD — Pergunta a Pergunta

Governança e Accountability Otimizado
RACI publicado e nominado para LGPD na plataforma de dados?Cada dataset publicado tem data contract com owner e steward declarados como atributo obrigatório; mudança de owner dispara workflow de aprovação; DPO-adjunto no time de Data com SLA de resposta.
ROPA gerado a partir do catálogo, e não digitado em planilha?ROPA é fonte única, sincronizado bidirecionalmente com o catálogo; tentar publicar dataset sem entrada ROPA falha em CI/CD; histórico completo versionado por dataset.
Tratamentos de alto risco passam por RIPD aprovado antes do go-live?Mudança de finalidade, escopo ou tecnologia em data contract dispara RIPD-delta automaticamente; pipeline congelado em CI/CD se RIPD-delta não for aprovado em janela acordada.
Bases Legais e Consentimento Otimizado
Cada dataset tem base legal declarada como atributo de catálogo?Base legal é atributo obrigatório de data contract; job que tenta processar dado sem base declarada falha em CI/CD; trilha histórica responde, para qualquer titular, sob qual base seus dados foram tratados em cada ponto do tempo.
Estado do consentimento é joinável nos consumos analíticos?Consentimento por finalidade e versão de termo é parte canônica do data contract; mudanças de termo geram nova versão e re-checagem; trilha permite reproduzir decisão histórica de modelo dado o consentimento vigente.
Revogação propaga aos derivados?Propagação cripto-comprovável: artefato pós-revogação assinado evidencia que titular foi removido de todos os consumos; modelos retreinados se a fração revogada superar limiar acordado.
Discovery e Classificação Forte
Scanner automatizado de PII em raw, staging e curated?Classificação é pré-condição de publicação no catálogo (gate em CI/CD); a velocidade de criação de novos datasets supera classificação automática (~3% sem tag a qualquer momento, sob alerta).
PII em campos de texto livre é identificada?Texto livre é redacted/tokenizado em ingestão por padrão (em vez de varrido depois); cofre mantém o original sob controle reforçado; dataset analítico recebe versão scrubada.
!
Avaliação de reidentificação antes de exports?Pseudonimização ou anonimização por privacy budget (DP) aplicada onde adequado; toolkit interno padroniza o teste. Subsidiárias adquiridas em M&A ainda em integração ao padrão (cobertura ~90%).
Acesso e Minimização Forte
RBAC com grupos por sensibilidade e MFA para PII?JIT access em ~90% da plataforma; credencial expira em horas. Plataformas adquiridas em M&A recente ainda em integração ao padrão.
!
Recertificação contínua orientada a uso real?ML revoga acessos ociosos automaticamente em 80% dos sistemas; subsidiárias adquiridas nos últimos 18 meses ainda fora do scope.
Pseudonimização com cofre de chaves (KMS/HSM)?Tokenização por finalidade end-to-end; chaves rotacionadas continuamente em HSM; key management self-service para data products.
Procedimento de break-glass com aprovação dual?Break-glass por minutos com aprovação multi-canal e justificativa vinculada a ticket; sessão em modo de gravação com analytics; remediação automática de desvios pós-sessão.
Lineage, Retenção e Eliminação Otimizado
Lineage column-level integrado ao catálogo?Column-level lineage end-to-end incluindo modelos de ML e features; incident lineage correlacionado com data quality e contracts.
Cada dataset com TTL ativo (job de expiração roda)?Retenção é atributo de data contract; backups e snapshots com janela compatível; alerta automático para divergência produção vs. backup.
Eliminação por DSR orquestrada com validação cross-camada?Eliminação executada por workflow auditado com evidência cripto-comprovável de "não-existência" pós-execução; SLA < 15 dias úteis; pacote exportável ao titular.
Direitos do Titular Otimizado
Workflow centralizado para os direitos do art. 18 com SLA medido?Self-service ao titular para acesso e portabilidade via portal autenticado; eliminação por orquestração com validação cross-camada; resposta integrada com assinatura digital.
Portabilidade em formato estruturado padrão, incluindo derivados?Pacote unificado (acesso + portabilidade + lista de compartilhamentos com terceiros) gerado automaticamente, com assinatura digital, disponibilizado em portal autenticado por janela controlada.
Resposta a art. 18, VII (compartilhamento) lista terceiros?Resposta gerada automaticamente, listando terceiros, finalidade, base legal, datas e mecanismo de compartilhamento, com assinatura digital e disponibilizada via portal.
Transferência Internacional Forte
Mapa de fluxos cross-border, com salvaguarda formal?Política de soberania como código bloqueia provisionamento de bucket, banco ou serviço em região não-aprovada para o dado classificado; mapa de fluxos é atributo do data contract.
!
Region pinning declarativo (IaC com guardrails)?Detecção em tempo quase-real de qualquer recurso novo com dado classificado fora da região aprovada, com ação automática (bloqueio ou rollback). Subsidiárias M&A em região não-padrão ainda em janela de integração.
Uso de LLM SaaS é detectado e governado?Gateway com prompt-scrubbing automático, classificação do prompt antes do envio, bloqueio de tipos sensíveis e contrato cobre não-treino sobre os dados; modelos hospedados em região aprovada.
ML/IA com Dados Pessoais Otimizado
Modelos com PII têm ficha de privacidade?Ficha é atributo obrigatório do model registry; mudança de modelo dispara revisão automática; modelos descontinuados têm pacote de retirada com eliminação do artefato e do dataset de treino conforme retenção.
Mecanismo operacional de revisão pelo titular (art. 20)?Resposta automatizada gera explicação interpretável (XAI) com pessoa natural disponível para revisão; trilha auditável vincula decisão a versão do modelo, dataset de treino e features usadas naquele momento.
Avaliação de risco de memorização e governança de IA gen?Privacy budget (DP) onde aplicável; dados sintéticos avaliados por risco de reidentificação; modelos retreinados quando consentimento subjacente é revogado em massa relevante; LLMs internos hospedados sob controle.
Resposta a Incidentes Otimizado
Regras de detecção específicas do plano de dados?Detecção em tempo quase-real correlaciona evento com classificação do dado e identifica titulares afetados; ao detectar exfiltração, sistema lista automaticamente cópias derivadas a serem contidas via lineage.
SLA de escalonamento ao DPO após incidente em PII?Comunicação à ANPD e aos titulares parcialmente automatizada (rascunho gerado a partir do incidente classificado, com lista de titulares afetados via lineage); aprovação humana final em fluxo controlado.
Tabletop integrando Data + SOC + DPO + Jurídico + Comunicação?Game day em produção com guardrails (chaos engineering aplicado a privacidade); comunicação simulada com regulador (rascunho ANPD avaliado por jurídico externo); pós-mortem cross-funcional alimenta melhoria contínua.
Adesão a regulações irmãs · cobertura LGPD por artigo
ISO/IEC 27701:2019
PIMS — extensão da 27001
100%
9 / 9 requisitos atendidos
ISO/IEC 27018:2019
PII em cloud público
100%
5 / 5 requisitos atendidos
NIST Privacy Framework 1.0
Identify-P / Govern-P / Control-P
100%
6 / 6 requisitos atendidos
GDPR (UE 2016/679)
Comparativo europeu (piso mais alto)
100%
9 / 9 requisitos atendidos
Cobertura por artigo da LGPD (17 artigos avaliados)
art. 6º · Princípios art. 7º · Bases legais art. 8º · Consentimento art. 9º · Informação ao titular art. 11 · Sensíveis art. 15 · Término art. 16 · Eliminação art. 18 · Direitos do titular art. 19 · Prazo art. 20 · Decisão automatizada art. 33 · Transferência internacional art. 37 · ROPA art. 38 · RIPD art. 41 · Encarregado art. 46 · Segurança art. 48 · Comunicação de incidente art. 50 · Boas práticas
Privacy by design saiu da apresentação e virou restrição de plataforma — privacidade não pode ser violada porque o gate em CI/CD não deixa. A auditoria atua como parceira estratégica e foca em risco emergente: cobertura cross-border em subsidiárias adquiridas, recertificação automática em ambientes pré-GA, e privacy budget calibrado para casos sensíveis. Resultado: parecer limpo e benchmark de mercado.