top of page
Buscar

LGPD - Gestão de conteúdo corporativo e governança

  • Foto do escritor: Fermin Piccolo
    Fermin Piccolo
  • 9 de out.
  • 7 min de leitura

A transformação digital fez com que a maioria das informações corporativas passasse a ser armazenada em repositórios digitais, seja em “drives” na nuvem ou em sistemas de gestão eletrônica de documentos (GED) – serviços na nuvem ou soluções dentro da infraestrutura da organização (on-premise). Somado a esse cenário, e a enorme quantidade de dados gerada a cada ano, a adoção de inteligência artificial (IA), especialmente modelos generativos, está se acelerando nas organizações brasileiras.


ree

Para ter uma ideia da ordem de grandeza desse volume de informações, observe a tabela abaixo e pense que, normalmente, um PDF fica entre 5MB e 50MB e uma página na web tem entre 2MB e 3MB:

Unidade

Equivalência em bytes

Relação com 1 ZB

1 ZB (Zettabyte)

10²¹ bytes

1 ZB

1 EB (Exabyte)

10¹⁸ bytes

1 ZB = 1.000 EB

1 PB (Petabyte)

10¹⁵ bytes

1 ZB = 1.000.000 PB

1 TB (Terabyte)

10¹² bytes

1 ZB = 1.000.000.000 TB

1 GB (Gigabyte)

10⁹ bytes

1 ZB = 1.000.000.000.000 GB

1 MB (Megabyte)

10⁶ bytes

1 ZB = 1.000.000.000.000.000 MB

Mesmo havendo esse oceano de informações, muitos gestores acreditam que estruturar pastas e padronizar nomes de arquivos, fazendo o controle em “planilhas mestras” ou sistemas com recursos básicos é suficiente para demonstrar conformidade com a Lei Geral de Proteção de Dados (LGPD).

Porém, a LGPD é construída sobre princípios como respeito à privacidade, autodeterminação informativa, liberdade de expressão e desenvolvimento tecnológico. Essas bases mostram que a simples organização de documentos não garante transparência, segurança ou responsabilidade e que é preciso implementar mecanismos de governança, rastreabilidade e controle.

Fundamentos legais da LGPD e suas implicações

A LGPD aplica‑se a qualquer operação de tratamento de dados, inclusive em meios digitais, e protege direitos fundamentais como privacidade, honra e imagem. Ela estabelece princípios de finalidade, necessidade, transparência, segurança, prevenção e responsabilização. As sanções previstas para descumprimento incluem advertência, publicização da infração e multas de até 2% do faturamento da empresa, limitadas a R$ 50 milhões por infração. A lei também prevê bloqueio ou eliminação de dados e, nos casos mais graves, suspensão das atividades de tratamento dos dados pessoais. Essa estrutura mostra que a gestão de informações, em especial a gestão documental, deve dar condições para provar conformidade, já que eventuais falhas podem levar não só a penalidades financeiras como também a danos reputacionais e paralisação de atividades.

Por que organizar pastas não basta

Organizar pastas, nomear arquivos e classifica-los quanto ao seus tipos e características (taxonomia) são práticas importantes, mas não atendem aos requisitos de compliance da LGPD. O Manual de Implementação da LGPD do Estado do Paraná explica que a adequação exige etapas como mapear o tratamento dos dados pessoais, levantar riscos, elaborar relatórios de impacto à proteção de dados, criar políticas de privacidade e tratamento de incidentes, designar um encarregado, treinar equipes e associar compliance à LGPD. O documento ressalta que, além de conscientização, a governança deve envolver análise, planejamento e controle do uso de dados, com avaliações periódicas para medir o nível de maturidade e implementar melhorias.

Outro ponto crítico é a classificação da informação do ponto de vista de criticidade e sigilo – e não só uma simples classificação documental. O Manual de Gestão Documental do Poder Judiciário distingue a classificação para organização de arquivos daquela relacionada ao sigilo. Ao classificar um documento como sigiloso, devem‑se aplicar as diretrizes da Lei de Acesso à Informação e da própria LGPD e registrar o grau de sigilo (ultrassecreto, secreto ou reservado) no sistema informatizado de gestão de documentos. Esse sistema deve restringir automaticamente o acesso conforme o grau de sigilo e manter registros, pois documentos digitais exigem mecanismos técnicos para assegurar o cumprimento das obrigações. Em outras palavras, arquivar corretamente não dispensa a necessidade de controles técnicos de acesso, rotulagem e logs.

Boas práticas de gestão documental e governança de dados

A governança documental combina processos, pessoas e tecnologia. O manual paranaense aponta que a implantação da LGPD nos órgãos públicos começa com um mapeamento de dados pessoais para entender o fluxo, catalogar as bases e identificar os riscos. O levantamento deve ser documentado em sistemas eletrônicos e atualizado periodicamente, servindo de base para elaborar planos de ação, políticas de privacidade e procedimentos de resposta a incidentes. O relatório de impacto à proteção de dados (RIPD) é outro instrumento essencial: ele descreve os processos que podem gerar riscos, indica salvaguardas e deve ser revisado sempre que houver mudanças.

ree

O manual do Conselho Nacional de Justiça reforça que, ao classificar documentos como sigilosos, o órgão deve armazená‑los em sistemas que registrem o nível de sigilo e restrinjam o acesso conforme cada grau. Todas as ações de autuação, tramitação, inserção de dados, consulta e arquivamento precisam de registros e controles próprios, pois a classificação de sigilo não se confunde com a classificação arquivística. Esse manual também orienta que políticas de gestão documental sejam integradas à proteção de dados, por meio da atuação conjunta das comissões de avaliação documental e dos comitês de proteção de dados, garantindo que as ações de difusão e acesso ao acervo considerem os requisitos da LGPD.

Adoção de IA e novos riscos

Os avanços em IA generativa trazem benefícios, mas também ampliam riscos de privacidade. O radar tecnológico da Autoridade Nacional de Proteção de Dados (ANPD) destaca que a coexistência de dados pessoais e não pessoais nos modelos e a geração de conteúdo sintético aumentam a probabilidade de tratar dados pessoais sem salvaguardas, podendo violar os princípios da necessidade e da transparência. Conteúdos gerados podem ser indistinguíveis de dados reais e associados indevidamente a indivíduos. O documento alerta que esses sistemas apresentam baixo nível de transparência por serem metodologias complexas e opacas, o que exige atenção aos princípios da LGPD.

Outro trecho do radar explica que sistemas de IA generativa podem gerar dados pessoais sem terem sido treinados para essa finalidade e que o conceito amplo de compartilhamento de dados abrange o envio de informações pelo usuário, a divulgação dos resultados e a reutilização de modelos pré‑treinados. Os usuários podem inserir no prompt documentos inteiros, e os resultados podem incluir dados pessoais sensíveis. Nessas circunstâncias, transferir a responsabilidade pela proteção de dados ao usuário é insuficiente, sendo necessário estabelecer uma cadeia de responsabilidade entre os agentes de tratamento para garantir a conformidade.

As preocupações de segurança são reforçadas por estudos internacionais. O white‑paper Navigating the security landscape of generative AI, da Amazon Web Services (AWS), observa que os modelos generativos estão remodelando o gerenciamento de dados, mas ampliam riscos de segurança e introduzem novos vetores de ataque, como estouro de janelas de contexto e injeções de prompt. Esses sistemas devem ser mantidos sob os mesmos padrões de conformidade e regulamentação que outras tecnologias, e as organizações que adotarem uma abordagem ágil de segurança estarão melhor posicionadas.

Shadow AI e o risco de vazamentos

A popularização de ferramentas generativas resultou no fenômeno do shadow AI – o uso de aplicações de IA pelos colaboradores sem o conhecimento ou aprovação das equipes de TI e de Governança Corporativa. O blueprint sobre prevenção de vazamento de dados da Microsoft, define shadow AI como o uso de IA por funcionários sem governança e alerta que, se esses riscos não forem abordados, podem ocorrer vazamento de dados sensíveis, descumprimento de regulamentos e danos reputacionais. O documento destaca que o uso indevido de IA fora do ambiente corporativo pode expor informações confidenciais e recomenda detectar o uso de aplicativos de IA, bloquear o acesso a ferramentas não sancionadas, rotular e proteger informações sensíveis e auditar interações. Isso reforça a importância de oferecer canais oficiais de IA com políticas de acesso e monitoramento, em vez de apenas proibir o uso.


Consequências de não conformidade e reputação Além das multas financeiras já citadas, a falta de governança pode resultar em bloqueio de bancos de dados, suspensão das atividades de tratamento ou eliminação de dados. Vazamentos de dados ou uso indevido de IA também afetam a reputação da empresa e podem repercutir em perda de confiança de clientes e parceiros. Para evitar esses danos, é essencial implementar:

  • Inventário e classificação de dados – catalogar os tipos de dados tratados, atribuir níveis de acesso e aplicar rotulagem automatizada de acordo com o grau de sigilo;

  • Rastreabilidade e trilhas de auditoria – registrar quem acessa, altera ou compartilha documentos; sem logs não é possível demonstrar conformidade nem investigar incidentes;

  • Controle de versões e gestão de ciclo de vida – manter versões dos documentos e definir prazos de retenção e eliminação;

  • Gestão de riscos e relatório de impacto (RIPD) – identificar riscos nas operações de tratamento, estabelecer salvaguardas e revisar periodicamente o relatório;

  • Treinamento e cultura de segurança – capacitar as equipes para o tratamento ético de dados e para o uso responsável de IA. Essa ação reduz o risco de shadow AI e outras práticas inseguras.

Conclusão

A conformidade com a LGPD exige mais do que pastas organizadas ou repositórios na nuvem. Os princípios legais da lei destacam privacidade, transparência e responsabilização, e as sanções evidenciam a gravidade das violações. A governança de conteúdo corporativo deve incorporar classificação correta, restrição de acesso, rastreabilidade, controle de versões e políticas claras de tratamento. O mapeamento de dados, a avaliação de riscos e a elaboração de relatórios de impacto são pilares para construir programas de compliance.

Em paralelo, a adoção acelerada de IA e o fenômeno do shadow AI exigem atenção redobrada: os modelos generativos podem misturar dados pessoais e gerar conteúdo sintético que dificulta a transparência, e o uso de IA sem supervisão pode causar vazamentos e multas.

Ao integrar gestão documental e segurança da informação com princípios éticos e de governança, as empresas reduzem riscos, protegem sua reputação e asseguram uma transição responsável para a era da inteligência artificial.


ree

Escrito por Fermin Piccolo

CTO na Arqueum

Especialista com mais de 25 anos de experiência em ajudar empresas a otimizar a governança corporativa e a gestão de documentos por meio da tecnologia.

Conecte-se com ele no LinkedIn






Referências

Lei Geral de Proteção de Dados Pessoais – fundamentos e princípios. https://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm 

Guia de boas práticas Lei Geral de Proteção de Dados (LGPD) https://www.gov.br/governodigital/pt-br/privacidade-e-seguranca/guias/guia_lgpd.pdf 

Conselho Nacional de Justiça – classificação de informações sigilosas e requisitos de restrição de acesso. https://www.cnj.jus.br/wp-content/uploads/2024/12/manual-gestao-documental-pj-2024-ed-3.pdf 

Controladoria-Geral do Estado do Paraná – etapas para implementação da LGPD e importância do mapeamento de dados e da governança. https://www.cge.pr.gov.br/sites/default/arquivos_restritos/files/documento/2021-06/manual_implementacao_lgpd.pdf 

AWS –Navigating the security landscape of generative AI – riscos de segurança e necessidade de padrões de compliance para IA generativa. https://docs.aws.amazon.com/whitepapers/latest/navigating-security-landscape-genai/navigating-security-landscape-genai.html 

 
 
 

Comentários

bottom of page