Inventário de Dados Pessoais: Passo a Passo com Modelo
O inventário de dados pessoais é o primeiro passo — e talvez o mais importante — para qualquer programa de conformidade com a LGPD. Sem ele, sua organização não sabe quais dados trata, por que trata, onde estão armazenados e quem tem acesso.
Neste guia, vamos percorrer todas as etapas para construir um inventário completo e funcional.
Por que o inventário é obrigatório?
A LGPD (Lei 13.709/2018) exige que controladores e operadores mantenham registro das operações de tratamento de dados pessoais (Art. 37). Este registro — também chamado de ROPA (Record of Processing Activities) — é o documento base para:
- Atender pedidos dos titulares (Art. 18): como informar quais dados você tem se não sabe onde estão?
- Elaborar o RIPD (Art. 38): o Relatório de Impacto exige conhecer as atividades de tratamento
- Responder à ANPD: em caso de fiscalização, o inventário é a primeira coisa solicitada
- Gerenciar riscos: você não pode proteger o que não conhece
Etapa 1: Defina o escopo e a equipe
Antes de sair mapeando, defina:
- Escopo: toda a organização ou um departamento/processo específico?
- Equipe: quem participará? O DPO lidera, mas precisa de representantes de cada área
- Cronograma: defina prazos realistas — organizações grandes podem levar semanas
- Ferramenta: planilha, sistema dedicado ou formulários? (Spoiler: planilhas não escalam)
Dica prática
Comece por um departamento piloto — geralmente RH ou Marketing, que tratam muitos dados pessoais e são fáceis de mapear. O aprendizado desse piloto acelera o restante.
Etapa 2: Identifique as atividades de tratamento
Uma atividade de tratamento é qualquer operação realizada com dados pessoais: coleta, armazenamento, compartilhamento, exclusão, etc.
Para cada atividade, registre:
| Campo | Exemplo |
|---|---|
| Nome da atividade | Cadastro de funcionários |
| Departamento responsável | Recursos Humanos |
| Finalidade | Gestão de contratos de trabalho |
| Base legal | Execução de contrato (Art. 7º, V) |
| Categorias de dados | Nome, CPF, endereço, dados bancários |
| Dados sensíveis? | Sim (saúde — atestados médicos) |
| Categorias de titulares | Funcionários |
| Fonte dos dados | Coleta direta (formulário de admissão) |
| Compartilhamento | Contabilidade terceirizada, e-Social |
| Transferência internacional? | Não |
| Prazo de retenção | 5 anos após desligamento |
| Medidas de segurança | Controle de acesso, criptografia |
Etapa 3: Mapeie o fluxo de dados
Para cada atividade, desenhe o fluxo completo dos dados:
Coleta → Armazenamento → Processamento → Compartilhamento → Retenção → Eliminação
Isso ajuda a identificar:
- Pontos de coleta: formulários, APIs, uploads, integrações
- Armazenamentos: bancos de dados, drives, emails, papel
- Compartilhamentos: fornecedores, parceiros, órgãos públicos
- Riscos: dados em trânsito sem criptografia, cópias não autorizadas
Etapa 4: Avalie riscos e gaps
Com o inventário mapeado, identifique:
- Atividades sem base legal: tratamento que não se enquadra em nenhuma das 10 bases do Art. 7º
- Dados excessivos: você precisa de todos os dados que coleta? (Princípio da necessidade)
- Retenção indefinida: dados mantidos "para sempre" sem justificativa
- Compartilhamentos desnecessários: fornecedores que recebem mais dados do que precisam
- Medidas de segurança insuficientes: dados sensíveis sem criptografia ou controle de acesso
Etapa 5: Mantenha o inventário vivo
O inventário não é um documento estático. Ele precisa ser atualizado sempre que:
- Uma nova atividade de tratamento for criada
- Um processo existente mudar
- Um novo fornecedor for contratado
- Uma base legal for alterada
- Uma reclamação de titular revelar algo não mapeado
Frequência recomendada
- Revisão completa: a cada 6-12 meses (idealmente vinculada aos ciclos de auditoria)
- Atualizações pontuais: sempre que houver mudança em processos
- Validação com áreas: trimestralmente, com os responsáveis de cada departamento
Ferramentas para o inventário
Planilha vs. Sistema dedicado
| Aspecto | Planilha | Sistema dedicado |
|---|---|---|
| Custo inicial | Baixo | Moderado |
| Escalabilidade | Limitada | Alta |
| Colaboração | Conflitos de versão | Tempo real |
| Versionamento | Manual | Automático |
| Relatórios | Manuais | Automáticos |
| Vinculação com RIPD | Manual | Integrado |
| Rastreabilidade | Nenhuma | Completa |
Para organizações com mais de 20 atividades de tratamento, um sistema dedicado como o Confidata economiza tempo e reduz riscos de erro.
Conclusão
O inventário de dados pessoais é a fundação de todo o programa de conformidade LGPD. Sem ele, sua organização opera às cegas — sem saber quais dados tem, onde estão e quem acessa.
Comece pequeno (um departamento piloto), use uma metodologia estruturada e mantenha o inventário sempre atualizado. A ANPD fiscaliza, e o inventário é o primeiro documento solicitado.
Precisa de ajuda para mapear os dados pessoais da sua organização? O Confidata automatiza todo o processo de inventário com assessments guiados e IA embarcada. Conheça a plataforma.
Artigos relacionados
Quer ir além? Conheça o Confidata
Sistema completo de gestão de conformidade LGPD com IA integrada para acelerar seu programa de privacidade.