Governança de dados e informação

Por que o gestor administrativo é protagonista na governança de dados

Governança de dados é frequentemente tratada como tema de TI ou de LGPD — e por isso acaba ficando sem dono no nível administrativo. O erro é de diagnóstico: quem administra os dados mais críticos da empresa é o gestor administrativo, não o gestor de TI.

O gestor administrativo gerencia, direta ou indiretamente, os seguintes conjuntos de dados: registros financeiros (contas a pagar e a receber, lançamentos contábeis, extratos), dados de fornecedores (cadastro, contratos, histórico de transações), dados fiscais (notas fiscais, apurações, obrigações acessórias), dados de colaboradores (folha, benefícios, documentos), e dados contratuais (contratos de serviço, locação, prestação).

Cada um desses conjuntos tem dois riscos: o risco de qualidade (dado errado gera decisão errada, pagamento incorreto, reporte financeiro distorcido) e o risco de segurança (dado acessado ou alterado por quem não deveria). A governança de dados é a resposta estruturada a esses dois riscos — e é responsabilidade do gestor que administra esses dados, não apenas da TI que os armazena.

Os quatro pilares práticos da governança de dados administrativa

A governança de dados, na perspectiva administrativa, se organiza em quatro pilares que o gestor pode estruturar independentemente de ter um sistema sofisticado ou uma equipe de TI dedicada.

1. Qualidade: os dados devem ser corretos e atualizados — o cadastro de fornecedores reflete os fornecedores ativos com dados bancários corretos; os lançamentos do ERP correspondem às notas fiscais reais; as informações de colaboradores estão atualizadas e consistentes com o RH. A qualidade do dado é responsabilidade de quem o origina e de quem o revisa — ambos são do time administrativo.
2. Acesso: cada dado deve ser acessível para quem precisa e protegido de quem não precisa. Acesso excessivo cria risco de vazamento ou manipulação indevida; acesso insuficiente cria ineficiência e dependência de uma única pessoa. O controle de acesso baseado em função (quem tem a função X precisa dos dados Y) é o modelo mais eficiente.
3. Segurança: proteção contra perda, roubo, vazamento ou alteração não autorizada dos dados. Para o gestor administrativo, segurança de dados começa pelo backup periódico e vai até o controle de quem pode alterar registros financeiros no sistema.
4. Retenção: por quanto tempo cada tipo de dado deve ser guardado, onde armazenar, e como descartar com segurança quando o prazo expira. O prazo de retenção de documentos fiscais e trabalhistas é definido por lei — o gestor administrativo precisa conhecer esses prazos para não descartar prematuramente nem acumular desnecessariamente.

Diferença entre governança de dados e LGPD

A distinção entre governança de dados e LGPD é importante para o gestor entender o escopo do que é sua responsabilidade e onde se inicia o tema jurídico que requer suporte especializado.

LGPD (Lei nº 13.709/2018) regula o tratamento de dados pessoais — dados que identificam ou podem identificar uma pessoa natural. Impõe obrigações sobre como coletar, usar, armazenar, compartilhar e descartar dados pessoais de clientes, colaboradores e fornecedores pessoas físicas. Tem foco jurídico e regulatório: requer base legal para cada tratamento, direitos dos titulares, registro das operações de tratamento e, em alguns casos, a designação de um DPO (Data Protection Officer).

Governança de dados cobre todos os dados da empresa — financeiros, operacionais, estratégicos, além dos pessoais. Tem foco operacional e de controle: garante que os dados são precisos, íntegros, seguros e acessíveis para quem precisa. A LGPD exige que a empresa governe bem os dados pessoais — a governança de dados é o meio para isso, mas vai além.

Na prática: o gestor administrativo é responsável pela governança de dados no sentido operacional (qualidade, acesso, segurança, retenção). A conformidade com a LGPD nos dados pessoais exige suporte jurídico adicional — mapeamento das operações de tratamento, base legal, política de privacidade, resposta a titulares. O gestor não substitui o DPO ou o advogado de privacidade — mas precisa operar os controles que tornam a conformidade possível.

Controles práticos de acesso a dados administrativos

O controle de acesso é onde a governança de dados mais frequentemente falha em empresas de pequeno e médio porte — não por falta de intenção, mas por falta de processo. O colaborador que saiu ainda tem acesso ao sistema financeiro; o analista que mudou de função ainda tem os perfis da função anterior; a planilha com dados bancários dos fornecedores está em pasta compartilhada com o time inteiro.

1. Perfis de sistema revisados periodicamente: ao menos uma vez por ano, o gestor administrativo revisa quem tem acesso a cada sistema crítico (ERP financeiro, sistema de folha, sistema de contratos) e verifica se os perfis ainda correspondem às funções atuais.
2. Revogação de acesso ao desligamento: no mesmo dia em que um colaborador é desligado, seus acessos são revogados. Esse processo deve estar no checklist de desligamento — não depender da memória de ninguém.
3. Revisão ao mudar de função: quando um colaborador muda de função, os acessos da função anterior são revisados e, quando não mais necessários, removidos. Acesso acumulado de funções passadas é uma das vulnerabilidades mais frequentes.
4. Senha individual e não compartilhada: senhas compartilhadas entre colaboradores eliminam o rastro de auditoria — não é possível saber quem fez o quê. Cada usuário deve ter credencial própria.
5. Log de acesso para dados sensíveis: para os dados mais críticos (dados bancários de fornecedores, folha de pagamento, contratos de alto valor), o sistema deve registrar quem acessou, quando e o que fez. O gestor administrativo revisa esse log periodicamente.

Qualidade de dados: quem é responsável e como manter

Dado de baixa qualidade gera decisão errada. Um cadastro de fornecedor com conta bancária desatualizada gera pagamento devolvido — e o retrabalho de reprocessar. Uma nota fiscal lançada com valor errado distorce o resultado financeiro do mês. Um contrato arquivado sem a versão final assinada cria insegurança jurídica.

O conceito de data owner — responsável por cada conjunto de dados — resolve o problema de quem mantém a qualidade. Para o gestor administrativo, os data owners mais relevantes são:

Backup e recuperação: responsabilidade administrativa, não só de TI

Backup é frequentemente delegado à TI como responsabilidade exclusiva — mas o gestor administrativo precisa garantir que os dados que ele administra estão cobertos pelo backup, e que a recuperação funciona de verdade. Backup que nunca foi testado não é backup — é esperança.

O gestor administrativo deve saber responder a quatro perguntas sobre os dados críticos que administra:

1. O que está coberto pelo backup? Os arquivos financeiros, os contratos, as notas fiscais digitais, os registros do ERP — todos precisam estar no escopo do backup. Dado que existe apenas na memória de um colaborador ou em um pendrive pessoal não está no backup.
2. Com que frequência o backup é feito? Dados financeiros que mudam diariamente precisam de backup diário. Contratos arquivados podem ter frequência menor. A frequência define a exposição máxima em caso de perda — se o backup é semanal e o sistema falha na quinta-feira, os dados dos últimos sete dias estão em risco.
3. Onde o backup está armazenado? Backup no mesmo servidor que os dados originais não protege contra falha do servidor ou sinistro físico. O backup precisa estar em local diferente — nuvem, servidor externo, mídia física fora do local.
4. O backup já foi testado? Testar a recuperação de dados do backup — pelo menos anualmente — é a única forma de confirmar que o backup funciona. Um backup corrompido descoberto no momento da necessidade é o pior cenário.