Como este tema funciona na sua empresa
Dados estão dispersos — planilhas, sistemas legados, cloud. Governança de dados é praticamente inexistente. O desafio é saber onde estão dados críticos e protegê-los. Abordagem: inventário simples de dados críticos (cliente, financeiro), backup e segurança básica, classificação inicial (público versus confidencial).
Algumas plataformas de dados (data warehouse, BI). Governança começa a ser necessária — qual é a fonte de verdade, quem tem acesso a quê. O desafio é qualidade de dados e conformidade. Abordagem: catalogação de dados, políticas de acesso por área, responsável por dados, integração com LGPD.
Programas avançados de dados (big data, analytics, AI/ML). Chief Data Officer estrutura programa formal. O desafio é integração entre múltiplas plataformas, conformidade com regulação. Abordagem: Data Governance Office, framework DAMA, integração com GRC, automação de compliance.
Governança de dados é o conjunto de políticas, processos e responsabilidades que garante que dados sejam precisos, seguros, acessáveis apenas para quem deve e protegidos conforme lei. Governança de dados é uma responsabilidade-chave de TI, junto com negócio e compliance — não é apenas assunto de data scientists.
Por que governança de dados é responsabilidade de TI
Governança de dados é frequentemente vista como nicho de analistas ou data officers, não de TI. Na prática, a maioria dos requisitos de governança de dados — segurança, acesso, backup, conformidade — são responsabilidade de TI.
TI precisa garantir: dados estão onde devem estar (localização, replicação), estão seguros (criptografia, controle de acesso), estão protegidos (backup, recuperação), não são expostos (auditoria de acesso), e cumprem lei (LGPD, regulação setorial). Quando dados vão para a nuvem, TI estrutura contrato com cláusulas de segurança. Quando usuário pede "esquecimento" de dados (direito LGPD), TI executa a deleção conforme sistema.
O framework DAMA (Data Management Body of Knowledge) posiciona TI como responsável por infraestrutura, integrações, segurança e conformidade técnica — a base que permite que dados sejam usados com segurança[1].
Componentes principais de governança de dados
Governança de dados cobre cinco áreas: qualidade, segurança, privacidade, acesso e conformidade. Cada uma tem implicações distintas para TI.
Qualidade de dados: o básico é saber onde estão
Qualidade de dados significa que dado está correto, completo e consistente. Um cliente com endereço em branco não pode receber entrega. Um CPF com formato errado não passa em validação. Dados ruins custam operação e afastam cliente.
O primeiro passo de qualidade é catalogação: saber onde estão todos os dados críticos, qual é a fonte (onde entra), quem alimenta, qual é a frequência de atualização. Muitas empresas têm cliente registrado em múltiplos sistemas com dados diferentes — banco com uma versão, ERP com outra. Catalogação identifica essas inconsistências.
Catalogação simples: "Cliente em CRM, financeiro em planilha, operações em outro sistema". Validação básica em entrada (formato CPF, e-mail).
Catálogo formal: quais campos, qual é a fonte de verdade, qual é o SLA de atualização. Validações em tempo real. Responsável por dados por área (financeiro, operações).
Data lake ou warehouse como fonte central. Catálogo de dados automatizado (ferramentas como Collibra, Alation). Métricas de qualidade (% de completude, acurácia).
Segurança de dados: acesso controlado e criptografia
Segurança de dados responde: quem pode acessar quais dados? E dados em trânsito (indo de um lugar para outro) e em repouso (armazenado) estão criptografados?
Controle de acesso começa com política: gerente de vendas acessa dados de cliente e contrato, não dados de fábrica. Financeiro acessa número de nota, não senha de cliente. O risco é que sem política, alguém copia base de cliente inteira para analisar em planilha desprotegida.
Criptografia protege dado se alguém tiver acesso à base de dados fisicamente ou por vazamento. Dado criptografado sem chave não serve de nada — mesmo que alguém cópia a base, não consegue ler informação sensível.
Privacidade e LGPD: direito do titular sempre vem primeiro
LGPD (Lei Geral de Proteção de Dados) é lei que governa como dados pessoais são coletados, armazenados, compartilhados e deletados. TI é responsável técnica por executar direitos do titular.
Principais direitos: acesso (titular pede para ver quais dados você tem dele), retificação (corrigir dado incorreto), esquecimento (deletar dado), portabilidade (receber dados em formato portável). TI deve ter processo para atender cada um rapidamente — não é manual em planilha, é automático em sistema.
Conformidade: cumpra regulação setorial além de LGPD
Além de LGPD, há regulação setorial: banco segue regulação BACEN, hospital segue ANVISA, educação segue MEC. Cada uma tem requisitos de dados distintos.
Conformidade é contínua: auditoria interna regularmente (é assim que está documentado? Está operando assim?), auditoria externa (regulador verifica), e documentação de evidência (se for auditado, consegue provar que cumpre).
Classificação de dados: quem tem acesso a quê
Classificação é etiquetá-lo dado conforme sensibilidade. Simples começa com público/confidencial. Sofisticado segue critério por tipo e contexto.
Classificação por porte:
Público (qualquer um vê) vs. Confidencial (restrição acesso). Implementa via pasta compartilhada com permissão ou sistema de permissão básico.
Público, Confidencial, Restrito. Critério de risco: cliente é restrito, operação é confidencial, marketing é público.
Classificação granular por tipo de dado e contexto. Automação de política (role-based access control — quem tem cargo X acessa automático apenas Y).
Papéis: quem é responsável por cada parte
Governança de dados é compartilhada: Chief Data Officer (estratégia), Data Steward (proprietário de área), Data Manager (execução operacional em TI).
Na prática: CDO define política, Data Steward (gerente de comercial, financeiro, etc.) diz qual é o dado crítico da sua área, TI implementa segurança e backup. Sem clareza de papéis, ninguém é responsável e governança não funciona.
Ciclo de vida de dados: criação até destruição
Dado tem ciclo: criação (quando entra), armazenamento (onde fica), processamento (quem acessa), compartilhamento (para quem sai), e destruição (quando deletá-lo).
Destruição é importante: LGPD exige que dado sensível seja deletado quando não é mais necessário. Armazenar para sempre é risco desnecessário. Contrato com cliente pode ter cláusula de retenção — "guardar backup por 7 anos" — mas depois disso, deletar.
Documentar o ciclo é essencial: se for auditado, precisa provar que backup foi deletado conforme prazo, não está pendurado em servidor esquecido.
Integração com LGPD: dados pessoais têm proteção especial
Dados pessoais (qualquer informação que identifica pessoa — nome, CPF, e-mail) têm proteção especial sob LGPD. Dados sensíveis (raça, orientação sexual, dados médicos) têm proteção ainda maior.
LGPD exige: consentimento claro (pessoa sabe que você tem dado dela), segurança apropriada (criptografia, backup), e acesso rápido a direitos (esquecimento, portabilidade, acesso). Não é opcional — é lei.
Sinais de que sua empresa precisa estruturar governança de dados
Se você se reconhece em três ou mais cenários abaixo, governança de dados deve ser prioridade.
- Não consegue dizer com certeza onde estão seus dados de cliente ou financeiro críticos
- Acesso a dados é manual — alguém precisa criar conta, TI nega acesso depois informalmente
- Dados aparecem em versões diferentes em sistemas diferentes — "qual é a fonte de verdade?"
- Nunca deletou dado de cliente que pediu esquecimento; não sabe como fazer
- Backup não é testado; não sabe se conseguiria recuperar dados se houvesse incidente
- Não tem documentação de qual informação é confidencial e qual é pública
- Auditoria externa achou vulnerabilidades em acesso a dados — "acesso muito amplo, sem controle"
Caminhos para implementar governança de dados
Governança de dados pode começar internamente com TI e negócio, ou com apoio de consultoria especializada.
Viável quando empresa tem arquiteto de dados ou engenheiro experiente em segurança de dados.
- Perfil necessário: engenheiro de dados ou especialista em segurança da informação com visão de governança
- Tempo estimado: 3 a 6 meses para implementar catalogação e políticas básicas
- Faz sentido quando: empresa tem capacidade interna, começar pequeno e evoluir
- Risco principal: sem visão externa, política pode ficar muito técnica ou mal alinhada com negócio
Indicado para empresa que precisa maturidade rápida ou está em setor regulado.
- Tipo de fornecedor: Consultoria de dados ou especialista em LGPD e conformidade
- Vantagem: experiência em padrões, integração com conformidade, aceleração de implementação
- Faz sentido quando: empresa está em setor regulado ou foi auditada por falta de controle
- Resultado típico: em 2 a 4 meses, catalogação inicial, política de dados, roadmap de maturidade
Precisa estruturar governança de dados?
Se governança de dados é prioridade, o oHub conecta você gratuitamente a consultorias de dados e especialistas em LGPD. Em menos de 3 minutos, você descreve sua necessidade e recebe propostas personalizadas, sem compromisso.
Encontrar fornecedores de TI no oHub
Sem custo, sem compromisso. Você recebe propostas e decide se e com quem avançar.
Perguntas frequentes
O que é governança de dados?
Governança de dados é conjunto de políticas que garantem que dado é seguro, acessível apenas para quem deve, e protegido conforme lei. Inclui: saber onde dados estão, quem tem acesso, como são protegidos, e como cumprir direitos do titular (LGPD).
Qual é a diferença entre governança de dados e data governance?
Governança de dados é política e processo (como proteger). Data governance é prática analítica (como usar dados para análise). Ambas são importantes — governança de dados é base (segurança, conformidade), data governance é o que você constrói em cima.
Como implementar governança de dados?
Comece simples: 1) inventário de dados críticos (onde estão?), 2) classificação (quem pode acessar), 3) segurança básica (criptografia, backup), 4) política de acesso (papel X acessa Y), 5) documentação de compliance (LGPD, regulação). Evolua conforme empresa cresce.
Governança de dados é responsabilidade de TI ou do negócio?
Ambos. Negócio define o que é crítico e qual é a política. TI implementa segurança, acesso, backup e cumpre direitos. Sem TI, não há implementação. Sem negócio, política não reflete realidade.
Como integrar governança de dados com LGPD?
LGPD exige que dados pessoais sejam protegidos (criptografia, acesso restrito), direitos de titular sejam atendidos (esquecimento, portabilidade, acesso), e conformidade seja documentada (auditoria). Governança de dados estrutura isso — políticas de retenção, acesso, backup.
Quais são os principais componentes de governança de dados?
Qualidade (saber onde dados estão), segurança (controle de acesso, criptografia), privacidade (LGPD), conformidade (regulação setorial), e ciclo de vida (criação, armazenamento, destruição). Todos cinco são necessários para governança eficaz.