RESPOSTA RÁPIDA: a LGPD (Lei 13.709/2018) exige que controlador e operador mantenham registro das operações de tratamento de dados pessoais (art. 37) e adotem medidas de segurança aptas a proteger esses dados de destruição, perda, alteração ou difusão acidental ou ilícita (art. 46). Nenhuma das duas obrigações se sustenta sem responder a uma pergunta física: EM QUAIS ATIVOS os dados moram? O mapa de dados (RoPA) que aponta sistemas mas ignora servidores locais, notebooks, mídias removíveis, backups, impressoras com disco e equipamentos legados está incompleto — e o elo mais frágil é o descarte: um ativo baixado sem sanitização documentada é um vazamento esperando para ser encontrado.
Existe um descompasso comum nos programas de adequação à LGPD: o mapeamento de dados é feito por entrevistas e questionários sobre sistemas e processos ("usamos o ERP X, o CRM Y, planilhas no drive"), enquanto o parque físico que sustenta tudo isso — e que guarda cópias de tudo isso — fica fora do mapa. O resultado é um RoPA (registro das operações de tratamento, do inglês Records of Processing Activities) que descreve fluxos lógicos com precisão e não sabe dizer quantos notebooks com dados de clientes circulam pela empresa, onde estão os discos das CFTVs, ou o que aconteceu com os servidores trocados na última atualização de infraestrutura. Fechar esse descompasso exige cruzar o mapa de dados com um inventário de ativos de TI físico e atualizado.
O que a LGPD exige: art. 37, art. 46 e a eliminação (art. 16)
Três dispositivos da lei formam o tripé que conecta dados a ativos. O art. 37 determina que o controlador e o operador mantenham registro das operações de tratamento que realizarem — é a base do RoPA, que a ANPD examina em fiscalizações e após incidentes. O art. 46 exige medidas de segurança, técnicas e administrativas, aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão. E o art. 16 determina a eliminação dos dados pessoais após o término do tratamento — eliminação que, no mundo físico, significa sanitizar ou destruir a mídia onde os dados residem, não apenas apagar o registro lógico.
- O registro do art. 37 pede, na prática, que cada operação de tratamento aponte onde os dados ficam armazenados — e "onde" termina sempre num ativo: servidor próprio, equipamento do colaborador, mídia de backup ou infraestrutura de terceiro (nuvem, operador).
- As medidas do art. 46 são avaliadas pela ANPD em conjunto com o art. 49 (sistemas estruturados para atender aos requisitos de segurança) — proteção que pressupõe saber quais equipamentos existem, onde estão e quem responde por eles.
- Em caso de incidente com risco relevante, o art. 48 obriga a comunicação à ANPD e ao titular — e a Resolução CD/ANPD nº 15/2024 disciplina prazos e conteúdo dessa comunicação. Um notebook perdido ou um disco descartado sem sanitização é exatamente o tipo de evento que dispara essa análise.
- As sanções do art. 52 chegam a 2% do faturamento, limitadas a R$ 50 milhões por infração, além de multa diária, publicização da infração, bloqueio e eliminação dos dados envolvidos.
Por que o mapa de dados depende do mapa de ATIVOS
Dados pessoais não flutuam: cada registro vive em ao menos um suporte físico, e geralmente em vários ao mesmo tempo (produção, réplica, backup, cópia local, impressão digitalizada). O inventário de ativos é o que dá materialidade ao RoPA. A tabela abaixo mostra onde os programas de adequação costumam ter pontos cegos.
| Classe de ativo | Dados pessoais típicos | Ponto cego comum |
|---|---|---|
| Servidores locais e storage | Bases de clientes, RH, financeiro, logs | Réplicas e ambientes de homologação com dados reais fora do mapa |
| Notebooks e desktops | Planilhas locais, downloads, caches de e-mail | Equipamento de ex-colaborador não devolvido ou não formatado |
| Mídias removíveis e backups (HDs externos, fitas, pendrives) | Cópias integrais de bases históricas | Fitas antigas em armários, sem inventário nem prazo de retenção |
| Impressoras multifuncionais e scanners | Disco interno com cópia de tudo que foi impresso/digitalizado | Devolução ao final do leasing sem sanitização do disco |
| Sistemas e equipamentos legados | Bases descontinuadas com dados de ex-clientes | Servidor "desligado mas não baixado", esquecido no rack |
| CFTV, controle de acesso e telefonia | Imagem, biometria, gravações — dados pessoais e sensíveis | DVRs e controladoras tratados como "instalação", não como ativo de dados |
| Dispositivos fora do controle formal (shadow IT/BYOD) | Dados corporativos em conta e equipamento pessoais | Nem o ativo nem o dado constam de qualquer registro |
A última linha merece atenção própria: equipamentos e serviços contratados fora da TI — o shadow IT e os dispositivos BYOD — carregam dados pessoais sem constar de nenhum registro, o que torna o art. 37 impossível de cumprir integralmente sem uma descoberta física que os traga à luz.
Descarte seguro e baixa de ativos: o vazamento que sai pela porta dos fundos
O momento de maior risco na vida de um ativo de dados é a saída: venda de usados, doação, devolução de leasing, descarte ambiental, sucata. Se a mídia não foi sanitizada (wipe certificado, desmagnetização ou destruição física) antes de o equipamento cruzar a porta, os dados saem junto — e o controlador continua respondendo por eles. O caso internacional mais citado é o da Morgan Stanley, que pagou dezenas de milhões de dólares em multa e acordos nos EUA depois que servidores e discos desativados de data centers foram vendidos sem sanitização, com dados de milhões de clientes a bordo. O mecanismo do erro é universal e mora na gestão de ativos: a baixa foi tratada como evento logístico/contábil, sem amarração com a destruição dos dados.
No regime da LGPD, o mesmo enredo expõe a empresa ao art. 46 (a difusão ilícita decorre da falha de medida de segurança no descarte), ao art. 48 (dever de comunicar o incidente à ANPD e aos titulares) e às sanções do art. 52. A defesa é processual e documental: a baixa patrimonial e a sanitização precisam ser um fluxo único, em que nenhum ativo com mídia é alienado sem certificado de destruição de dados vinculado ao seu número de patrimônio. É a mesma disciplina de inventário de ativos fixos que sustenta o contábil — baixas documentadas, com evidência — aplicada com um requisito adicional de segurança da informação.
- Todo ativo com capacidade de armazenamento (incluindo impressoras, DVRs e telefones) deve ter o campo "contém mídia?" no inventário — é ele que dispara o fluxo de sanitização na baixa.
- O certificado de sanitização/destruição deve referenciar o identificador único do ativo (etiqueta/patrimônio) e o método utilizado, e ficar arquivado com o termo de baixa.
- Devoluções de leasing e garantias merecem o mesmo rigor: o equipamento sai temporária ou definitivamente com a mídia dentro.
- Estoques de "aguardando descarte" são área de risco máximo: equipamentos com dados, sem dono, em sala destrancada — inventarie e trate como cofre, não como sucata.
O ângulo ANPD: fiscalização e o que ela enxerga
A ANPD já saiu da fase pedagógica: tem regulamento de dosimetria de sanções (Resolução CD/ANPD nº 4/2023), regulamento de comunicação de incidentes (Resolução CD/ANPD nº 15/2024), aplicou as primeiras multas e mantém ciclos públicos de fiscalização. Quando um incidente é comunicado — ou denunciado —, a autoridade pergunta pelo registro das operações, pelas medidas de segurança adotadas e pela cadeia de eventos do incidente. Um inventário físico atualizado, com atribuição de responsáveis e trilha de baixas, transforma a resposta de "estamos levantando" em evidência objetiva: qual equipamento era, o que continha, quem respondia por ele, quando foi visto pela última vez, como foi descartado. A diferença entre essas duas respostas pesa na dosimetria — o art. 52, §1º considera a adoção de boas práticas e a pronta adoção de medidas corretivas como atenuantes.
Inventário físico como base do RoPA: como ligar as duas pontas
Roteiro para ancorar o mapa de dados no mapa de ativos
- 1Execute um inventário físico in loco do parque de TI — item a item, com etiqueta, localização, responsável e o campo "contém mídia/dados?" — incluindo estoque, legado e equipamentos desligados.
- 2Concilie com o discovery lógico e com o imobilizado contábil: divergências (fantasmas, não registrados) são os primeiros candidatos a dados órfãos.
- 3Cruze cada operação de tratamento do RoPA com os ativos que a suportam: produção, réplicas, backups, endpoints e cópias físicas — o RoPA ganha uma coluna de "ativos/suportes".
- 4Classifique os ativos por criticidade de dados (com a equipe de privacidade/DPO) e priorize controles do art. 46 nos de maior risco.
- 5Implante o fluxo de baixa com sanitização certificada por ativo, integrado à baixa patrimonial.
- 6Estabeleça verificação periódica (contagem cíclica) para que o mapa não envelheça — RoPA de adequação que nunca mais foi revisado é apontamento clássico em fiscalização.
Um esclarecimento de papéis: a adequação jurídica à LGPD — bases legais, políticas, atuação do DPO/encarregado — é trabalho do seu time de privacidade e jurídico. O que a CPCON entrega é a camada física dessa adequação: o inventário, a etiquetagem, a conciliação e a trilha de baixas que dão ao RoPA e às medidas de segurança a materialidade que a fiscalização cobra.
Seu RoPA sabe em quais ativos os dados moram?
A CPCON executa o inventário físico do seu parque de TI — incluindo mídias, legado e equipamentos aguardando descarte — e devolve a base conciliada que ancora o registro de operações e o descarte seguro exigidos pela LGPD. São 30 anos e mais de 4.500 projetos de inventário e auditoria de ativos gerando evidência de campo.
Solicitar Diagnóstico do Parque de TIInventário físico in loco · Campo "contém mídia" por ativo · Trilha de baixas com sanitização
Perguntas Frequentes
O que é o RoPA exigido pelo art. 37 da LGPD?
O que o art. 46 da LGPD tem a ver com inventário de ativos?
Descartar um computador antigo pode gerar violação da LGPD?
Quais ativos físicos costumam guardar dados pessoais além dos servidores?
Quais são as sanções da LGPD por falha de segurança em ativos?
A CPCON faz a adequação jurídica à LGPD?
Artigos Relacionados
Shadow IT e BYOD: o Inventário que Sua Empresa Não Sabe que Tem
Ler artigo
ISO 27001: o Controle A.5.9 (Inventário de Ativos) na Prática
Ler artigo
SOC 2 e Gestão de Ativos: as Evidências que o Auditor Vai Pedir
SOC 2 virou pedágio comercial: SaaS, BPOs, fintechs e qualquer empresa brasileira que processa dados de clientes americanos ou globais mais cedo ou mais tarde recebe o questionário de due diligence perguntando "vocês têm SOC 2?". E quando o exame começa, uma das primeiras solicitações do auditor é o inventário de ativos — porque sem ele não há como delimitar o sistema examinado nem testar os controles de acesso, movimentação e descarte. Este guia mostra onde a gestão de ativos entra nos Trust Services Criteria, as evidências tipicamente solicitadas e a diferença prática entre Type I e Type II.
Ler artigo
Ativos Fantasmas: Como Identificar e Eliminar
Ler artigo
Controle Patrimonial: Guia Definitivo
Ler artigoEquipe CPCON
Consultoria Patrimonial | Grupo CPCON
A equipe técnica da CPCON Brasil (grupocpcon.com) executa inventário físico, etiquetagem e conciliação de ativos de TI e patrimônio há 30 anos, com mais de 4.500 projetos no Brasil e no exterior — gerando a evidência de campo que auditorias de segurança da informação e auditorias contábeis examinam.
Nota de transparência: Este artigo reflete a experiência prática da equipe CPCON. Recomendamos validar decisões contábeis e fiscais com seu auditor ou contador responsável.
Precisa de Apoio Especializado?
30 anos de história e 4.500 projetos realizados a serviço da sua empresa.