Os 7 Domínios DSPM que Todo DPO Precisa Entender

DPOs e times jurídicos precisam de uma linguagem comum com times técnicos para defender dados pessoais. Os 7 domínios DSPM fornecem esse mapa — do inventário à resposta a incidentes. Guia prático com perguntas que todo DPO deveria fazer.

9 min de leitura

O DPO tem uma posição única na organização: precisa entender o suficiente de tecnologia para fazer as perguntas certas, mas sua força está na capacidade de traduzir requisitos regulatórios em práticas operacionais.

O problema é que a maioria das conversas entre DPOs e times técnicos opera em idiomas diferentes. O DPO fala em “finalidades de tratamento” e “bases legais”. O time de TI fala em “sistemas”, “APIs” e “permissões de acesso”. O resultado é que controles técnicos existem sem cobrir os riscos que o DPO precisa mitigar — e obrigações regulatórias existem no papel sem suporte técnico real.

Os 7 domínios DSPM resolvem exatamente esse problema. Eles são ao mesmo tempo uma estrutura técnica e uma linguagem comum que DPOs podem usar para fazer as perguntas certas e entender as respostas honestas.

Por que o DPO precisa de uma visão técnica

A LGPD não é apenas uma lei de documentação. O Art. 6º exige que a organização implemente “medidas técnicas e administrativas” para proteger dados pessoais. O Art. 46 especifica que essas medidas devem ser “aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão.”

Isso significa que o DPO não pode se limitar a auditar se as políticas existem. Precisa verificar se as medidas técnicas que as políticas descrevem realmente funcionam.

Sem uma estrutura técnica para se orientar, essa verificação é impossível. Com os 7 domínios DSPM, ela se torna sistemática.

Os 7 domínios — visão geral

DomínioO que cobreRelevância LGPD
DD — Data DiscoveryOnde dados existemArt. 37 (registro de operações)
DC — Data ClassificationO que cada dado éArt. 9 (transparência)
DAG — Access GovernanceQuem pode acessarArt. 46 (medidas de segurança)
DFM — Data FlowPara onde dados vãoArt. 33-36 (transferência internacional)
AIR — AI Data RiskRisco via IA generativaArt. 20 (decisões automatizadas)
DR — Detection & ResponseVelocidade de detecçãoArt. 48 (notificação de incidentes)
CR — ComplianceEvidência regulatóriaArt. 50 (boas práticas)

Cada domínio tem uma pergunta técnica central que o DPO deve ser capaz de responder — não necessariamente com detalhes de implementação, mas com clareza sobre se a capacidade existe.

Domínio 1: Data Discovery (DD) — Onde estão seus dados?

O Art. 37 da LGPD exige que o controlador mantenha o registro das operações de tratamento. Mas registro declarativo (“tratamos dados de clientes no CRM”) é diferente de registro técnico (“esses são todos os repositórios onde dados de clientes existem agora”).

O que o DPO precisa saber:

O inventário de dados da organização é contínuo ou foi um projeto pontual? A descoberta cobre ambientes não estruturados (SharePoint, OneDrive, e-mail) ou apenas bancos de dados formais?

A pergunta técnica certa:

“Se eu pedir hoje uma lista completa de onde dados pessoais de clientes existem, incluindo cópias, backups e ambientes de desenvolvimento, em quanto tempo você consegue?”

O sinal de alerta:

Se a resposta for “em semanas” ou “precisamos fazer um levantamento”, a organização não tem visibilidade real — e qualquer resposta a incidente ou requisição de titular vai ser incompleta.

Domínio 2: Data Classification (DC) — O que cada dado é?

Classificação é o elo entre descoberta e controle. Sem classificação, não há como aplicar controles proporcionais — e a LGPD exige proporcionalidade (princípio da necessidade, Art. 6º, III).

O que o DPO precisa saber:

A classificação é manual ou automatizada? Quão frequentemente é revisada? Ela cobre dados não estruturados (documentos, e-mails, apresentações) ou apenas campos em banco de dados?

A pergunta técnica certa:

“Se um arquivo contendo CPFs de clientes for criado agora em qualquer pasta do SharePoint, em quanto tempo ele seria identificado como dados pessoais sensíveis?”

O sinal de alerta:

Se a resposta for “dependeria de alguém verificar manualmente”, a classificação não está operando como controle — está operando como ilusão de controle.

Conexão LGPD:

A classificação é o que permite demonstrar que dados sensíveis (Art. 11) recebem tratamento diferenciado. Sem ela, o DPO não pode afirmar que dados de saúde, dados biométricos ou dados de crianças estão sendo tratados com proteção adicional.

Domínio 3: Access Governance (DAG) — Quem pode acessar o quê?

O Art. 46 da LGPD exige medidas técnicas que protejam dados de acessos não autorizados. O problema é que “acesso não autorizado” não é apenas o hacker externo — é também o funcionário interno com permissões que foram além do necessário ao longo do tempo.

O que o DPO precisa saber:

A organização tem visibilidade do blast radius de identidades comprometidas? Existem revisões periódicas de permissões com evidência auditável? Service accounts e APIs têm dono definido?

A pergunta técnica certa:

“Se um funcionário do jurídico tiver sua conta comprometida amanhã, quantos dados pessoais de titulares ele poderia acessar antes de ser detectado?”

O sinal de alerta:

Se ninguém souber responder essa pergunta, a organização não tem visibilidade de seu maior risco regulatório: o incidente causado por credencial comprometida com acesso excessivo.

Conexão LGPD:

Um incidente causado por permissões excessivas é mais difícil de defender perante a ANPD do que um incidente causado por uma vulnerabilidade técnica nova. Permissões excessivas são negligência controlável — e o regulador sabe disso.

Domínio 4: Data Flow Mapping (DFM) — Para onde os dados vão?

Os Arts. 33-36 da LGPD regulam a transferência internacional de dados. Mas antes de chegar à transferência internacional, existe um problema mais imediato: a organização sabe para onde seus dados vão internamente?

O que o DPO precisa saber:

Há visibilidade de dados que saem para parceiros, fornecedores e integrações de terceiros? O mapeamento de fluxo está atualizado com as integrações criadas nos últimos 12 meses?

A pergunta técnica certa:

“Se um dado de cliente saísse da organização agora via uma API de um sistema que foi integrado nos últimos 6 meses, você saberia?”

O sinal de alerta:

Se o mapeamento de fluxo não for atualizado automaticamente quando novas integrações são criadas, ele está desatualizado antes mesmo de ser revisado.

Conexão LGPD:

O DPO é responsável por garantir que o RIPD (Relatório de Impacto à Proteção de Dados) para operações de alto risco reflita o fluxo real de dados — não o fluxo documentado em um projeto de mapeamento de 2 anos atrás.

Domínio 5: AI Data Risk (AIR) — O que a IA acessa com esses dados?

Este é o domínio mais novo e o de crescimento mais rápido. O Art. 20 da LGPD, sobre decisões automatizadas, é o ponto de entrada regulatório — mas o risco vai muito além.

O que o DPO precisa saber:

Quais ferramentas de IA generativa estão sendo usadas — aprovadas e não aprovadas (shadow AI)? Dados pessoais entram em modelos de IA externos? O Copilot ou equivalente foi habilitado sem revisão de permissões?

A pergunta técnica certa:

“O Microsoft 365 Copilot já está habilitado ou está sendo avaliado? Se sim, qual foi o processo de revisão de permissões antes da habilitação?”

O sinal de alerta:

Se o Copilot foi habilitado (ou está sendo habilitado) sem uma revisão de Access Governance e Data Discovery, a organização está assumindo risco regulatório significativo. O Copilot herda as permissões do usuário — e se essas permissões são excessivas, o Copilot vai refletir isso.

Ponto de atenção para DPOs: O Art. 20 exige que a organização informe ao titular sobre decisões automatizadas que afetem seus interesses. Mas antes de chegar às decisões, o DPO precisa garantir que dados pessoais não estão sendo processados por modelos de IA sem base legal e sem as garantias técnicas adequadas.

Domínio 6: Detection & Response (DR) — Você saberia se algo errado acontecesse?

O Art. 48 exige notificação à ANPD em prazo razoável após a ciência de um incidente. A palavra-chave é ciência — o prazo começa quando a organização descobre o problema, não quando ele acontece.

O que o DPO precisa saber:

Existe monitoramento comportamental de acesso a dados pessoais? Há alertas configurados para acessos em volume anômalo ou horários incomuns? O processo de notificação à ANPD foi testado?

A pergunta técnica certa:

“Se um funcionário começasse a baixar arquivos com dados pessoais em volume incomum às 23h de uma sexta-feira, quando o time de segurança perceberia?”

O sinal de alerta:

“Em dias” ou “quando os logs forem analisados na segunda” significa que a organização pode passar semanas exposta sem saber — e o prazo de notificação da LGPD começou a correr.

Conexão LGPD:

A ANPD avalia, na instrução de um incidente, não apenas o que aconteceu — mas quanto tempo a organização levou para detectar e responder. Uma detecção rápida com resposta documentada mitiga significativamente a exposição regulatória.

Domínio 7: Compliance (CR) — Você consegue provar?

Este domínio fecha o ciclo. O Art. 50 da LGPD incentiva a adoção de boas práticas e programas de governança. Mas a chave não é ter o programa — é poder demonstrar que ele funciona.

O que o DPO precisa saber:

Em quanto tempo a organização consegue responder a um DSAR (Data Subject Access Request)? Existe um registro técnico auditável de quem acessou quais dados pessoais e quando? O RIPD reflete o estado atual dos sistemas — ou foi feito em 2022?

A pergunta técnica certa:

“Se um titular solicitar acesso a todos os dados que temos sobre ele hoje, em quanto tempo conseguimos responder com completude — incluindo dados em ambientes não estruturados?”

O sinal de alerta:

“Semanas” ou “precisaríamos consultar vários times” indica que a capacidade de resposta a titulares não está operacionalizada — e isso é exatamente o que a ANPD verifica em fiscalizações.

A interdependência dos domínios

Os 7 domínios não funcionam de forma independente. Existe uma cadeia lógica:

DD (descobrir) → DC (classificar) → DAG (controlar acesso)
     ↓                                       ↓
 DFM (mapear fluxo)                    AIR (governar IA)

                              DR (detectar) → CR (demonstrar)

Uma fraqueza no início da cadeia — especialmente em DD — compromete todos os domínios seguintes. Você não pode classificar o que não descobriu. Não pode controlar acesso ao que não classificou. Não pode detectar comportamento anômalo sem saber o que é “normal” para cada tipo de dado.

Por onde o DPO deve começar

Se você precisa priorizar atenção em um domínio, comece por Data Discovery (DD). Sem visibilidade de onde os dados estão, nenhum outro controle pode ser verificado de forma confiável.

A segunda prioridade é Detection & Response (DR) — não porque seja mais fácil, mas porque o prazo de notificação da LGPD começa com a detecção. Sem detecção eficaz, todo o programa de privacidade fica vulnerável no pior momento possível.

O assessment gratuito avalia sua postura nos 7 domínios com 12 perguntas executivas e calcula um score com pesos calibrados para a realidade brasileira. Leva 8 minutos e gera um relatório que você pode usar em conversas com o board ou com times técnicos.

Rafael Martins

Especialista independente em DSPM e segurança de dados. Escreve sobre governança de dados, risco de IA generativa e LGPD sem patrocínio de vendors.

Saber mais →
← Voltar aos artigos