Existe uma cena que se repete em quase toda empresa que já atendi — no Brasil, nos Estados Unidos, na Europa. O time de segurança tem as ferramentas. O time jurídico tem as políticas. O time de TI tem os logs. Mas ninguém, absolutamente ninguém, sabe onde estão os dados de verdade. Não os dados do relatório bonito. Os dados reais: os arquivos esquecidos em uma pasta compartilhada, os backups que nunca foram auditados, os registros de clientes que migraram de sistema em sistema por dez anos e hoje existem em três lugares diferentes — sem que ninguém saiba exatamente em qual deles está a informação mais sensível.
Essa cena me incomoda profundamente. Não porque é técnica. Mas porque é humana. É o resultado de anos de decisões tomadas com pressa, sem visibilidade, sem contexto — e agora vivem enterradas em uma infraestrutura que cresce mais rápido do que a capacidade de entendê-la.
Privacidade Não É Compliance. É Arquitetura.
Uma das coisas que mais me custou tempo para entender — e que hoje é o centro do meu trabalho como trainer — é que privacidade não é um formulário que você preenche depois que o dado já existe. Ela precisa estar no projeto. Na escolha de onde o dado vai morar. Em como ele vai ser classificado. Em quem vai ter acesso a ele daqui a dois anos, quando a pessoa que tomou essa decisão original já não estiver mais na empresa.
A LGPD e o GDPR são frequentemente tratados como obstáculos burocráticos. Mas quando você passa anos trabalhando com organizações que sofreram incidentes reais — dados de clientes expostos, multas regulatórias, crises de reputação que não saem nem com press release — você começa a enxergar a regulação de outro ângulo. Ela é um mapa. Um mapa imperfeito, às vezes desatualizado, mas um mapa.
O problema não é a lei ser complexa demais. O problema é que a maioria das empresas ainda trata dado como recurso infinito — coleta tudo, armazena tudo, pensa no risco depois. Nenhuma lei do mundo conserta uma cultura assim.
Privacy by design não é uma metodologia cara ou exclusiva de grandes corporações. É uma forma de pensar. É perguntar, antes de coletar qualquer coisa: por que precisamos disso? por quanto tempo? quem vai acessar? Quando essas perguntas entram no início do processo, a arquitetura de dados muda. O risco diminui. E o compliance vira consequência, não objetivo.
IA Generativa Mudou o Jogo — e a Maioria das Empresas Ainda Não Percebeu
Nos últimos dois anos, o que mais ocupou minhas conversas com equipes técnicas ao redor do mundo foi uma única palavra: IA. E não no sentido aspiracional. No sentido prático, urgente, às vezes assustador.
Modelos de linguagem sendo treinados com dados internos sem consentimento claro. Funcionários colando informações confidenciais de clientes em ferramentas de IA generativa por pura conveniência. Dados estruturados e não-estruturados sendo ingeridos por pipelines de machine learning sem qualquer processo de classificação prévia. Isso está acontecendo agora, em empresas de todos os tamanhos.
A governança de IA não é ficção científica regulatória. É a próxima fronteira real da segurança de dados. E o que aprendi trabalhando com implementações de descoberta e classificação de dados é que você não consegue governar o que não consegue ver. Antes de qualquer política de IA, qualquer framework de governança, qualquer treinamento de conscientização — você precisa saber onde os seus dados sensíveis estão. Sem isso, tudo é decoração.
Quando fundo a DePretoPraPreto, uma marca de ciclismo afro-brasileira, lido com dados dos meus clientes desde o primeiro dia. Endereços. Preferências. Histórico de compras. Sou uma empresa pequena, mas os princípios são os mesmos. Coleto o mínimo. Armazeno com propósito. Penso no risco antes de pensar na conveniência. Não porque tenho medo de multa — mas porque acredito que respeitar dado é respeitar pessoa.
O Que Está em Jogo Não É Técnico
No fundo, segurança de dados é uma questão de confiança. Toda vez que uma empresa coleta um dado sem necessidade, armazena sem critério ou compartilha sem transparência, ela está fazendo uma aposta silenciosa de que ninguém vai perceber. Às vezes ninguém percebe mesmo. Mas quando percebem — e hoje percebem cada vez mais rápido — o custo não é só financeiro.
É reputacional. É relacional. É o tipo de coisa que demora anos para construir e horas para destruir.
Tenho passado muito tempo pensando em como traduzir conceitos de privacidade e governança de dados para equipes que nunca se viram como responsáveis por isso — engenheiros, arquitetos de solução, times de produto. A minha aposta é que quando as pessoas entendem por que isso importa — não só as regras, mas o impacto real de cada decisão sobre dados — algo muda na forma como elas trabalham.
E você? Quando foi a última vez que sua organização parou para perguntar não o que coleta, mas por que ainda guarda o que guarda?