Planilhas não fazem Data Discovery: o mito do mapeamento manual de dados
Durante anos, o mercado tratou o mapeamento de dados pessoais como uma tarefa administrativa. Entrevistas internas, questionários e planilhas viraram o padrão de projetos de LGPD e privacidade. Esse método ainda domina a maioria das organizações no Brasil. O problema é que ele cria uma falsa sensação de controle: planilhas não fazem data discovery. Elas fazem narrativa.
Data discovery, na prática, é a capacidade de localizar automaticamente onde dados pessoais estão armazenados, processados e replicados em toda a organização em bancos estruturados, documentos, e-mails, data lakes, backups, ferramentas SaaS, nuvens públicas e fornecedores terceirizados. Planilhas dependem da memória humana e da boa vontade dos times. E memória não é governança.
Os dados globais, segundo o compilado do Exposed Map, mostram o tamanho do abismo entre o que as empresas acreditam controlar e o que realmente controlam. O relatório global de violações de dados de 2025 analisou mais de 72 mil incidentes e apontou 5,5 bilhões de contas comprometidas em um único ano, com um custo médio de US$4,88 milhões por incidente. Em alguns países, houve um vazamento a cada poucas horas, evidenciando que o problema deixou de ser episódico e se tornou sistêmico.
Uma das principais causas é a falta de visibilidade técnica sobre dados. Estudos recentes, como o do Relatório de Incidentes de Segurança do Banco de Dados da Verizon, indicam que mais de 80% dos vazamentos em nuvem decorrem de falhas básicas de configuração, como permissões excessivas e armazenamento público, problemas que não seriam detectados por inventários manuais. Além disso, quase 40% dos incidentes envolvem comportamentos de descoberta de sistemas ou escalonamento de privilégios, o que significa que o atacante explora justamente a falta de mapeamento e segmentação de dados.
A distância entre o mapeamento manual e a realidade técnica é onde nascem os grandes incidentes. Um cadastro coletado pelo marketing é replicado em CRMs, exportado para planilhas, enviado a parceiros, armazenado em backups, indexado em BI e copiado em ambientes de teste. Em poucos meses, o mesmo dado pessoal existe em dezenas de lugares invisíveis para jurídico e compliance. Nenhuma planilha acompanha esse ciclo com precisão.
A própria LGPD e regulações globais como GDPR partem do pressuposto de que o controlador conhece o ciclo de vida do dado. Princípios como minimização, necessidade, retenção limitada e segurança pressupõem visibilidade técnica contínua. Sem data discovery automatizado, a empresa não sabe o que eliminar, o que anonimizar ou o que proteger com maior rigor. E, se não sabe, não cumpre a lei, mesmo com um inventário elegante em PowerPoint.
Planilhas também não escalam. Ambientes corporativos mudam diariamente: novas integrações, SaaS, APIs, fornecedores, fusões e migrações para nuvem. O mapeamento manual nasce desatualizado e morre irrelevante. Em poucos meses, vira apenas um artefato para auditoria, não uma ferramenta de governança. Há ainda o fator humano. O mapeamento manual depende de entrevistas com áreas internas que frequentemente desconhecem a infraestrutura real de dados. Profissionais de negócio conhecem processos, mas não pipelines técnicos, replicações automáticas ou logs. O resultado é um mapa incompleto, enviesado e otimista demais: exatamente o oposto do que reguladores e investidores esperam.
Ao mesmo tempo, o mercado começa a entender que dados pessoais não são apenas ativos estratégicos, mas passivos regulatórios. Cada cópia não mapeada é um risco jurídico. Cada base desconhecida é um potencial incidente. Cada fornecedor sem controle é uma infração em potencial. Nesse contexto, o mapeamento manual não é apenas insuficiente: ele é perigoso, porque gera a ilusão de segurança.
A maturidade em privacidade nesta década passa por abandonar a planilha como ferramenta de descoberta. Planilhas documentam o que se acredita, não o que existe. Data discovery exige tecnologia, automação, classificação contínua e integração com controles de acesso, retenção e resposta a incidentes. Não é um projeto, é uma infraestrutura permanente.
A frase que as lideranças precisam internalizar é simples: se o seu data mapping depende de planilhas, você não tem data discovery: você tem storytelling. Em um ambiente regulatório cada vez mais rigoroso, storytelling não evita multas, não evita vazamentos e não protege a confiança do cliente. O fato é que a governança de dados deixou de ser um documento. Ela tornou-se um sistema nervoso da economia digital.
Ricardo Maravalhas é fundador e CEO da DPOnet, empresa com mais de 5.000 clientes, que nasceu com o propósito de democratizar, automatizar e simplificar a jornada de conformidade com a LGPD (Lei Geral de Proteção de Dados) por meio de uma plataforma SaaS completa de Gestão de Privacidade, Segurança e Governança de Dados, com serviço de DPO embarcado, atendimento de titulares, que utiliza o conceito de Business Process Outsourcing (BPO) e IA integrada (DPO Artificial Intelligence).