A LGPD (Lei nº 13.709/2018) exige que organizações brasileiras identifiquem e protejam todos os dados pessoais que tratam — e o ServiceNow, com CMDB, ITAM e Discovery, automatiza esse mapeamento, transformando semanas de inventário manual em visibilidade contínua, auditável e alinhada aos requisitos da ANPD.
A Lei Geral de Proteção de Dados impõe às organizações brasileiras a obrigação legal de conhecer, mapear e controlar todos os dados pessoais que tratam. Para a área de TI, essa exigência significa que a visibilidade sobre ativos, sistemas, aplicações e fluxos de dados deixou de ser uma boa prática operacional e passou a ser um requisito regulatório — com risco de sanções de até R$ 50 milhões por infração, conforme o art. 52 da lei, aplicadas pela Autoridade Nacional de Proteção de Dados (ANPD). A conformidade com a LGPD, portanto, não começa no jurídico: começa no inventário de TI.
O que a LGPD exige da área de TI
A LGPD não regula apenas processos jurídicos ou de compliance corporativo. As obrigações operacionais recaem diretamente sobre as equipes de tecnologia, que precisam sustentar:
- Mapeamento de dados pessoais (Data Mapping): identificação de todos os sistemas, bancos de dados e aplicações que coletam, armazenam ou processam dados pessoais, incluindo ambientes legados, SaaS e integrações externas.
- Classificação e inventário contínuo: catalogação de quais tipos de dados são tratados em cada sistema — dados comuns, dados sensíveis (art. 11) e dados de crianças e adolescentes (art. 14), com tratamento diferenciado exigido por lei.
- Controles de acesso: implementação do princípio do menor privilégio em sistemas que processam dados pessoais, com rastreabilidade de acessos e alterações.
- Gestão de incidentes: capacidade de detectar, conter e notificar incidentes com dados pessoais à ANPD dentro do prazo regulatório, em linguagem e formato exigidos pela Resolução CD/ANPD nº 2/2022.
- Atendimento a titulares: infraestrutura para processar solicitações de acesso, correção, portabilidade e exclusão de dados em até 15 dias úteis, conforme art. 19 da LGPD.
- Descarte seguro: processo documentado de sanitização de dados em hardware descomissionado, prevenindo vazamentos em dispositivos que saem do parque.
O denominador comum de todos esses requisitos é o mesmo: saber quais sistemas existem, quais dados cada um processa e onde esses dados trafegam. Sem essa visibilidade de base, nenhuma das obrigações subsequentes pode ser cumprida de forma sustentável ou auditável.
Por que o CMDB é central para o lgpd compliance
O CMDB (Configuration Management Database) é o repositório que mantém o inventário centralizado de todos os itens de configuração (CIs) do ambiente de TI — servidores, aplicações, bancos de dados, dispositivos de rede e as relações entre eles. Para o lgpd compliance, o CMDB cumpre quatro funções estratégicas:
| Função no CMDB | Como suporta a LGPD |
|---|---|
| Inventário de sistemas | Mapeia todos os sistemas que podem processar dados pessoais, incluindo shadow IT descoberto automaticamente |
| Mapeamento de dependências | Identifica fluxos de dados entre aplicações, integrações e APIs — base do Relatório de Impacto (RIPD) |
| Visibilidade contínua | Discovery automático detecta novos sistemas antes que se tornem riscos não mapeados |
| Rastreabilidade de mudanças | Change Management registra alterações em sistemas que processam dados pessoais, criando trilha de auditoria |
Um CMDB bem estruturado — alimentado pelo ServiceNow Discovery com probes e sensors configurados para o ambiente — elimina a dependência de inventários manuais e garante que o mapa de dados da organização se mantenha atualizado de forma automática. Essa precisão contínua é o que diferencia uma organização realmente conforme de uma que apenas documenta a conformidade em planilhas.
Como o ITAM apoia o mapeamento de dados pessoais
A gestão de ativos de TI (ITAM) fornece a camada de dados sobre softwares e dispositivos que processam informações pessoais. Dentro do programa de lgpd compliance, o ITAM — nas disciplinas de SAM (Software Asset Management) e HAM (Hardware Asset Management) — contribui de forma direta:
- SAM: cataloga todos os softwares licenciados ativos, incluindo CRMs, ERPs, sistemas de RH, plataformas de marketing e ferramentas de analytics — as principais fontes de dados pessoais nas organizações. Softwares não autorizados (shadow SaaS) aparecem no inventário e podem ser bloqueados antes de se tornarem vetores de vazamento.
- HAM: rastreia dispositivos físicos — laptops, estações de trabalho, servidores e dispositivos móveis corporativos — que armazenam ou transmitem dados pessoais, incluindo ativos em home office, filiais e ambientes de campo.
- Ciclo de vida e descarte: o processo de offboarding de ativos no ITAM, quando integrado ao CMDB, aciona automaticamente workflows de sanitização e documenta o descarte seguro — evidência exigível em auditorias da ANPD.
A combinação CMDB + ITAM no ServiceNow cria uma visão unificada que vai desde a infraestrutura física até as aplicações e licenças. Essa camada integrada é a base técnica necessária para qualquer programa de lgpd compliance que precise sobreviver a uma auditoria real.
ServiceNow como plataforma de lgpd compliance
O ServiceNow oferece uma arquitetura integrada para sustentar as obrigações operacionais da LGPD sobre uma plataforma única, eliminando a fragmentação típica de múltiplas ferramentas desconectadas — cada uma com seu próprio inventário, inconsistente com os demais:
| Módulo ServiceNow | Aplicação no lgpd compliance |
|---|---|
| Discovery + CMDB | Descoberta automática e mapa de todos os sistemas, aplicações e suas dependências |
| ITAM — SAM + HAM | Inventário completo de softwares e dispositivos que processam dados pessoais |
| GRC / IRM | Framework de riscos e controles para conformidade regulatória contínua, com evidências auditáveis |
| Security Incident Response | Detecção, contenção, notificação e documentação de incidentes com dados pessoais |
| ITSM — Change Management | Controle e rastreabilidade de mudanças em sistemas que processam dados pessoais |
| Integration Hub | Conexão com CRMs, ERPs e sistemas legados para mapeamento automatizado de fluxo de dados |
A vantagem arquitetural central do ServiceNow é o CSDM (Common Service Data Model): os dados de CMDB, ITAM e GRC compartilham o mesmo modelo de dados, eliminando inconsistências entre módulos e garantindo que o inventário de dados pessoais reflita com precisão o estado real do ambiente de produção — não uma fotografia desatualizada de meses atrás.
Roadmap: da descoberta à conformidade contínua
A implementação de lgpd compliance com ServiceNow segue um roadmap estruturado por fases, cada uma construindo sobre a anterior e entregando valor incremental:
| Fase | Objetivo | Módulo primário | Entrega |
|---|---|---|---|
| 1 — Descoberta | Mapear todos os sistemas e ativos do ambiente | Discovery + CMDB | Inventário auditável de todos os CIs |
| 2 — Classificação | Identificar quais sistemas processam dados pessoais | ITAM (SAM) | Data map inicial da organização |
| 3 — Avaliação de risco | Avaliar vulnerabilidades e gaps de controle | GRC / IRM | Matriz de riscos LGPD + RIPD |
| 4 — Controles | Implementar políticas de acesso, retenção e criptografia | Security Operations | Controles documentados e rastreáveis |
| 5 — Conformidade contínua | Monitorar o ambiente e atualizar o inventário automaticamente | Automation + Discovery | Programa de conformidade sustentável |
Riscos para quem não tem visibilidade de ativos
Organizações sem um CMDB maduro ou sem um programa de ITAM estruturado enfrentam desafios recorrentes que comprometem o lgpd compliance antes mesmo de qualquer auditoria formal:
- Sistemas legados e shadow IT que processam dados pessoais sem conhecimento da área de segurança ou do DPO.
- Incapacidade de responder a solicitações de titulares dentro do prazo de 15 dias úteis, pois não há clareza sobre onde os dados residem.
- Vazamentos originados em dispositivos descomissionados sem processo documentado de sanitização.
- Impossibilidade de notificar a ANPD dentro do prazo regulatório em caso de incidente, por ausência de mapa de dados confiável.
- Duplicidade de dados pessoais em múltiplos sistemas não mapeados, dificultando solicitações de exclusão completa.
Esses riscos são, em sua essência, riscos de visibilidade de ativos de TI — e é precisamente essa lacuna que o ServiceNow com CMDB e ITAM estruturado endereça.
Como a 4MATT implementa lgpd compliance com ServiceNow
A 4MATT é ServiceNow Elite Partner no Brasil e vencedora do Technology Excellence Partner Award 2024–2025, com mais de 80 especialistas certificados em ITAM, CMDB, GRC e Security Operations. Nossa abordagem combina diagnóstico de maturidade com implementação orientada a resultado:
- Diagnóstico de maturidade: avaliação do estado atual de CMDB, ITAM e controles de segurança frente aos requisitos da LGPD — identificando gaps de cobertura, sistemas não descobertos e processos sem rastreabilidade.
- Implementação de Discovery e CMDB: construção ou estruturação do inventário de ativos com cobertura automática, eliminando dependência de atualizações manuais e garantindo que o mapa reflita o ambiente real.
- Estruturação do ITAM: implantação de SAM e HAM para visibilidade completa de softwares e dispositivos que processam dados pessoais, com integração nativa ao CMDB.
- Integração com GRC/IRM: framework de riscos alinhado à LGPD, com controles rastreáveis, evidências para auditorias da ANPD e fluxos automatizados de notificação de incidentes.
O resultado é um programa de gestão de ativos de TI que vai além da conformidade regulatória: entrega visibilidade operacional permanente, reduz custos de licenciamento e fortalece a postura de segurança da organização de forma integrada e sustentável.