GDA e PDP em Sistemas Existentes (B)

Ponto de vista: SIS — Sistemas em Sustentação

---

O problema específico de sistemas existentes

Sistemas legados frequentemente acumulam dados sem:

• classificação de sensibilidade
• base legal documentada para o tratamento
• políticas de retenção e descarte definidas
• controle de quem acessa e para qual finalidade

Esse passivo de dados é invisível em análises de projetos novos — no SIS, é um risco imediato.

---

Ações obrigatórias por situação

Dados sem classificação — risco imediato

Campos sensíveis descobertos durante análise devem acionar o fluxo de PDP imediatamente, independentemente do modo de atuação adotado.

Situação	Ação obrigatória
Dados pessoais sem base legal documentada	Inventariar no ASR/DIM e acionar PDP imediatamente
Ausência de linhagem de dados	Registrar como risco no IRA e acionar GDA
Dados históricos como insumo de IA	Avaliação prévia de adequação e minimização obrigatória
Campo sensível sem classificação de sensibilidade	Classificar no BRM e acionar PDP
Integração que expõe dado pessoal sem controle	Registrar no DIM como risco e acionar PDP + GTI

---

Dados históricos e IA

Dado antigo não é dado livre

A idade de um dado não elimina a obrigação de base legal para seu tratamento. Dados históricos usados como insumo de IA (grounding, vetorização, treinamento) exigem a mesma avaliação de adequação e minimização que dados novos.

O LKP deve indicar explicitamente:

• se contém dados pessoais (mesmo anonimizados)
• a base legal aplicável
• o nível de sensibilidade classificado pela GDA

---

← Critérios de Modernização · Visão Geral SIS →