Seu service desk é provavelmente o ponto de exposição LGPD mais negligenciado da empresa. Cada ticket pode conter CPF, dado de saúde, dado financeiro — e cada atendente tem acesso bruto a tudo isso, geralmente sem trilha de auditoria.
Em 2026 a ANPD intensificou a fiscalização e as multas chegaram a R$ 50 milhões. E o service desk é o caminho mais fácil pro fiscal encontrar não-conformidade: basta pedir o log de quem acessou um ticket com dado sensível. Se a resposta for “não temos esse log”, a conversa muda de tom.
Os 5 controles obrigatórios
1. Logging de acesso a dados sensíveis
Toda visualização de ticket contendo CPF, dado de saúde ou cartão precisa ser auditável: quem viu, quando, de onde. No GLPI, o plugin Audit Logs entrega isso nativo; no OTRS/Znuny, configura-se via histórico estendido.
2. Retenção com prazo definido
Ticket resolvido não pode viver pra sempre no banco. Política de referência: 36 meses e expurgo automatizado — ou o prazo da legislação setorial (saúde e financeiro têm regras próprias). Retenção indefinida é passivo jurídico acumulando juros.
3. Direito de exclusão operacional
Quando o titular pede exclusão, a TI precisa conseguir localizar e apagar os dados de todos os tickets relacionados em 15 dias úteis. Teste hoje: você conseguiria achar todos os tickets com o CPF de uma pessoa? Se a resposta é “manualmente, demorando”, você não tem o controle.
4. Mascaramento de dados em exports
Relatórios e exports pra terceiros (fornecedores, auditoria, BI) precisam mascarar CPF e dados sensíveis. O vazamento clássico não é hacker — é planilha de tickets mandada pra consultoria externa com a coluna de CPF aberta.
5. Gatilho de incidente de dados
Vazamento precisa ser comunicado à ANPD em 2 dias úteis (prazo atualizado em 2026). Seu service desk precisa de um gatilho operacional: categoria “incidente envolve dado pessoal” que dispara o fluxo de resposta — DPO notificado, relógio contando, evidências preservadas.
Teste rápido: sua operação passaria?
- Consegue listar quem acessou um ticket específico nos últimos 90 dias?
- Tem política de retenção documentada E automatizada?
- Acha todos os tickets de um CPF em menos de 1 hora?
- Exports mascaram dados sensíveis por padrão?
- Existe categoria de incidente de dados com fluxo definido?
Menos de 4 “sim” = exposição real. E vale lembrar: para setores regulados, esses controles se somam aos do guia de TI para o setor financeiro e para saúde.
Próximo passo
A i9aTech implementa esses 5 controles em GLPI, OTRS e Znuny — geralmente em 3-4 semanas. O diagnóstico LGPD do seu service desk é gratuito: 30 minutos e você sai sabendo exatamente quais controles faltam.