No âmbito de um processo de auditoria de sistemas e compliance digital, verificou-se que uma organização implementou, com sucesso, controles de criptografia assimétrica, mecanismos de MFA (multi-factor authentication) e processos de CSIRT (computer security incident response team). Contudo, a análise do fluxo de dados revelou que o dataset processado para fins de marketing direto incluía metadados de geolocalização e histórico de saúde dos titulares, sem que tais dados fossem essenciais para a execução do serviço proposto.
À luz da literatura especializada de Sêmola e da Lei Geral de Proteção de Dados (LGPD), é correto concluir que, na situação hipotética precedente, a dicotomia entre a eficácia dos controles e a governança dos dados revela que