Como este tema funciona no porte da sua empresa
Os erros mais comuns são de escopo (achar que a LGPD só vale para o site ou que não se aplica à empresa pequena) e de documentação (política genérica copiada da internet que não reflete os dados reais da empresa). Com estrutura enxuta, o risco de deixar lacunas é alto — mas a correção também é mais simples.
Os erros mais comuns são de coordenação (cada área fez a adequação por conta própria, sem visão integrada) e de manutenção (adequação realizada uma vez e nunca revisada após novos sistemas e fornecedores). A complexidade dos sistemas e dos fornecedores aumenta o número de pontos de exposição que ficam invisíveis sem coordenação centralizada.
Os erros mais comuns são de operacionalização (o programa de compliance existe, mas não se materializou nos processos do back-office) e de atualização (inventário de dados desatualizado após mudanças organizacionais ou de sistemas). O programa formal não garante conformidade real — a execução dos gestores operacionais é que garante.
A adequação à legislação de proteção de dados é um processo contínuo — não um projeto com data de início e de fim. Os erros mais frequentes não acontecem por má-fé, mas por lacunas de conhecimento sobre o que a obrigação realmente exige, por execução incompleta do processo de adequação, ou por falta de manutenção do que foi feito. Este artigo organiza esses erros por categoria, explica por que cada um acontece e indica como corrigi-lo — sem alarmismo e sem usar o risco de sanção como motivação principal.
Erros de escopo: quando a empresa não enxerga onde a obrigação se aplica
Os erros de escopo são os mais básicos — e, por isso, os mais comuns na primeira rodada de adequação. Eles fazem o processo começar com uma visão incompleta do que precisa ser feito.
Erro 1: achar que a LGPD só se aplica ao site
A legislação de proteção de dados cobre todos os dados pessoais tratados pela empresa, independentemente do canal de coleta: dados coletados em papel, planilhas internas, sistemas de gestão, e-mails, fichários físicos e contratos também estão no escopo. O site é apenas um dos pontos de coleta — e frequentemente não é o maior em termos de volume de dados tratados.
Por que acontece: as primeiras comunicações sobre a legislação de proteção de dados no Brasil focaram muito nas obrigações do site (aviso de cookies, política de privacidade, formulários de coleta) — criando a percepção de que o restante da operação não estava no escopo.
Como corrigir: partir do inventário de dados — listar todos os dados pessoais que a empresa trata, em qualquer formato e canal, e garantir que a adequação cobre cada um deles.
Erro 2: achar que a empresa é pequena demais para a LGPD se aplicar
A legislação brasileira de proteção de dados se aplica a empresas de qualquer porte. Não há isenção por tamanho. A ANPD prevê tratamento diferenciado em processos de fiscalização para microempresas e EPP, mas a obrigação de tratar dados corretamente existe para qualquer empresa que colete dados pessoais.
Como corrigir: reconhecer que a obrigação existe e dimensionar a adequação de forma proporcional ao porte — o mínimo viável para a pequena empresa está descrito no artigo específico para esse porte.
Erro 3: ignorar dados de funcionários e fornecedores e focar só nos dados de clientes
Dados de funcionários, ex-funcionários, candidatos a vagas, prestadores de serviço e fornecedores pessoas físicas são dados pessoais tratados pela empresa. O eSocial já impõe estrutura de tratamento de dados de funcionários — a legislação de proteção de dados complementa com bases legais, controles de acesso e descarte adequado.
Como corrigir: incluir os dados de RH e os dados de fornecedores PF no inventário de dados. Mapear quem acessa, onde ficam e qual é o prazo de retenção adequado para cada tipo de dado trabalhista.
Erros de processo: quando o que foi feito não funciona como deveria
Os erros de processo são os que aparecem depois que a empresa "fez a adequação" — e descobre que partes do processo ficaram incorretas ou incompletas.
Erro 4: começar pela política de privacidade sem ter feito o mapeamento de dados
A política de privacidade deve refletir os dados que a empresa efetivamente coleta, para quê, onde ficam e por quanto tempo. Publicar a política antes do mapeamento significa publicar um documento que não reflete a realidade — o que pode ser pior do que não ter política, porque cria uma declaração falsa sobre as práticas da empresa.
Como corrigir: conduzir o mapeamento de dados antes de redigir ou publicar a política. A política é o documento de comunicação com os titulares — e precisa ser verdadeira.
Erro 5: pedir consentimento para tudo
Consentimento é apenas uma das bases legais para o tratamento de dados — e não é a mais adequada para a maioria dos dados que empresas tratam em relações contratuais e de trabalho. Dados de clientes necessários para a execução do contrato já têm base legal em contrato. Dados de funcionários necessários para o cumprimento de obrigações trabalhistas já têm base em obrigação legal. Pedir consentimento para esses dados cria uma lista de consentimentos que a empresa não sabe como gerenciar — e que pode ser revogado a qualquer momento pelo titular, criando um problema maior.
Como corrigir: definir a base legal correta para cada tratamento, com orientação do assessor jurídico ou DPO. Usar consentimento apenas quando não há outra base legal aplicável — e, nesses casos, garantir que o consentimento é livre, informado e específico.
Erro 6: contratar fornecedores que acessam dados sem verificar conformidade nem incluir cláusula de proteção
Quando um fornecedor acessa dados pessoais da empresa, ele se torna operador de dados — e a empresa contratante continua responsável pelo tratamento. Contratar sem cláusula de proteção de dados é deixar o controlador exposto pela conduta do operador.
Como corrigir: incluir verificação de conformidade e cláusula de proteção de dados no processo de contratação de qualquer fornecedor que acesse dados pessoais.
Erro 7: não treinar a equipe que lida com dados
O processo mais bem documentado falha se a pessoa que o executa não sabe que ele existe. Colaboradores que coletam dados de clientes, que acessam dados de funcionários ou que operam sistemas com dados pessoais precisam de orientação básica sobre o que podem e não podem fazer.
Como corrigir: incluir orientação básica sobre proteção de dados no onboarding de todos os colaboradores. Para quem lida com dados regularmente, revisão periódica e atualização quando houver mudança relevante nas práticas.
Erros de documentação: quando o que está escrito não serve
Os erros de documentação são os que tornam os documentos existentes inúteis — ou piores do que nada.
Erro 8: política de privacidade genérica copiada da internet
Uma política copiada de modelo genérico frequentemente menciona dados que a empresa não coleta, omite dados que coleta efetivamente, não tem o nome ou e-mail do encarregado de dados, e usa linguagem incompatível com a realidade da empresa. Um titular que consulta a política e não se reconhece nas informações perde a confiança — e um regulador que verifica a política e encontra inconsistências com o inventário de dados tem evidência de inadequação.
Como corrigir: elaborar a política a partir do inventário de dados da empresa, com validação do assessor jurídico ou DPO. A política deve ser específica para a empresa, não um modelo de terceiro adaptado superficialmente.
Erro 9: inventário de dados realizado uma vez e nunca atualizado
O inventário de dados é um registro vivo — cada novo sistema, novo processo de coleta ou novo fornecedor com acesso a dados pessoais precisa ser incluído. Um inventário realizado no ano da adequação e nunca revisado descreve uma empresa que não existe mais — e deixa lacunas invisíveis para o gestor.
Como corrigir: criar um processo de manutenção do inventário que é acionado toda vez que há mudança relevante: novo sistema implantado, novo fornecedor contratado, nova finalidade de uso de dados existentes.
Erro 10: formulários de coleta sem aviso de privacidade
Todo formulário de coleta de dados pessoais — no site, em papel, em aplicativo — deve ter um aviso que informa ao titular o que será feito com os dados. O aviso não precisa ser longo: uma linha com a finalidade e o link para a política já cumpre a obrigação de transparência no ponto de coleta.
Como corrigir: revisar todos os formulários de coleta (contato no site, cadastro, fichas, formulários de RH) e incluir o aviso de privacidade em todos eles.
Erros de manutenção: quando a adequação virou um projeto com data de fim
Os erros de manutenção são os que surgem quando a empresa trata a adequação como uma lista de tarefas concluídas — e não como uma rotina contínua.
Erro 11: tratar a adequação como projeto com data de fim
Conformidade com a legislação de proteção de dados não tem data de conclusão: é uma rotina de manutenção contínua. Novos dados são coletados, novos sistemas são implantados, novos fornecedores são contratados, a legislação é atualizada — cada mudança pode criar novas obrigações ou lacunas no que já estava adequado.
Como corrigir: transformar a adequação em rotina: calendário de revisão do inventário (semestral), processo de verificação antes de contratar novos fornecedores com acesso a dados, gatilho para acionar o DPO antes de implantar novos sistemas que tratem dados pessoais.
Erro 12: não acionar o DPO ou assessor quando há mudança relevante
Novos sistemas, novos parceiros, novas finalidades de uso de dados existentes e novas categorias de dados coletados são eventos que podem exigir atualização do inventário, da política de privacidade ou de contratos. Implementar sem verificar cria lacunas que só aparecem quando há uma solicitação de titular, um incidente ou uma fiscalização.
Como corrigir: estabelecer como protocolo interno que qualquer mudança relevante que envolva dados pessoais passa por validação do DPO ou do assessor antes de ser implementada.
Sinais de que a adequação da sua empresa tem erros a corrigir
Se você se reconhece em três ou mais cenários abaixo, há erros na adequação que merecem revisão prioritária.
- A política de privacidade da empresa foi copiada de um modelo da internet e nunca personalizada para a realidade dos dados que a empresa efetivamente trata.
- A empresa pediu consentimento para usar dados de clientes em situações em que já tinha base legal em contrato ou lei — criando uma lista de consentimentos que não sabe como gerenciar.
- A adequação foi feita há mais de dois anos e nunca revisada, mesmo com novos sistemas e fornecedores contratados no período.
- Funcionários que lidam com dados de clientes ou de outros funcionários nunca receberam orientação sobre o que é e o que não é permitido.
- A empresa fez a adequação focada só no site e nas redes sociais, ignorando os dados de folha de pagamento, contratos e cadastro de fornecedores.
- Novos sistemas são implantados e novos fornecedores são contratados sem verificação prévia de impacto sobre os dados pessoais tratados.
Caminhos para revisar e corrigir a adequação à LGPD
Há dois caminhos para identificar e corrigir os erros na adequação, e a escolha depende do volume de lacunas encontradas e da complexidade dos dados envolvidos.
O gestor conduz a revisão a partir deste diagnóstico, identificando quais erros se aplicam à realidade da empresa e coordenando as correções com o assessor jurídico.
- Perfil necessário: gestor administrativo para coordenar a revisão; assessor jurídico ou DPO para validar correções em bases legais, política de privacidade e cláusulas contratuais.
- Tempo estimado: de 1 a 3 meses para corrigir os erros identificados, dependendo do volume de lacunas e da complexidade dos dados.
- Faz sentido quando: os erros são identificáveis pelo gestor e as correções não envolvem dados sensíveis ou situações de risco regulatório relevante.
- Risco principal: corrigir os erros visíveis e deixar lacunas ocultas — áreas ou fornecedores que ficaram fora da revisão.
Uma consultoria especializada conduz o diagnóstico completo da adequação, identifica todos os erros e lacunas e elabora o plano de correção.
- Tipo de fornecedor: Consultoria em LGPD/Compliance, DPO as a Service, Consultoria Jurídica especializada em proteção de dados.
- Vantagem: diagnóstico profissional que identifica erros que o gestor não teria capacidade de mapear sozinho; plano de correção com priorização de riscos.
- Faz sentido quando: a empresa nunca fez adequação estruturada, há dados sensíveis envolvidos, ou os erros identificados têm exposição de risco regulatório relevante.
- Resultado típico: diagnóstico completo em 2 a 4 semanas; correções implementadas em 2 a 4 meses, dependendo da complexidade.
Precisa de apoio para revisar e corrigir a adequação à LGPD da sua empresa?
Se revisar a adequação à legislação de proteção de dados virou prioridade, o oHub conecta a sua empresa, de forma gratuita, a consultorias em LGPD, serviços de DPO as a Service e escritórios jurídicos especializados em proteção de dados. Em menos de 3 minutos você descreve a necessidade e recebe propostas, sem compromisso.
Encontrar fornecedores de Gestão no oHub
Sem custo, sem compromisso. Você recebe propostas e decide se e com quem avançar.
Perguntas frequentes
Quais são os erros mais comuns na adequação à LGPD?
Os erros se organizam em quatro categorias: de escopo (achar que a LGPD só se aplica ao site ou que não vale para empresas pequenas), de processo (começar pela política sem fazer o mapeamento, pedir consentimento para tudo, não treinar a equipe), de documentação (política genérica, inventário desatualizado, formulários sem aviso) e de manutenção (tratar a adequação como projeto com data de fim em vez de rotina contínua).
O que invalida o consentimento na LGPD?
O consentimento é inválido quando não é livre (dado sob pressão ou como condição para um serviço que poderia ser prestado sem ele), não é informado (o titular não sabe para quê os dados serão usados), não é específico (um consentimento genérico para "uso de dados" sem indicar as finalidades), ou quando existe outra base legal mais adequada para o tratamento e o consentimento foi pedido sem necessidade.
Por que a política de privacidade genérica é um problema?
Porque menciona dados que a empresa não coleta e omite dados que coleta efetivamente, não tem o contato do encarregado de dados da empresa e usa linguagem que não corresponde à realidade das práticas da empresa. Um regulador que verifica a política e encontra inconsistências com o inventário de dados tem evidência de inadequação. E um titular que lê a política e não se reconhece nas informações perde a confiança.
O que é o erro de achar que a LGPD só se aplica ao site?
É o erro de escopo mais frequente: a legislação de proteção de dados cobre todos os dados pessoais tratados pela empresa, em qualquer formato e canal — papel, planilhas, sistemas internos, e-mails, contratos e fichários físicos. O site é apenas um ponto de coleta. A adequação que foca só no site deixa todo o restante da operação sem cobertura.
Por que adequação à LGPD não é um projeto com data de fim?
Porque a empresa muda continuamente: novos sistemas são implantados, novos fornecedores são contratados, novas finalidades de uso de dados surgem, e a própria legislação e as orientações da ANPD são atualizadas. Cada mudança pode criar novas obrigações ou lacunas no que já estava adequado. A adequação é uma rotina de manutenção contínua, não uma lista de tarefas com caixa de conclusão.
Fontes e referências
- Autoridade Nacional de Proteção de Dados (ANPD). Relatório de Atividades de Fiscalização. Brasília: ANPD. Disponível em: gov.br/anpd.
- Autoridade Nacional de Proteção de Dados (ANPD). Guia de Boas Práticas e Governança para Agentes de Tratamento de Dados Pessoais. Brasília: ANPD. Disponível em: gov.br/anpd.