Como este tema funciona no porte da sua empresa
Este artigo trata especificamente da empresa média. Para pequenas empresas, o caminho prático de adequação está no artigo dedicado a esse porte — onde o foco é o mínimo viável e o gestor como condutor de todo o processo.
Com múltiplas áreas, sistemas formais e vários fornecedores que acessam dados, a adequação exige coordenação — não pode ser feita por uma pessoa só nem de forma informal. O gestor administrativo é o coordenador do processo de conformidade do back-office e o interlocutor entre as áreas, o DPO e o jurídico. Este artigo descreve como estruturar esse papel na prática.
Na grande empresa, o programa formal de compliance e o DPO interno já estabelecem o framework. O desafio é diferente do da média: não é estruturar, mas garantir que o gestor administrativo operacionaliza o que o programa define. O artigo específico para esse porte trata dessa distinção.
A empresa média (51–500 funcionários) enfrenta um desafio específico na conformidade com a legislação de proteção de dados: já é complexa demais para a adequação informal da pequena empresa, mas não tem os recursos de uma grande corporação. Os dados pessoais fluem entre áreas (financeiro, RH, comercial, TI) e sistemas (ERP, CRM, plataforma de RH), e há fornecedores com perfis variados de acesso. Estruturar a conformidade nesse ambiente exige que o gestor administrativo atue como coordenador — não como especialista em privacidade, mas como maestro do processo que envolve cada área responsável e os especialistas externos.
Por que a adequação da empresa média é mais complexa que a da pequena
A complexidade da adequação na empresa média não é de grau — é de natureza. Não é apenas "mais dados para mapear": é a multiplicação dos fluxos de dados entre sistemas, a diversidade de fornecedores com acesso a dados e a necessidade de coordenar práticas diferentes entre áreas que operam com autonomia.
Os pontos de complexidade específicos do porte médio:
- Múltiplos sistemas com dados pessoais: ERP (dados financeiros e de fornecedores), CRM (dados de clientes), sistema de RH ou HCM (dados completos de funcionários), plataforma de e-mail (contatos de marketing), cloud corporativo (documentos com dados pessoais). Cada sistema tem regras diferentes de acesso, retenção e exportação de dados.
- Fornecedores com acesso diversificado: contabilidade, BPO de RH, empresa de folha, CRM em SaaS, plataforma de e-mail, parceiros de cobrança — todos acessam dados pessoais com perfis e responsabilidades diferentes. O número de contratos a revisar é maior, e a due diligence precisa ser sistemática.
- Áreas com práticas diferentes de coleta: comercial pode estar coletando mais dados do que o necessário; TI pode estar armazenando dados sem critério de retenção; RH pode ter documentos físicos com dados pessoais sem processo de descarte. Sem coordenação, cada área faz a adequação da sua forma — ou não faz.
- Mais colaboradores que precisam ser orientados: com 51 a 500 pessoas, o onboarding e a comunicação sobre proteção de dados precisam ser sistemáticos — não podem depender de uma conversa informal.
O papel do gestor administrativo: coordenador, não especialista
O gestor administrativo da empresa média não precisa ser especialista em privacidade para liderar o processo de conformidade. Seu papel é de coordenação: definir o escopo do levantamento, mobilizar cada área para mapear seus dados, consolidar o inventário, identificar as lacunas e escalar ao DPO ou ao jurídico o que não consegue resolver internamente.
- Definir o escopo do levantamento: identificar quais áreas, sistemas e fornecedores são responsáveis por coletar, armazenar ou processar dados pessoais. Esse mapeamento inicial é tarefa do gestor — com contribuição de TI para os sistemas e de cada área para os processos.
- Distribuir o formulário de levantamento por área: cada área preenche o inventário da sua responsabilidade (qual dado, de quem, para quê, onde, quem acessa, por quanto tempo). O gestor não precisa saber os detalhes de cada sistema — precisa que cada responsável os levante.
- Consolidar o inventário: reunir os formulários de cada área, identificar lacunas (áreas ou sistemas não cobertos), inconsistências (bases legais não definidas) e riscos (dados sensíveis sem controle adicional).
- Escalar ao DPO ou jurídico: o que o gestor não consegue resolver internamente — definição de base legal para tratamentos complexos, revisão de contratos com fornecedores, validação da política de privacidade, orientação sobre dados sensíveis — vai ao especialista com o diagnóstico já feito.
- Manter atualizado: o inventário de dados é um registro vivo. Cada novo sistema, novo fornecedor ou novo processo de coleta precisa ser incluído — e o gestor é o responsável por garantir que isso acontece.
Inventário de dados na empresa média: como usar formulário padronizado por área
O formulário padronizado de levantamento de dados é o instrumento que permite ao gestor distribuir o trabalho de mapeamento sem precisar conduzir cada entrevista individualmente. Cada área preenche as informações da sua responsabilidade; o gestor consolida e identifica lacunas.
Um formulário básico por área deve ter:
| Campo | O que registrar | Exemplo |
|---|---|---|
| Dado coletado | Nome do dado pessoal | Nome, CPF, e-mail, dados bancários |
| Titular | De quem é o dado | Cliente, funcionário, fornecedor PF |
| Finalidade | Para quê é usado | Execução de contrato, cobrança, marketing |
| Onde fica | Sistema ou local de armazenamento | CRM Salesforce, planilha local, pasta de rede |
| Quem acessa | Áreas ou cargos com acesso | Comercial, financeiro, gerente |
| Prazo de retenção | Por quanto tempo é mantido | Duração do contrato + 5 anos (obrigação legal) |
| Base legal | Justificativa para o tratamento | Execução de contrato, obrigação legal |
DPO interno ou externo: qual modelo faz sentido para a empresa média
A empresa média tem duas opções para o papel de encarregado de dados (DPO): designar um colaborador interno com dedicação parcial à função ou contratar um DPO externo (DPO as a Service). Os dois modelos funcionam — a escolha depende do volume de demandas, da complexidade dos dados e do orçamento disponível.
Faz sentido quando a empresa tem um profissional (jurídico interno, compliance, TI sênior) com disponibilidade e interesse em assumir a função com capacitação específica. Vantagem: conhece a operação. Risco: pode acumular funções demais e ter dificuldade de manter o ponto de vista independente exigido pelo papel.
Faz sentido quando a empresa não tem o perfil interno adequado, quando quer independência no papel, ou quando o volume de demandas é compatível com um serviço compartilhado. O DPO externo trabalha com interlocutor interno — que é o gestor administrativo. Vantagem: especialização e independência. Ponto de atenção: o gestor precisa ser o elo entre o DPO e as áreas da empresa.
Com DPO externo, o gestor administrativo é o interlocutor que recebe as demandas internas (solicitações de titulares, novos sistemas, contratos a revisar) e as encaminha ao DPO, que orienta e valida. Sem esse interlocutor ativo, o DPO externo não consegue operacionalizar — cada demanda cai em uma pessoa diferente e perde a rastreabilidade.
Contratos com fornecedores e mapa de conformidade na empresa média
Com mais fornecedores, o processo de revisão de contratos precisa ser sistemático — não uma revisão pontual a cada contratação. A empresa média deve ter um template de cláusula de proteção de dados validado pelo jurídico ou DPO, aplicado em todos os contratos novos e nas renovações de contratos existentes.
O mapa de conformidade para a empresa média é revisado periodicamente (recomendação prática de mercado: semestral). Cada revisão inclui:
- Atualização do inventário de dados (novos sistemas ou processos desde a última revisão).
- Verificação de contratos com fornecedores que acessam dados — quais ainda não têm cláusula de proteção e precisam de aditivo.
- Revisão da política de privacidade — se há mudanças relevantes nos dados coletados ou nas finalidades desde a última versão.
- Verificação de treinamentos — se colaboradores novos e colaboradores em funções críticas receberam a orientação necessária.
Sinais de que a conformidade da sua empresa média precisa de estruturação
Se você se reconhece em três ou mais cenários abaixo, o processo de conformidade da empresa média provavelmente tem lacunas que precisam de atenção coordenada.
- A empresa já fez adequação básica há alguns anos, mas não revisou desde então — novos sistemas e processos não foram incluídos no inventário.
- Cada área trata os dados de forma diferente, sem política interna unificada sobre coleta, acesso e descarte.
- O inventário de dados está desatualizado ou não reflete os sistemas que a empresa usa hoje.
- Contratos com fornecedores que acessam dados foram revisados pontualmente, mas não há processo sistemático para novos contratos.
- O DPO externo (se existir) não tem interlocutor administrativo claro dentro da empresa — cada demanda cai no colo de uma pessoa diferente.
- Colaboradores que lidam com dados de clientes ou funcionários nunca receberam orientação formal sobre o que podem e não podem fazer com esses dados.
Caminhos para estruturar a conformidade na empresa média
Há dois caminhos para colocar o processo de conformidade em funcionamento na empresa média, e a escolha depende da capacidade de coordenação interna e do nível de complexidade dos dados tratados.
O gestor administrativo coordena o levantamento por área, consolida o inventário e mantém o processo atualizado. O DPO externo orienta, valida documentos e é o canal com a ANPD quando necessário.
- Perfil necessário: gestor administrativo como coordenador interno; DPO externo ou assessor jurídico especializado para validação e orientação.
- Tempo estimado: de 2 a 4 meses para concluir o inventário inicial, revisar contratos prioritários e publicar a política de privacidade atualizada.
- Faz sentido quando: o gestor tem disponibilidade para coordenar o processo, a empresa já tem DPO externo ou acesso a assessoria jurídica especializada.
- Risco principal: inventário desatualizado por falta de processo de manutenção após a fase inicial.
Uma consultoria especializada conduz o diagnóstico completo, elabora o plano de adequação, executa o inventário com cada área e estrutura o processo de manutenção.
- Tipo de fornecedor: Consultoria em LGPD/Compliance, DPO as a Service, TI/Segurança da Informação para revisão de sistemas, Consultoria Jurídica.
- Vantagem: diagnóstico profissional com identificação de lacunas que o gestor não teria capacidade de mapear sozinho; plano de adequação com cronograma e responsáveis.
- Faz sentido quando: a empresa não tem DPO e não tem capacidade interna de coordenação, ou quando a complexidade dos dados (sensíveis, volume alto, transferência internacional) exige especialização.
- Resultado típico: diagnóstico e plano de adequação em 4 a 6 semanas; execução completa em 3 a 6 meses, dependendo da complexidade.
Precisa de apoio para estruturar a conformidade com a LGPD na sua empresa média?
Se organizar o processo de conformidade virou prioridade, o oHub conecta a sua empresa, de forma gratuita, a consultorias em LGPD, serviços de DPO as a Service e escritórios jurídicos especializados em proteção de dados. Em menos de 3 minutos você descreve a necessidade e recebe propostas, sem compromisso.
Encontrar fornecedores de Gestão no oHub
Sem custo, sem compromisso. Você recebe propostas e decide se e com quem avançar.
Perguntas frequentes
Como estruturar a conformidade com a LGPD em uma empresa média?
Em cinco passos: definir o escopo do levantamento de dados, distribuir o formulário de inventário por área, consolidar e identificar lacunas, escalar ao DPO ou jurídico o que exige validação especializada, e criar processo de manutenção do inventário para que ele fique atualizado a cada mudança relevante de sistema, fornecedor ou processo.
A média empresa precisa de DPO interno ou externo?
Os dois modelos funcionam. DPO interno com dedicação parcial faz sentido quando há um profissional com perfil e disponibilidade adequados. DPO externo (DPO as a Service) faz sentido quando não há esse perfil interno ou quando a empresa quer independência e especialização no papel. Em ambos os casos, o gestor administrativo precisa ser o interlocutor ativo — sem esse papel, o DPO não consegue operacionalizar.
Como coordenar a adequação à LGPD entre diferentes áreas da empresa?
Com formulário padronizado de levantamento de dados distribuído por área, cada responsável de área mapeia os dados da sua responsabilidade. O gestor consolida os inventários, identifica lacunas e coordena as ações com DPO e jurídico. A revisão semestral do mapa de conformidade garante que novos sistemas e processos sejam incluídos.
Que sistemas ajudam a controlar a conformidade em empresas médias?
Para a empresa média, a gestão do inventário pode começar em planilha ou formulário compartilhado — sem necessidade de sistema especializado. Sistemas de gestão de privacidade (compliance management) fazem sentido quando o volume de dados, fornecedores e solicitações de titulares já supera a capacidade de controle em planilha. A decisão de adotar um sistema deve ser orientada pelo DPO ou assessor especializado.
Como o gestor administrativo lidera a conformidade sem ser o especialista?
Atuando como coordenador: define o escopo do levantamento, mobiliza cada área para mapear seus dados, consolida o inventário, identifica lacunas e escala ao DPO e ao jurídico o que está fora da sua alçada técnica. O gestor não precisa saber definir bases legais ou redigir contratos — precisa garantir que o processo acontece e que as decisões que precisam de especialista chegam ao especialista com o diagnóstico já feito.
Fontes e referências
- Autoridade Nacional de Proteção de Dados (ANPD). Guia de Boas Práticas e Governança para Agentes de Tratamento de Dados Pessoais. Brasília: ANPD. Disponível em: gov.br/anpd.
- Serviço Brasileiro de Apoio às Micro e Pequenas Empresas (Sebrae). LGPD para empresas em crescimento: orientações práticas. Brasília: Sebrae.