Como este tema funciona no porte da sua empresa
Em geral não há DPO formal nem área jurídica interna. O gestor administrativo ou o sócio que acumula a função é quem coloca a adequação em prática: organiza o mapeamento, revisa contratos com fornecedores, ajusta formulários de coleta e assegura o descarte correto de dados. A adequação pode ser enxuta, mas não pode ser ignorada — a LGPD se aplica independentemente do porte.
Já há estrutura administrativa formal. O gestor coordena as iniciativas de adequação entre áreas — financeiro, RH, TI e jurídico ou contábil externo — monitora o ciclo de vida dos dados nos sistemas e garante que contratos com fornecedores incluam cláusulas de proteção de dados. O DPO pode ser interno ou externo.
Existe programa formal de compliance com DPO designado, políticas publicadas e processos documentados. O gestor administrativo opera dentro desse programa: alimenta o inventário de dados, reporta incidentes na cadeia interna e garante que novos contratos e processos passem pela revisão de privacidade.
A LGPD — Lei Geral de Proteção de Dados Pessoais — é o marco legal brasileiro que regula como organizações coletam, armazenam, usam, compartilham e descartam dados pessoais de pessoas físicas. Seu objetivo operacional é responsabilizar as empresas pelo tratamento de dados de clientes, funcionários e fornecedores, garantindo que cada uso tenha uma finalidade declarada, uma base legal válida e medidas de segurança adequadas. O gestor administrativo é quem operacionaliza essa conformidade no back-office — não o jurídico, não o TI, mas quem controla contratos, documentos, sistemas e rotinas internas.
O que a LGPD exige na prática do back-office
A LGPD exige que a empresa saiba quais dados pessoais coleta, por que os coleta, com qual justificativa legal, quem acessa, por quanto tempo guarda e como descarta — e que seja capaz de demonstrar isso se questionada por um titular, pela ANPD ou por um parceiro comercial. Para o gestor administrativo, isso se traduz em ajustes concretos nos formulários de coleta, nos contratos com fornecedores, nos acessos aos sistemas e nas rotinas de descarte de documentos.
O ponto de partida não é redigir documentos jurídicos, mas sim entender o que a empresa faz com dados hoje. Antes de qualquer política ou cláusula contratual, é necessário mapear: quais dados entram pela empresa, por qual canal, quem os acessa e o que acontece com eles ao longo do tempo. Esse mapeamento é a base de tudo — e é responsabilidade do gestor coordenar o levantamento em cada área sob sua gestão.
A ANPD — Autoridade Nacional de Proteção de Dados — é o órgão que regulamenta, orienta e fiscaliza a aplicação da lei no Brasil. Para detalhes regulatórios, interpretações específicas e atualizações normativas, o ponto de referência é sempre a ANPD, complementado pelo assessor jurídico ou DPO da empresa.
Dados pessoais e dados sensíveis: distinção que importa no dia a dia
Dado pessoal é qualquer informação que identifica ou pode identificar uma pessoa física — nome, CPF, e-mail, telefone, endereço, número de matrícula de funcionário. Dado sensível é uma categoria específica que requer cuidado redobrado porque, se exposto, pode gerar discriminação ou dano: inclui dados de saúde, origem racial ou étnica, convicções religiosas, dados biométricos, filiação sindical e dados de crianças.
No back-office, dados sensíveis aparecem com mais frequência do que o gestor imagina. Atestados médicos de funcionários, planos de saúde, laudos de medicina do trabalho — todos são dados de saúde protegidos com mais rigor. Saber dessa distinção ajuda o gestor a identificar quais fluxos de dados exigem mais controle de acesso, armazenamento mais seguro e cuidado extra ao compartilhar com fornecedores ou prestadores.
Dados sensíveis mais comuns no dia a dia: atestados médicos de funcionários e dados de saúde em apólices de plano de saúde. O gestor define quem pode acessar esses arquivos — geralmente apenas o responsável pelo RH — e garante que fiquem em pasta separada com acesso restrito, não misturada com documentos gerais.
Além dos dados de saúde de funcionários, podem aparecer dados biométricos (controle de ponto), laudos de medicina ocupacional e informações sindicais. O gestor coordena as políticas de acesso a esses dados entre RH, DP e medicina do trabalho, com revisão periódica de quem tem acesso em cada sistema.
O programa de privacidade já distingue formalmente dados pessoais e sensíveis, com controles diferenciados para cada categoria. O gestor administrativo garante que os processos da sua área sigam as políticas estabelecidas pelo DPO para cada tipo de dado.
Os princípios da LGPD traduzidos para a rotina administrativa
A LGPD estabelece princípios que orientam todo tratamento de dados — e o gestor administrativo é quem os operacionaliza no dia a dia, mesmo que não os conheça pelo nome técnico. Entendê-los em termos práticos ajuda a tomar decisões melhores no back-office.
- Finalidade: cada dado coletado deve ter uma finalidade específica e declarada. Coletar o CPF do cliente para emitir nota fiscal tem finalidade clara; pedir data de nascimento sem motivo não tem.
- Adequação: o uso do dado deve ser compatível com a finalidade informada. Usar o e-mail fornecido para envio de nota fiscal para campanhas de marketing requer base legal adicional.
- Necessidade: coletar apenas o mínimo necessário. Se o contrato precisa de nome e CNPJ, não há motivo para pedir RG do sócio.
- Livre acesso: o titular pode solicitar a qualquer momento acesso aos seus dados. A empresa precisa ter um canal e um processo para atender.
- Qualidade dos dados: manter dados atualizados e sem imprecisões — o que afeta diretamente o cadastro de clientes e fornecedores.
- Transparência: informar aos titulares quais dados a empresa coleta e para que usa — papel da política de privacidade e dos avisos de coleta.
- Segurança: adotar medidas técnicas e administrativas para proteger os dados de acessos indevidos ou acidentes.
- Prevenção: antecipar riscos antes que ocorram, não apenas reagir a incidentes.
- Não discriminação: dados pessoais não podem ser usados para fins discriminatórios ilícitos ou abusivos.
- Responsabilização: a empresa deve ser capaz de demonstrar que cumpre as regras — por isso a documentação e os registros importam.
Os agentes de tratamento e o papel do gestor administrativo
A LGPD define quem são os responsáveis pelo tratamento de dados em uma cadeia: o controlador é a empresa que decide por que e como os dados são tratados; o operador é quem trata dados em nome do controlador (um prestador de serviço, por exemplo); e o encarregado (DPO) é o canal entre a empresa, os titulares e a ANPD.
Na prática, o gestor administrativo opera no papel de controlador em relação aos dados tratados pela empresa e como interlocutor com os operadores — os fornecedores que acessam dados da empresa. É ele quem garante que os contratos com esses fornecedores contenham cláusulas de proteção de dados e que os acessos sejam proporcionais à necessidade.
O gestor ou sócio administrativo acumula o papel de controlador e, frequentemente, de responsável informal pela privacidade. Conta com apoio pontual do assessor jurídico ou contador para as decisões mais complexas.
O gestor administrativo coordena os processos de adequação entre áreas e articula com o DPO — interno ou externo — as decisões sobre bases legais, contratos com operadores e atendimento a titulares.
O DPO lidera o programa de privacidade e o gestor administrativo é um dos interlocutores internos: reporta ao DPO as mudanças de processo, os novos fornecedores e os incidentes identificados na sua área.
O que muda concretamente no back-office
A adequação à LGPD não é um projeto de TI nem um trabalho exclusivo do jurídico — ela muda processos administrativos do dia a dia. O gestor administrativo é quem efetivamente ajusta as rotinas.
Formulários e coleta de dados: revisar o que é pedido em cada formulário — físico ou digital — e garantir que haja aviso de privacidade informando ao titular para que aquele dado será usado. Coletar menos e com clareza é melhor do que coletar muito sem explicação.
Contratos com fornecedores: qualquer prestador que acesse dados pessoais da empresa (contabilidade, escritório de advocacia, empresa de TI, plataforma de gestão) precisa de cláusula de proteção de dados no contrato — definindo o escopo de acesso, as obrigações de segurança e o que fazer em caso de incidente.
Acesso a sistemas: definir quem acessa quais dados em cada sistema, revisar periodicamente esses acessos e revogar imediatamente ao desligar um funcionário. O princípio do menor privilégio — cada pessoa acessa só o que precisa para fazer seu trabalho — reduz o risco de exposição.
Descarte seguro: documentos físicos com dados pessoais precisam de fragmentação antes do descarte; arquivos digitais precisam de exclusão definitiva, não apenas do "lixo" do sistema. Isso inclui e-mails com dados sensíveis, planilhas de folha de pagamento e cadastros de clientes.
Atendimento a titulares: definir um canal para receber pedidos de acesso, correção ou exclusão de dados — e um processo para responder dentro do prazo orientado pela ANPD.
Adequação pontual versus manutenção contínua da conformidade
A adequação à LGPD não é um projeto com data de início e fim — é uma rotina. A empresa pode fazer um esforço inicial de mapeamento e revisão de contratos, mas a conformidade se mantém ou se perde conforme o tempo passa e os processos mudam.
Um novo sistema adotado, um novo fornecedor contratado, um novo canal de coleta de dados no site ou uma nova finalidade de uso dos dados cadastrais — cada mudança dessas pode exigir uma atualização no inventário de dados, na política de privacidade ou nos contratos. O gestor administrativo é quem percebe essas mudanças no dia a dia e tem a responsabilidade de acionar o processo de revisão.
A diferença entre adequação e conformidade contínua é que a primeira é o ponto de partida e a segunda é o estado permanente. Empresas que fazem a adequação inicial mas negligenciam a manutenção tendem a acumular lacunas silenciosamente, descobrindo o problema só quando há um incidente ou uma solicitação de titular que não conseguem atender.
Sinais de que sua empresa precisa organizar a conformidade com a LGPD
Se você se reconhece em três ou mais cenários abaixo, a adequação à LGPD provavelmente ainda não está operacionalizada no back-office.
- A empresa coleta dados de clientes e funcionários sem ter documentado para que usa cada dado.
- Contratos com fornecedores que acessam dados da empresa não têm cláusula de proteção de dados.
- Não há processo definido para atender pedidos de titulares — acesso, correção ou exclusão de dados.
- O descarte de documentos físicos e digitais com dados pessoais é feito sem critério de segurança.
- Nenhuma pessoa na empresa foi designada como responsável pela conformidade com a LGPD.
- Sistemas internos não têm controle de acesso segmentado por função — qualquer usuário acessa qualquer dado.
Caminhos para estruturar a conformidade com a LGPD
Há dois caminhos para operacionalizar a adequação à LGPD, e a escolha depende da capacidade interna, do volume de dados tratados e da complexidade dos processos.
Conduzir o processo de adequação com o time atual, usando o gestor administrativo como coordenador e acessando assessoria jurídica de forma pontual para validar as etapas mais sensíveis.
- Perfil necessário: gestor administrativo com tempo disponível para liderar o levantamento e a revisão de processos, com acesso a assessor jurídico externo.
- Tempo estimado: de 2 a 4 meses para a adequação inicial, dependendo da complexidade dos fluxos de dados.
- Faz sentido quando: volume de dados moderado, poucos sistemas, fluxos de dados relativamente simples e sem dados sensíveis em grande escala.
- Risco principal: lacunas de interpretação em situações mais complexas (bases legais, dados sensíveis, compartilhamento com terceiros) sem revisão especializada.
Contratar consultoria especializada para conduzir o mapeamento, revisar documentos e estruturar os processos, com o gestor como interlocutor interno do projeto.
- Tipo de fornecedor: Consultoria em LGPD/Compliance, DPO as a Service, Consultoria Jurídica, TI/Segurança da Informação.
- Vantagem: método estruturado, expertise jurídica e técnica integrada, documentação robusta desde o início.
- Faz sentido quando: empresa sem capacidade interna para conduzir o processo, volume alto de dados sensíveis, múltiplos sistemas integrados ou necessidade de DPO externo certificado.
- Resultado típico: inventário de dados, políticas e contratos revisados em 2 a 3 meses, com rotina de manutenção definida.
Precisa de apoio para estruturar a conformidade com a LGPD na sua empresa?
Se organizar a adequação à LGPD virou prioridade, o oHub conecta sua empresa, de forma gratuita, a consultores de LGPD, DPO as a Service e especialistas em segurança da informação. Em menos de 3 minutos você descreve a necessidade e recebe propostas, sem compromisso.
Encontrar fornecedores de Gestão no oHub
Sem custo, sem compromisso. Você recebe propostas e decide se e com quem avançar.
Perguntas frequentes
O que a LGPD exige da empresa na prática?
A LGPD exige que a empresa saiba quais dados pessoais coleta, com qual finalidade, em qual base legal, quem acessa, por quanto tempo guarda e como descarta — e que seja capaz de demonstrar isso. Na prática, isso exige ajustes nos formulários de coleta, nos contratos com fornecedores, nos controles de acesso a sistemas e nas rotinas de descarte de documentos.
Quem é responsável pela LGPD dentro da empresa?
A empresa como um todo é a controladora responsável. Internamente, o gestor administrativo é quem operacionaliza a conformidade no back-office — cuida dos formulários, contratos, acessos e rotinas. Quando há DPO (encarregado de dados), ele orienta internamente, recebe solicitações de titulares e comunica incidentes à ANPD. Nas empresas sem DPO formal, o gestor ou o assessor jurídico externo assume essas funções.
Quais dados pessoais a LGPD protege?
Dados pessoais são informações que identificam ou podem identificar uma pessoa física — nome, CPF, e-mail, telefone, endereço, entre outros. Dados sensíveis são uma categoria específica com proteção reforçada: dados de saúde, origem racial ou étnica, convicção religiosa, biometria, dados de crianças. Ambas as categorias aparecem no back-office e exigem controles adequados ao nível de sensibilidade.
A LGPD se aplica a empresas pequenas?
Sim. A LGPD se aplica a qualquer empresa que trate dados pessoais, independentemente do porte. A ANPD orienta um processo simplificado para microempresas e empresas de pequeno porte — o que significa menos burocracia, não dispensa das obrigações essenciais. Verificar as orientações atuais da ANPD para o porte específico da empresa.
O que acontece se a empresa não cumprir a LGPD?
A ANPD pode aplicar sanções administrativas em caso de descumprimento da LGPD. Os tipos e critérios de sanções estão previstos na legislação e nas normas da ANPD — os detalhes sobre valores e condições devem ser verificados junto ao assessor jurídico ou DPO da empresa, que acompanham as atualizações normativas.
Fontes e referências
- Autoridade Nacional de Proteção de Dados (ANPD). Guia Orientativo para Definições dos Agentes de Tratamento de Dados Pessoais e do Encarregado. Brasília: ANPD. Disponível em: gov.br/anpd.
- Sebrae. LGPD: o que muda para as pequenas empresas. Brasília: Sebrae.
- Brasil. Lei nº 13.709, de 14 de agosto de 2018 — Lei Geral de Proteção de Dados Pessoais. Brasília: Presidência da República. Disponível em: planalto.gov.br.