Como este tema funciona no porte da sua empresa
A adequação tende a ser conduzida por uma única pessoa — o gestor ou o sócio administrativo — com apoio do contador e assessoria jurídica pontual. O foco está no essencial: mapear os dados que a empresa já coleta, revisar formulários e contratos, definir quem responde por privacidade internamente e garantir o descarte seguro. Não precisa ser perfeita — precisa ser real e defensável.
O processo é coordenado pelo gestor administrativo envolvendo RH (dados de funcionários), TI (sistemas e acessos), financeiro (dados de clientes e fornecedores) e jurídico ou contábil externo. O inventário de dados é mais extenso e a revisão de contratos é prioritária. O DPO pode ser designado durante ou após o processo.
A adequação é conduzida dentro de um programa formal, com comitê multidisciplinar, cronograma e orçamento. O gestor administrativo alimenta o processo com o levantamento das suas áreas de responsabilidade e opera dentro do programa estabelecido pelo DPO e pela área jurídica.
Adequação à LGPD é o conjunto de ajustes nos processos, contratos, sistemas e rotinas da empresa para tratar dados pessoais de forma legal, segura e transparente, conforme exigido pela Lei Geral de Proteção de Dados Pessoais. Para o gestor administrativo, adequar-se significa identificar quais dados a empresa coleta, com qual justificativa legal, quem acessa, por quanto tempo guarda e como descarta — e ajustar cada uma dessas dimensões até que o tratamento seja defensável perante os titulares e a ANPD.
Por que a ordem das etapas importa
A ordem correta da adequação importa porque cada etapa depende do resultado da anterior — começar pelo fim gera retrabalho e documentos que não refletem a realidade da empresa. O erro mais comum é redigir a política de privacidade antes de saber quais dados a empresa de fato coleta. O segundo erro mais comum é focar apenas no site e esquecer que dados de funcionários, fornecedores e parceiros também estão no escopo.
A sequência correta começa pelo diagnóstico e mapeamento — entender o que existe — e só então avança para a revisão de documentos e ajuste de processos. Sem o mapeamento, não há como saber o que precisa ser corrigido, quais bases legais aplicar ou o que informar na política de privacidade.
Roteiro de adequação à LGPD: as sete etapas na ordem certa
O roteiro a seguir organiza as etapas em sequência lógica para o gestor administrativo que precisa tirar a adequação do papel, mesmo sem departamento jurídico interno.
- Diagnóstico inicial: levantar, sem entrar em detalhes, quais tipos de dados pessoais a empresa coleta — clientes, funcionários, fornecedores, visitantes do site. O objetivo é ter uma visão geral antes de aprofundar. Essa etapa pode ser feita em uma reunião interna de uma a duas horas, com as pessoas responsáveis por cada área.
- Mapeamento de dados pessoais: inventariar os fluxos de dados com detalhe — o quê, para quê, de quem, onde fica, quem acessa e por quanto tempo. Este é o passo central da adequação e alimenta todas as etapas seguintes. Ver artigo específico sobre mapeamento de dados pessoais na empresa.
- Identificação das bases legais: para cada dado mapeado, identificar por que a empresa pode tratá-lo — consentimento, execução de contrato, obrigação legal, interesse legítimo ou outras hipóteses. Situações simples o gestor resolve com apoio do assessor; situações complexas (dados sensíveis, marketing, compartilhamento com terceiros) precisam de análise jurídica. Ver artigo sobre bases legais para tratar dados.
- Revisão e atualização de documentos: com o mapeamento e as bases legais definidos, revisar os formulários de coleta (física e digital), os contratos com fornecedores que acessam dados, os avisos de privacidade nos pontos de coleta e a política de privacidade no site. Documentos genéricos copiados da internet devem ser substituídos por textos que refletem a realidade da empresa.
- Ajuste dos processos internos: revisar os acessos a sistemas (quem acessa o quê), implementar o processo de offboarding (revogar acessos ao desligar funcionários), definir o protocolo de descarte seguro de dados físicos e digitais e estruturar o fluxo de atendimento a solicitações de titulares.
- Designação do responsável por privacidade: definir quem na empresa responde por privacidade e proteção de dados — seja o encarregado formal (DPO), um responsável interno informal ou um serviço de DPO as a Service. Publicar os dados de contato na política de privacidade e comunicar à ANPD se aplicável, conforme as orientações vigentes do órgão.
- Manutenção contínua: criar rotina de revisão para atualizar o inventário de dados, rever contratos e políticas sempre que surgir um novo sistema, fornecedor ou finalidade de uso de dados. A adequação não termina — ela se mantém com disciplina de processo.
Como priorizar quando não dá para fazer tudo de uma vez
Em empresas pequenas e médias, a adequação compete com a operação no dia a dia. Priorizar as ações que reduzem o maior risco primeiro é a abordagem mais eficiente.
A prioridade mais alta é o que envolve dados em maior volume, dados sensíveis ou compartilhamento com terceiros sem controle. Uma planilha de clientes acessível por toda a empresa, contratos com fornecedores de TI sem cláusula de privacidade ou formulários sem aviso de coleta são pontos de atenção imediata.
Em seguida, vêm os documentos: política de privacidade desatualizada ou genérica, contratos com prestadores que acessam dados da empresa e formulários de coleta sem aviso.
O que pode esperar — mas não por muito tempo — são processos mais refinados como a revisão periódica de acessos e os treinamentos de equipe. Esses são importantes para a manutenção da conformidade, não para a adequação inicial.
Começar pelo diagnóstico em uma reunião interna, mapear os dados em planilha simples, revisar os três contratos mais críticos com fornecedores que acessam dados e publicar ou atualizar a política de privacidade no site. Esse mínimo já gera uma posição defensável.
Conduzir o levantamento por área com formulário padronizado, consolidar o inventário centralmente, revisar contratos com os principais prestadores que acessam dados e designar ou contratar o DPO durante o processo. A revisão de acessos a sistemas é crítica nesse porte.
O gestor administrativo contribui com o levantamento das suas áreas de responsabilidade e garante que os processos sob sua gestão estejam documentados e alinhados com o programa de conformidade definido pelo DPO. A prioridade é a integração com o programa, não a condução autônoma.
O que normalmente trava a adequação
A adequação à LGPD trava, com mais frequência, em dois pontos: a falta de clareza sobre quem lidera o processo internamente e a tentação de começar pela redação de documentos antes de entender o que a empresa de fato faz com dados.
Sem um responsável claro, o processo circula entre áreas sem avançar — cada uma espera que a outra tome a frente. O gestor administrativo é o candidato natural para coordenar, mesmo que precise acionar o jurídico para validar as decisões mais complexas.
Outro ponto de travamento é o perfeccionismo: esperar ter tudo mapeado e documentado perfeitamente antes de ajustar qualquer coisa. A abordagem mais eficaz é avançar etapa por etapa, ajustando o que já está claro e marcando o que ainda precisa de análise especializada.
Sinais de que sua empresa ainda não deu início à adequação
Se você se reconhece em três ou mais cenários abaixo, a adequação à LGPD provavelmente ainda está no papel — ou nem chegou a começar.
- A empresa nunca fez um levantamento de quais dados pessoais coleta e armazena.
- Contratos com clientes e fornecedores não mencionam proteção de dados nem responsabilidades sobre dados compartilhados.
- Não há um responsável definido para receber solicitações de titulares — acesso, exclusão ou correção de dados.
- O site coleta dados via formulários sem aviso de privacidade nem link para política publicada.
- A empresa não sabe ao certo por quanto tempo guarda dados de clientes e ex-funcionários.
- Não há processo para descartar dados pessoais de forma segura ao fim do prazo de retenção.
Caminhos para dar os primeiros passos na adequação à LGPD
A adequação pode ser conduzida internamente ou com apoio especializado — a escolha depende do tempo disponível, do volume de dados e da complexidade dos processos da empresa.
Conduzir o processo com o gestor administrativo como coordenador, usando o roteiro de sete etapas e acessando assessoria jurídica de forma pontual para validar bases legais e documentos.
- Perfil necessário: gestor administrativo com disponibilidade para liderar, acesso a assessor jurídico externo para as etapas de validação.
- Tempo estimado: de 2 a 4 meses para a adequação inicial, dependendo do volume de dados e da quantidade de sistemas.
- Faz sentido quando: empresa com volume de dados moderado, poucos sistemas integrados e fluxos de dados relativamente simples.
- Risco principal: lacunas em situações mais complexas (dados sensíveis, compartilhamento com parceiros, marketing) sem revisão especializada.
Contratar consultoria especializada para conduzir o processo completo, com o gestor como interlocutor interno responsável por fornecer informações e validar entregas.
- Tipo de fornecedor: Consultoria em LGPD/Compliance, DPO as a Service, Consultoria Jurídica.
- Vantagem: método estruturado, documentação robusta desde o início e cobertura de situações complexas desde a primeira etapa.
- Faz sentido quando: empresa sem tempo ou capacidade interna para conduzir o processo, volume alto de dados sensíveis ou necessidade de método e documentação robusta.
- Resultado típico: inventário, políticas e contratos revisados em 2 a 3 meses, com rotina de manutenção definida.
Precisa de apoio para dar os primeiros passos na adequação à LGPD?
Se iniciar a adequação à LGPD virou prioridade, o oHub conecta sua empresa, de forma gratuita, a consultores especializados em LGPD, DPO as a Service e assessoria jurídica. Em menos de 3 minutos você descreve a necessidade e recebe propostas, sem compromisso.
Encontrar fornecedores de Gestão no oHub
Sem custo, sem compromisso. Você recebe propostas e decide se e com quem avançar.
Perguntas frequentes
Quais são as etapas de adequação à LGPD?
As etapas na ordem correta são: diagnóstico inicial, mapeamento de dados pessoais, identificação das bases legais para cada tratamento, revisão e atualização de documentos (formulários, contratos, política de privacidade), ajuste dos processos internos (acessos, offboarding, descarte), designação do responsável por privacidade e, por fim, estruturação da manutenção contínua. Cada etapa depende do resultado da anterior.
O que uma empresa precisa fazer primeiro para se adequar à LGPD?
O primeiro passo é o diagnóstico: levantar quais tipos de dados pessoais a empresa já coleta, em quais canais e para quais finalidades. Sem esse levantamento, não é possível saber o que precisa ser ajustado. O erro mais comum é começar pela redação da política de privacidade sem ter feito o mapeamento.
Quanto tempo leva a adequação à LGPD?
A adequação inicial — da primeira reunião de diagnóstico até a publicação da política de privacidade e a revisão dos principais contratos — costuma levar de 2 a 4 meses, dependendo da complexidade dos fluxos de dados e da disponibilidade interna. Com apoio especializado, o processo tende a ser mais rápido e com menos lacunas.
Quem deve liderar a adequação à LGPD na empresa?
O gestor administrativo é o candidato natural para coordenar o processo — é quem controla contratos, documentos, acessos e rotinas do back-office. Em empresas pequenas, pode ser o próprio sócio ou gestor que acumula a função. A validação jurídica das etapas mais complexas deve ser feita por assessor jurídico externo ou DPO.
Como priorizar as ações de adequação à LGPD?
Priorizar pelo risco: primeiro o que envolve dados em maior volume, dados sensíveis ou compartilhamento com terceiros sem controle. Em seguida, os documentos desatualizados ou genéricos (política, contratos, formulários). Por último, os processos de manutenção contínua, como revisão periódica de acessos e treinamentos.
Fontes e referências
- Autoridade Nacional de Proteção de Dados (ANPD). Guia de Boas Práticas e Governança. Brasília: ANPD. Disponível em: gov.br/anpd.
- Sebrae. LGPD: como se adequar passo a passo. Brasília: Sebrae.
- Brasil. Lei nº 13.709, de 14 de agosto de 2018 — Lei Geral de Proteção de Dados Pessoais. Brasília: Presidência da República. Disponível em: planalto.gov.br.