Como este tema funciona na sua empresa
Auditoria LGPD é ad-hoc — quando precisa se preparar para inspeção ANPD ou cliente pede. Sem estrutura formal. Documentação é mínima. Risco: quando fiscalização acontece, não consegue demonstrar conformidade. Solução: assessoria rápida antes de inspeção, documentar controles existentes, corrigir falhas óbvias.
Auditoria LGPD é anual — verifica conformidade com Art. 46 (adequação), Art. 48 (direitos de titular), Art. 49 (segurança). Documentação: registros de tratamento, contratos de operador, políticas. DPO (Data Protection Officer) coordena. Relatório identifica gaps e recomendações.
Auditoria LGPD é contínua — sistema de monitoramento verifica conformidade. Auditorias formais semestral. DPIA (Data Protection Impact Assessment) para novo tratamento de dados. DPO centralizado coordena conformidade global. Documentação é robusta, auditável. Relatório é publicado anualmente em report de sustentabilidade/compliance.
Auditoria de conformidade LGPD é revisão sistemática de aderência a Lei Geral de Proteção de Dados. Escopo: verificar se empresa está colhendo dados legitimamente, protegendo, permitindo direitos de titular (acesso, exclusão), notificando incidentes, documentando. Objetivo: não apenas evitar multa, mas demonstrar due diligence — que empresa se importa em cumprir, não apenas no papel[1]. Auditoria interna (anual) é obrigatória; auditoria externa (por consultoria) é recomendada a cada 2-3 anos para validação independente.
Áreas chave de auditoria LGPD
- Legitimidade da coleta: qual é base legal para coletar dados? Contrato, consentimento, obrigação legal? Verificar: aviso de privacidade é claro? Consentimento foi obtido?
- Minimização de dados: está colhendo apenas o necessário? Ou colhendo "tudo só para ter"? Remover dados desnecessários.
- Retenção: por quanto tempo está guardando? Tem deadline claro? Ou indefinido? Deletar após período.
- Segurança: dados estão criptografados? Acesso é controlado? Backup existe? Auditoria de acesso?
- Direitos de titular: consegue atender pedido de acesso (usuário quer cópia)? Pedido de exclusão (usuário quer deletar)? Pedido de portabilidade (usuário quer transferir para concorrente)?
- Incidentes: se há vazamento, consegue notificar ANPD em prazo? Consegue notificar titular?
- Documentação: existe registro de tratamento? Contrato com operador? Política de privacidade?
Processo de auditoria LGPD
- Planejamento: definir escopo (qual tratamento de dados auditar?), timeline, critérios
- Coleta: documentação (políticas, contratos, registros), entrevistas com stakeholders
- Análise: comparar contra requisitos LGPD, identificar gaps
- Relatório: documentar achados, priorizar remediação, propor roadmap
- Remediação: corrigir não-conformidades, documentar ações
- Follow-up: validar que ações foram implementadas
Checklist de auditoria LGPD
[ ] Aviso de privacidade existe e é claro [ ] Coleta tem base legal [ ] Dados críticos são criptografados [ ] Acesso é controlado [ ] Consegue atender pedido de acesso/exclusão
Adicionar: [ ] Registro de tratamento documentado [ ] Contrato com operador [ ] Política de retenção [ ] Incidente pode ser notificado [ ] DPIA feito para novo tratamento
Adicionar: [ ] Monitoramento contínuo [ ] DPO designado formalmente [ ] Conformidade por divisão [ ] Documentação auditável [ ] Report anual publicado
Sinais de que você não está conforme LGPD
- Não existe aviso de privacidade no website ou é vago
- Coleta dados sem base legal clara — "porque precisa" não é legítimo
- Não consegue atender pedido de acesso (usuário quer saber que dados você tem)
- Não consegue deletar dados mesmo após retenção expirar
- Não há contrato com operador (fornecedor SaaS, nuvem)
- Se houver vazamento, não sabe como notificar ANPD
Caminhos para implementar auditoria LGPD
- Passo 1: Designar DPO (mesmo que part-time)
- Passo 2: Usar checklist LGPD da ANPD
- Passo 3: Documentar gaps encontrados
- Passo 4: Priorizar remediação
- Tipo: Consultoria jurídica ou compliance especializada em LGPD
- Custo: Assessment $5-20k, implementação contínua $50k+/ano
Precisa fazer auditoria de conformidade LGPD?
Se não há estrutura de auditoria LGPD, o oHub conecta você gratuitamente a consultores especializados. Em menos de 3 minutos, descreva sua situação e receba propostas personalizadas, sem compromisso.
Encontrar fornecedores de TI no oHub
Sem custo, sem compromisso. Você recebe propostas e decide se e com quem avançar.
Perguntas frequentes
O que ANPD verifica em auditoria LGPD?
Legitimidade da coleta, documentação (registro de tratamento, contrato de operador), segurança (criptografia, controle de acesso), atendimento a direitos de titular (acesso, exclusão), notificação de incidentes.
Com que frequência fazer auditoria LGPD?
Interna: anual. Externa: a cada 2-3 anos. Frequência maior se há tratamento novo ou mudança regulatória.
Qual é a multa de não-conformidade LGPD?
Até 2% do faturamento anual (máx. $12M) ou até 50M de reais por infração, conforme gravidade.
Como se preparar para inspeção ANPD?
Manter documentação: políticas, contratos, registros de tratamento. Conseguir atender perguntas sobre segurança, retenção, direitos de titular. DPO coordena resposta.
Qual é o custo de auditoria LGPD?
Interna (manual): tempo de pessoal. Externa (consultoria): $5-50k dependendo de tamanho. ROI é alto — evita multa (até $12M).
Preciso de DPO?
Obrigatório se empresa é órgão público, ou se tratamento é de larga escala ou monitoramento sistemático. Outros podem designar DPO voluntariamente (recomendado).
Referências
- LGPD Lei 13.709/2018. Disponível em: https://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm
- ANPD — Orientações sobre Conformidade LGPD. Disponível em: https://www.gov.br/anpd
- ISO/IEC 27701 — Extensão de ISO 27001 para privacidade. Disponível em: https://www.iso.org