LGPD explicada para gestores de TI

O que é LGPD e por que afeta TI

LGPD é lei brasileira (desde 2020, obrigatória desde 2021) que regulamenta coleta, processamento, armazenamento e compartilhamento de dados pessoais. Dados pessoais = qualquer informação que identifique uma pessoa (nome, CPF, email, IP, foto, até cookie com ID único). LGPD exige que empresa: (1) tenha base legal para coletar (consentimento ou interesse legítimo); (2) proteja dados contra vazamento; (3) guarde por tempo mínimo necessário; (4) responda a solicitações do titular ("quero acessar meus dados", "quero deletar"). TI é responsável pelos itens 2, 3, 4 (técnicos). Jurídico e Compliance definem base legal (item 1).

Responsabilidades técnicas de TI sob LGPD

1. Inventário de dados: Mapear quais sistemas armazenam dados pessoais (CRM tem email/CPF, HR tem SSN/endereço, Analytics tem IP/cookie). Documento: Registro de Atividades de Processamento (RATP). Auditar anualmente.

2. Criptografia em trânsito e em repouso: Dados em movimento (email, API) devem ser criptografados (TLS 1.2+). Dados em repouso (banco de dados, backup) devem ser criptografados (AES-256). Dados muito sensíveis (biometria, financeiro) devem ter camada de proteção adicional (tokenização, homomorphic encryption). Não conforme: armazenar email/CPF em texto plano.

3. Controle de acesso: Nem todo funcionário tem direito de acessar todos dados. Implementar: (a) role-based access control (RBAC) = cada função tem permissão limitada; (b) auditoria de quem acessou (logs com quem, quando, que dados). Exemplo: analista de vendas não deveria ver dados de RH.

4. Retenção de dados: Guardar por tempo mínimo necessário. Exemplos: email de marketing pode ser deletado após usuário se desinscrever; CPF de cliente pode ser guardado 5 anos se necessário para contabilidade, depois deve ser deletado. Implementar política de retention automática em bancos/backups (agentar jobs que deletam dados expirados).

5. Direitos do titular: Quando pessoa pedir "envie todos meus dados", TI deve conseguir extrair em 30 dias (direito de acesso). Quando pedir "delete meus dados", TI deve garantir exclusão em 45 dias (direito ao esquecimento). Difícil se dados estão replicados em 10 bancos diferentes. Solução: manter inventário centralizado, documentar fluxos, fazer testes semestrais de "conseguimos deletar todos os dados de uma pessoa?".

6. Resposta a incidentes: Se empresa sofre vazamento (hacker rouba dados de 10k usuários), LGPD exige: (a) notificar autoridade (ANPD) em até 72 horas; (b) documentar: quando descobriu, o que foi comprometido, o que fez pra remediar. TI precisa: ter processo de detecção rápido (SIEM, logs), capaz de responder "quantos registros foram afetados?" em horas, ter plano de remediação pronto.

Implementação prática de LGPD em TI

Fase 1 — Diagnóstico (4-6 semanas): Auditoria: quais sistemas têm dados pessoais? Qual é a cobertura criptografia hoje? Qual é a retenção de dados? Qual é a segregação de acesso? Resultado: relatório de gaps (ex: "50% dos dados não estão criptografados em repouso", "não há auditoria de acesso", "não há processo de exclusão automática").

Fase 2 — Roadmap (2-4 semanas): Priorizar gaps por risco. Exemplo roadmap: (1) Criptografia de banco principal = 3 meses; (2) Implementar RBAC = 2 meses paralelo; (3) Retenção automática = 1 mês; (4) Processo de acesso/exclusão de titulares = 1 mês. Total: 4-5 meses para conformidade básica.

Fase 3 — Implementação (4-6 meses): Executar roadmap. Criptografia: pode exigir downtime (planejado, noturno). RBAC: mais lento (requer conversa com cada departamento). Retenção: desenvolvimento de jobs de limpeza. Acesso/exclusão: procedimento manual no início, depois automatizado.

Fase 4 — Validação contínua (ongoing): Auditorias anuais, testes de disaster recovery (conseguimos recuperar dados deletados por pedido do titular?), monitoramento de logs para detectar acesso anômalo, simulações de incidente.