Preciso me adequar à LGPD do zero
Resposta rápida
Adequação à LGPD não é projeto jurídico — é projeto de gestão de dados com forte interface jurídica. Comece por seis frentes simultâneas. Patrocínio executivo formal, com responsabilidade compartilhada entre TI, jurídico, RH e áreas-cliente. Mapeamento dos dados pessoais tratados (quem trata, para quê, com qual base legal, por quanto tempo, com quem compartilha). Escolha e formalização do encarregado (DPO), interno ou externo. Política de privacidade pública e aviso aos titulares. Inventário de operações de tratamento. Plano de ações práticas para fechar os gaps mais críticos. Adequação é processo contínuo, não certificação única — o objetivo do primeiro ciclo é sair do zero com governança real, não atingir maturidade total.
Na empresa pequena, adequação à LGPD é proporcional — não exige consultoria de alto custo nem documentação extensa. Patrocínio costuma vir do dono ou diretor executivo, com apoio do MSP, do contador ou de assessoria jurídica que já atende a empresa. O encarregado (DPO) pode ser externo (escritório de advocacia, consultoria especializada) com custo previsível mensal, ou interno acumulando função, desde que com tempo, treinamento e independência adequados. Foque em mapeamento dos tratamentos efetivos (folha, cliente, fornecedor, marketing), política de privacidade simples no site, contrato com operadores (provedores SaaS, contador) e regra mínima de acesso e retenção. Em pequena, perfeição inicial não existe — comece e melhore.
Na empresa média, adequação vira programa com governança formal. Comitê de privacidade com representantes de TI, jurídico, RH, marketing, comercial e atendimento. Encarregado nomeado formalmente — em volume médio ou em setor regulado, costuma ser interno; em volumes menores, externo qualificado também atende. Mapeamento completo dos tratamentos via inventário documentado (ROPA — Records of Processing Activities), revisão de contratos com operadores, atualização de avisos de privacidade, fluxo definido para atendimento a titular e a incidente. Sistemas internos passam por triagem de adequação: cookies, formulários, CRM, marketing automation, RH digital. Programa, não evento.
Na empresa grande, programa de privacidade é estrutura formal — DPO dedicado, equipe de privacidade, governança integrada com risco e compliance, ferramentas de gestão (privacy management platforms) e indicadores formais (tempo médio de atendimento a titular, número de DPIA realizadas, percentual de operadores com contrato adequado). Cobertura inclui todas as unidades, ambientes (on-premise, cloud, SaaS), terceiros relevantes e cadeia internacional quando aplicável. Treinamento por perfil, auditoria interna periódica, ciclo de revisão anual. O risco maior é programa de papel: sem indicadores acompanhados e sem integração com mudanças de produto e processo, a adequação se descola da operação real e vira passivo regulatório.
- A empresa nunca formalizou nada sobre LGPD
- Cliente, parceiro ou auditor pediu evidência de adequação
- Ninguém sabe ao certo que dados pessoais a empresa trata
- Site não tem política de privacidade ou tem uma copiada de modelo genérico
- Contratos com fornecedores que tratam dado pessoal não mencionam LGPD
- Não há encarregado nomeado nem canal claro para titular exercer direito
Adequação como projeto de gestão, com camada jurídica
O erro mais comum é tratar LGPD como projeto exclusivamente jurídico, terceirizado para escritório de advocacia, sem envolvimento real de TI, processos e áreas que tratam dado. Adequação que fica só no jurídico produz contrato, política e parecer, mas não muda nada na operação. A abordagem prática é multidisciplinar: TI desenha controles técnicos (acesso, retenção, criptografia, log), processos desenham fluxo de tratamento e atendimento a titular, jurídico estrutura base legal e contrato, RH cuida do dado do colaborador, marketing do dado do prospecto, comercial e atendimento do dado do cliente. Cada um cuida da sua frente, com governança que conecta.
Mapeamento dos tratamentos é a base de tudo
Sem saber que dado a empresa trata, para quê e com quem compartilha, qualquer adequação é tese. O mapeamento (ROPA na linguagem internacional, registro de operações de tratamento na ANPD) lista, para cada tratamento: que dados pessoais são coletados, com qual finalidade, com qual base legal, por quanto tempo são retidos, com quem são compartilhados, em que sistema vivem, quais medidas de segurança aplicadas e a quais riscos relevantes estão expostos. Em empresa pequena, planilha estruturada cobre. Em média, vale ferramenta dedicada. Em grande, plataforma de gestão de privacidade. Sem mapeamento, política de privacidade é genérica e atendimento a titular é improviso.
Base legal não é opcional
Cada tratamento de dado pessoal precisa de base legal definida — consentimento, execução de contrato, obrigação legal, exercício regular de direito, legítimo interesse, entre outras. A base não é escolhida pela conveniência: ela depende da relação real entre empresa e titular. Tratamento de dado de colaborador em folha de pagamento tem base contratual e legal; tratamento de dado de cliente em pedido tem base contratual; envio de marketing pode exigir consentimento explícito ou legítimo interesse com balanceamento documentado. Errar a base legal expõe a empresa a risco regulatório direto.
- Patrocínio e governança. Sponsor executivo formal, comitê multidisciplinar, encarregado (DPO) escolhido e nomeado.
- Mapeamento dos tratamentos. ROPA por área, com base legal, retenção, compartilhamento e medidas de segurança.
- Avaliação de gaps. Para cada tratamento, comparar prática atual com requisito legal e priorizar correção por risco.
- Adequações práticas. Política de privacidade, contratos com operadores, fluxo de atendimento a titular, controles técnicos básicos, treinamento por perfil.
- Operacionalização contínua. Revisão periódica, integração com mudança de produto e processo, indicadores acompanhados, ciclo anual de auditoria interna.
Encarregado (DPO) interno ou externo
O encarregado é a figura formal que faz a interface entre empresa, titulares e ANPD. Em empresa pequena, encarregado externo qualificado (escritório de advocacia, consultoria especializada) costuma ser opção sensata — custo previsível, conhecimento atualizado, sem precisar formar gente. Em empresa média, depende do volume e do setor: tratamentos sensíveis ou regulados pedem encarregado interno dedicado ou parcial; volume moderado pode ser atendido por externo. Em empresa grande, encarregado interno dedicado é o padrão, com equipe de privacidade abaixo. O critério é volume, sensibilidade dos tratamentos, recursos e exigência regulatória do setor.
Adequação só jurídica. Política e contrato sem mudança em TI, processo e área deixam a operação igual ao que era antes. LGPD é multidisciplinar.
Mapeamento incompleto. ROPA que esquece tratamentos relevantes (folha, marketing, cliente, fornecedor) produz política e atendimento errados.
Base legal escolhida pela conveniência. Marcar "consentimento" para tudo é o erro mais comum. Base legal segue a relação real, não a preferência da empresa.
Política de privacidade copiada. Copiar texto de outra empresa produz documento desalinhado com o que esta empresa trata. Política precisa refletir o ROPA real.
- Patrocínio executivo formal e comitê multidisciplinar atuando
- Encarregado (DPO) escolhido, nomeado e comunicado publicamente
- Mapeamento dos tratamentos (ROPA) com base legal e retenção por item
- Política de privacidade publicada refletindo o ROPA real
- Contratos com operadores revisados, com cláusulas adequadas
- Fluxo de atendimento a titular definido, com canal e prazo claros
- Plano de ação para gaps prioritários com prazo e responsável