Como este tema funciona na sua empresa
LGPD vista como obrigação burocrática externa, delegada a alguém sem expertise. TI não entende a conexão. O desafio é que conformidade LGPD exige ações de TI (acesso restrito, criptografia, backup). Abordagem: inventário simples de dados pessoais, implementação de segurança básica, política de uso de dados clara.
DPO (Data Protection Officer) nomeado; TI começando a ser envolvido em iniciativas de LGPD. O desafio é integração entre TI e Legal/Compliance — são mundo separado. Abordagem: mapeamento de fluxo de dados, política de proteção por sistema, auditoria de acesso, plano de resposta a incidente.
LGPD integrado em governança; programa de compliance estruturado. TI é parceiro crítico. O desafio é manter conformidade em escala, múltiplas plataformas, terceiros. Abordagem: Data Protection Office integrado com GRC, automação de compliance, contratos com cláusulas LGPD, auditoria contínua.
Governança de TI e LGPD conectam porque LGPD (Lei Geral de Proteção de Dados) exige que dados pessoais sejam protegidos — criptografia, acesso restrito, backup seguro, auditoria — tudo responsabilidade técnica de TI. Governança de TI que não inclua requisitos de LGPD deixa empresa exposta legalmente.
LGPD não é responsabilidade apenas de Legal
LGPD é frequentemente delegada a advogado ou compliance officer — "aqui, legal cuida disso". Realidade: LGPD exige ações técnicas que só TI consegue fazer. Legal define política, TI implementa.
Exemplos: quando cliente pede "direito ao esquecimento" (deletar dados), é TI que executa a deleção nos sistemas. Quando auditoria exige "rastreabilidade de acesso a dados", é TI que configura logs. Quando regulador descobre que dados foram vazados, TI é responsável por investigar como aconteceu e implementar controle para não repetir.
A Lei 13.709 (LGPD) coloca responsabilidade na organização: empresa é responsável por proteger dados, independentemente de legal ter feito contrato. Se não proteger, sofre multa — e multa LGPD é alta (até 2% da receita, máximo 50 milhões por infração)
[1].
Requisitos de LGPD que exigem ação de TI
LGPD define cinco requisitos principais que impactam TI:
1. Consentimento: TI precisa controlar acesso a dados conforme consentimento dado
Consentimento significa pessoa sabe que você coletou dado dela e aceita. Se cliente não aceitou receber e-mail, TI não deve permitir que marketing envie e-mail. Isso exige: marcação de consentimento em sistema, validação antes de enviar.
2. Segurança: dados em trânsito e em repouso precisam de proteção
Segurança sob LGPD exige criptografia de dados sensíveis (senha, documento, dados médicos). Dado que viaja pela internet precisa de criptografia (SSL/TLS). Dado armazenado precisa estar criptografado — se alguém roubar backup, não consegue ler informação sensível.
3. Direitos de titular: TI executa acesso, correção, esquecimento
Direitos do titular são: acesso (pessoa quer saber quais dados você tem dela), retificação (corrigir informação errada), esquecimento (deletar dado), portabilidade (receber em formato portável). TI precisa ter processo para atender em prazo razoável (LGPD não define prazo exato, mas implica "rápido").
4. Notificação de incidente: TI investiga e Legal comunica
Incidente de dados (vazamento, roubo) exige investigação técnica (TI) e comunicação com órgão regulador (ANPD) se dados sensíveis foram expostos. TI precisa ter plano de resposta: como detectar, como investigar, como recuperar.
5. Retenção de dados: TI implementa política de deleção automática
LGPD exige que dados sejam deletados quando não são mais necessários — não pode armazenar para sempre. TI implementa: política de retenção (guardar cliente por X anos, depois deletar), automação (backup antigo deleta automaticamente, não fica pendurado).
Mapeamento de fluxo de dados: essencial para conformidade
Primeiro passo de conformidade LGPD é saber onde estão dados pessoais. Isso parece óbvio, mas muitas empresas descobrem dados em lugar inesperado — backup antigo em servidor esquecido, integração com sistema terceiro.
Mapeamento de fluxo responde: onde estão dados pessoais? Quem coleta? Quem armazena? Quem acessa? Quem transmite para terceiro? Documentar isso em uma matriz é essencial — se regulador auditar, você prova que sabe onde estão dados.
Mapeamento simples: cliente em CRM, dados de funcionário em planilha, backup em Google Drive. Responsável identifica todos os sistemas onde dados pessoais estão.
Mapeamento estruturado: para cada sistema, documentar: que dados, como coletados, quem tem acesso, como protegidos, onde armazenado. Matriz ROPA (Records of Processing Activities).
Ferramenta de mapeamento (algumas plataformas de GRC incluem). Automatização de descoberta: scanner identifica dados pessoais em sistemas, classifica, valida conformidade.
Inventário de sistemas e controles atuais
Depois de saber onde estão dados, responder: que controles existem hoje? Sistema tem login com senha? Dados estão criptografados? Tem backup? Acesso é auditado?
Inventário precisa incluir: nome do sistema, dados que processa, proprietário do sistema, controles de segurança atuais (autenticação, criptografia, backup, auditoria), e gaps (o que falta para ser compliant).
Técnica: criptografia, acesso e auditoria
Implementação técnica de LGPD envolve três pilares:
Criptografia: dado não é legível sem chave
Criptografia de dados sensíveis é essencial. Dados em repouso (armazenado) devem ser criptografados — se alguém roubar backup ou disco, não consegue ler. Dados em trânsito devem usar HTTPS — comunicação entre navegador e servidor é criptografada.
Controle de acesso: quem tem acesso a quê
Acesso precisa ser granular: gerente de vendas acessa cliente, não salário. RH acessa folha, não cliente. Controle de acesso em banco de dados (role-based access control) garante que pessoa vê apenas o que precisa para trabalho.
Auditoria: rastreabilidade de quem acessou
Auditoria registra quem acessou quais dados, quando e para quê. Se houver suspeita de vazamento, auditoria ajuda investigar. Logs precisam ser mantidos por período apropriado (alguns anos) — não pode deletar logs quando convém.
Resposta a incidente: plano de ação rápida
Incidente de dados (vazamento, roubo) exige resposta rápida. LGPD não define prazo para comunicar ANPD, mas lei recomenda "sem demora". Empresa que demora meses para comunicar sofre multa maior.
Plano de resposta a incidente deve incluir: como detectar (monitoramento de anomalias, alertas), como investigar (preservar evidência, forensics), como comunicar (quem notifica titular, quem avisa ANPD), e como remediar (corrigir vulnerabilidade, implementar controle).
Conformidade contratual: cláusulas LGPD em contratos
Se você contrata terceiro para processar dados (cloud, SaaS, fornecedor), contrato precisa de cláusulas LGPD: fornecedor é Processador (processa por sua conta), você é Controlador (define uso). Contrato deve especificar: que dados, para quê, como proteger, onde armazenar, direitos de auditar fornecedor.
Sem cláusula apropriada, você é responsável se fornecedor falhar na proteção — não tem "achei que fornecedor cumpria".
Sinais de que sua empresa não está pronta para LGPD
Se você se reconhece em três ou mais cenários abaixo, conformidade LGPD deve ser prioridade imediata.
- Não consegue listar quais sistemas têm dados pessoais de cliente ou funcionário
- LGPD é responsabilidade de Legal; TI não sabe o que fazer
- Não tem processo para atender direito de acesso/esquecimento (alguém não sabe como deletar dados de cliente em sistema)
- Dados sensíveis não estão criptografados; armazenados em texto claro em servidor
- Não tem auditorias de acesso; não consegue dizer quem acessou dados de cliente ontem
- Nunca testou plano de resposta a incidente; não sabe quanto tempo demora para investigar vazamento
- Contratos com fornecedor não mencionam LGPD ou cláusulas de proteção de dados
Caminhos para implementar conformidade LGPD em TI
Implementação de conformidade LGPD pode ser liderada por TI com suporte de Legal, ou com ajuda de consultoria especializada.
Viável quando empresa tem especialista em segurança com conhecimento de LGPD.
- Perfil necessário: especialista em segurança da informação com entendimento de LGPD ou engenheiro com experiência em compliance
- Tempo estimado: 3 a 6 meses para mapeamento inicial e implementação de controles básicos
- Faz sentido quando: empresa tem capacidade interna, não é primeira vez
- Risco principal: implementação pode ficar focada em TI, deixar gaps em processo de negócio
Recomendado para primeira implementação ou empresa em setor regulado.
- Tipo de fornecedor: Consultoria de compliance LGPD ou Consultoria de segurança com expertise em LGPD
- Vantagem: experiência em padrões, integração com legal, implementação mais rápida
- Faz sentido quando: empresa é regulada ou nunca passou por conformidade LGPD
- Resultado típico: em 2 a 4 meses, diagnóstico, roadmap de conformidade, implementação de quick wins
Precisa estruturar conformidade LGPD em TI?
Se LGPD é prioridade, o oHub conecta você gratuitamente a consultorias de compliance e especialistas em segurança. Em menos de 3 minutos, você descreve sua necessidade e recebe propostas personalizadas, sem compromisso.
Encontrar fornecedores de TI no oHub
Sem custo, sem compromisso. Você recebe propostas e decide se e com quem avançar.
Perguntas frequentes
Qual é a relação entre LGPD e governança de TI?
LGPD estabelece requisitos legais para proteção de dados (criptografia, acesso, retenção). Governança de TI é como implementar esses requisitos — processos, controles, monitoramento. LGPD é a lei; governança é o caminho para cumprir.
Como TI contribui para conformidade com LGPD?
TI é responsável por implementar controles técnicos: criptografia de dados sensíveis, controle de acesso baseado em papel, auditoria de acessos, backup seguro, plano de resposta a incidente. Sem TI, conformidade LGPD não é possível.
Quais são os requisitos técnicos da LGPD?
Requisitos técnicos incluem: criptografia (dados em repouso e em trânsito), controle de acesso (quem acessa o quê), auditoria (rastreabilidade), backup (recuperação), e segurança contra incidente (detectar, investigar, responder). Todos devem ser documentados e regularmente testados.
Como implementar segurança de dados conforme LGPD?
Segurança sob LGPD exige: 1) identificar dados sensíveis, 2) criptografar dados em repouso, 3) usar HTTPS para dados em trânsito, 4) controlar acesso (quem vê o quê), 5) auditar acessos, 6) manter backup criptografado. Tudo precisa ser documentado para auditoria.
O que é Data Protection Officer (DPO)?
DPO é responsável por garantir conformidade LGPD. Pode ser pessoa interna ou contratada. Trabalha com TI (implementação técnica), Legal (conformidade contratual), e negócio (políticas de uso de dados). Não precisa ser advogado — pode ser especialista em segurança ou compliance.
Como documentar conformidade com LGPD?
Documentação essencial inclui: ROPA (Records of Processing Activities) — onde estão dados, como usados; DPIA (Data Protection Impact Assessment) — avaliação de risco; política de retenção de dados; contrato com fornecedores com cláusulas LGPD; registro de incidentes e resposta; comprovação de testes de segurança e recuperação de backup.