Como este tema funciona na sua empresa
LGPD afeta principalmente se empresa coleta dados pessoais (clientes, funcionários). Pequena empresa: impacto moderado se é local. Desafio: consultor jurídico é caro. Abordagem: consultar advogado especializado em LGPD uma vez; implementar controles básicos (quem acessa documento com CPF? logs). Inventário simples de onde estão dados pessoais.
LGPD é transformação. Múltiplos fluxos com dados pessoais (cadastro cliente, contrato, folha). Desafio: compliance precisa identificar qual documentação tem dados pessoais; TI precisa implementar controles; auditoria será feita. Abordagem: criar equipe LGPD (jurídico, TI, compliance); mapear dados pessoais em sistema; implementar em ECM (gestão documental eletrônica).
LGPD é transformação organizacional. Data Protection Officer (DPO) é exigência legal. Múltiplos sistemas precisam de ajuste; conformidade contínua; multas são altas (até 2% faturamento, limite R$ 50M). Abordagem: DPO dedicado (pessoa ou consultoria); integração de LGPD em governança; arquitetura de dados que facilita direito ao esquecimento.
LGPD (Lei Geral de Proteção de Dados) exige que empresas gerenciem dados pessoais com controle de acesso, auditoria, direito ao esquecimento, e portabilidade. Impacta gestão documental: como guardar, quem acessa, quanto tempo manter, e como deletar quando solicitado[1].
Direitos do titular conforme LGPD
LGPD dá cinco direitos ao dono do dado:
- Acesso: "Quais dados você tem de mim?" Empresa tem 15 dias para responder com dados em formato legível
- Correção: "Este email está errado, corrija." Empresa tem 15 dias
- Esquecimento: "Delete meus dados." Empresa tem 30 dias (com exceções: obrigação legal de guardar). Desafio técnico: deletar documento que contém CPF mas também contém info obrigatória (ex: nota fiscal com CPF do emitente)
- Portabilidade: "Quero meus dados em arquivo transferível." Formato: CSV, JSON, compatível com outro fornecedor
- Não ser sujeito a decisão automatizada: "Algoritmo negou meu crédito sem revisão humana." Direito de contestar
Obrigações da empresa na gestão documental
Empresa é "controladora" — responsável por:
- Transparência: avisar quando coleta dado ("Coletamos seu email para enviar newsletter. Consentimento? Sim/Não")
- Segurança: guardar documento de forma segura (criptografia em repouso, acesso controlado, logs de auditoria)
- Retenção adequada: não guardar documento indefinidamente. Exemplo: contato de cliente que saiu ? delete após 1 ano. Email interno ? delete após 6 meses. Cadastro de fornecedor ativo ? guardar enquanto contrato ativo + 5 anos por obrigação fiscal
- Direito ao esquecimento: processos para deletar dado quando titular pede. Desafio: documento pode estar em múltiplos lugares (arquivo, backup, logs). Tudo precisa ser deletado
- Notificação de incidente: se vazar dado pessoal, notificar titular e ANPD (Autoridade de Proteção de Dados) em até 15 dias. Não notificar é multa adicional
Mapeamento de dados pessoais: primeiro passo
Começa com inventário simples: "Que documentos a gente tem com dados pessoais?"
| Documento | Dado Pessoal | Fonte | Base Legal | Tempo de Retenção |
|---|---|---|---|---|
| Cadastro Cliente | CPF, email, telefone | Coleta ao assinar contrato | Obrigação legal (contrato) | Enquanto cliente + 5 anos (fiscal) |
| Email interno | Email do destinatário | Envio automático | Legítimo interesse (comunicação interna) | 1 ano (depois arquiva em coldsto) |
| Folha de pagamento | CPF, endereço, dados bancários | Coleta ao contratar | Obrigação legal (eSocial) | 6 anos (conforme NR) |
Implementação técnica: ECM e controle de acesso
Gestão documental eletrônica (ECM) como SharePoint, Alfresco, OpenText ajuda a:
- Controlar acesso: documento com CPF só pode ver quem precisa (RH vê folha; cliente não vê)
- Auditar: logs de quem viu/baixou/modificou documento. Essencial para compliance
- Retenção automática: documento é deletado automaticamente conforme política (ex: email com 1 ano = delete automático)
- Direito ao esquecimento: buscar documento contendo "CPF 123.456.789" e deletar em cascata (arquivo principal + backup + logs, na medida do possível)
- Exportação: usuário pede portabilidade ? ECM exporte em CSV com dados disponíveis
Desafios práticos
Implementação não é trivial:
- Backup e direito ao esquecimento: você deletou documento, mas backup de 3 meses atrás ainda tem. Solução: backup encriptado com chave que você controla; ao deletar, chave é destruída (documento fica inacessível mesmo se restore de backup)
- Logs e auditoria: log de acesso a dado pessoal também é dado pessoal? Resposta: sim, mas exigência de retenção é menos rigorosa (guardar 1-2 anos para auditoria)
- Terceirizados: fornecedor acessa seus documentos? Ele é "operador" segundo LGPD. Contrato deve detalhar obrigações dele
- Volume de requisição: se negócio é grande, requisições de acesso/esquecimento serão frequentes. Automação é crítica
Sinais de que você precisa estruturar conformidade LGPD
Se você se reconhece em três ou mais cenários, conformidade é urgente.
- Você não sabe que documentos sua empresa tem com dados pessoais
- Não existe processo de como alguém pede acesso aos dados pessoais ("direito de acesso LGPD")
- Ninguém sabe quanto tempo guardar documento (contrato, email, cadastro cliente)
- Documentos com dados pessoais podem ser acessados por qualquer um
- Não há logs de quem acessou documento com dado pessoal
- Não existe processo para deletar dado conforme "direito ao esquecimento"
- Backup é irrestrito (alguém restaura arquivo deletado sem autorização)
Caminhos para adequar gestão documental
Pode começar com mapeamento interno ou com consultoria.
Viável para PME se consegue fazer mapeamento e implementar controles básicos.
- Perfil necessário: gestor de TI com noção de compliance, ou consultoria legal em parceria
- Tempo estimado: 4-8 semanas para mapeamento e definição de políticas; 3-6 meses para implementação
- Faz sentido quando: volume de dados pessoais é moderado; ECM já existe
- Risco principal: mapeamento pode estar incompleto; compliance interna pode não cobrir todos cenários
Indicado para garantir conformidade legal e implementação técnica rigorosa.
- Tipo de fornecedor: Consultoria LGPD, Advogado especialista, Implementador de ECM
- Vantagem: legal valida compliance; TI implementa controles técnicos; auditoria de terceiro
- Faz sentido quando: empresa quer garantia de conformidade; risco de multa é alto
- Resultado típico: em 3-4 meses, mapeamento e políticas; em 6-9 meses, implementação técnica completa; auditoria de conformidade
Precisa estruturar conformidade LGPD em gestão documental?
Se implementar controles de LGPD é prioridade, o oHub conecta você a consultores LGPD. Em menos de 3 minutos, descreva seu contexto e receba propostas, sem compromisso.
Encontrar fornecedores de TI no oHub
Sem custo, sem compromisso. Você recebe propostas e decide se e com quem avançar.
Perguntas frequentes
Como adequar arquivos e registros para LGPD?
Passo 1: Inventário — que documentos têm dados pessoais? Passo 2: Base legal — por que guardar? (obrigação legal, contrato, consentimento). Passo 3: Retenção — quanto tempo? (guardar menos que 5 anos se possível). Passo 4: Controle de acesso — quem pode acessar? Passo 5: Direito ao esquecimento — processo para deletar se titular pede.
Quanto tempo guardar dados pessoais conforme LGPD?
Depende de base legal. Consentimento: guardar enquanto houver; titular pode pedir exclusão. Contrato: guardar enquanto contrato ativo + 5 anos (para fiscalização). Obrigação legal: guardar conforme lei (eSocial = 6 anos, fiscal = 5 anos). Sem base legal: deletar imediatamente.
Como implementar direito ao esquecimento em gestão documental?
Difícil: documento pode estar em múltiplos places (arquivo ativo, backup, archive, logs). Solução: política clara (quando alguém pede delete, marca documento como "não acessível"); backup com chave encriptada (deletar chave torna backup inútil); logs segregados (permitido guardar logs conforme lei de auditoria). ECM que suporte retenção automática ajuda.
LGPD exige gestão documental?
Não exigência formal de ECM, mas de facto: sem gestão documental estruturada, muito difícil provar conformidade. Se auditoria pede "demonstre que controla acesso a CPF", você precisa logs. Sem ECM, é manual impossível. Então para PME com volume baixo, pode ser planilha + credencial de acesso disciplinado. Para empresa maior, ECM é essencial.
Como auditar conformidade LGPD em documentos?
Auditoria deve validar: 1) Inventário está completo (encontram documentos que você não sabia que tinha?). 2) Base legal está clara (por que cada documento é guardado?). 3) Retenção é respeitada (documento "antigo" demais foi deletado?). 4) Acesso é controlado (logs existem?). 5) Direito ao esquecimento funciona (conseguem deletar?). Anual é recomendado.
Qual é a multa de não-conformidade com LGPD?
Até 2% do faturamento (limite R$ 50M). Exemplo: empresa com R$ 100M faturamento, multa pode ser até R$ 2M. Multa não é automática — ANPD investiga e aplica baseado em gravidade (violação simples = multa menor; violação grave com dano = máxima). Melhor evitar: implementar compliance.