Passos práticos para adequação à LGPD (Guia completo)

Passos práticos para adequação à LGPD (Guia completo)

Confira neste guia completo como se adequar à LGPD!

1. Comprometimento da liderança e governança

A adequação começa no topo. Sem decisão executiva e orçamento, o projeto patina.

O que fazer:

• Conseguir compromisso formal da diretoria (patrocínio e recursos).
• Nomear um responsável pelo programa de privacidade (comitê interno) — idealmente, Sponsor Executivo + Encarregado/ DPO (pode ser funcionário ou contratado).
• Definir objetivos do projeto (níveis de risco aceitáveis, escopo: unidades, países, sistemas).
• Estabelecer política de privacidade corporativa e mandato do comitê.

Entregáveis:

• Ata de posse do Sponsor + termo de governança.
• Política de Privacidade corporativa aprovada.

Responsáveis: direção, jurídico, TI, RH.

2. Mapeamento de dados (data mapping) — passo crítico

Sem saber quais dados circulam, onde e por que, nada funciona. O mapeamento é o coração da LGPD.

O que fazer:

• Inventariar todos os “ativos de dados” (sistemas, planilhas, CRMs, formulários, provedores, contratos).
• Para cada fluxo, registrar: finalidade, categorias de dados (pessoais / sensíveis), base legal, responsável (controlador/operador), período de retenção, transferências (internas/externas) e medidas de segurança aplicadas.
• Priorizar processos críticos (recursos humanos, clientes, fornecedores, marketing, cobrança).

Entregáveis:

• Mapa de Dados centralizado (planilha ou sistema GRC) com pelo menos: Sistema | Dado | Finalidade | Base Legal | Localização | Retenção | Operador | Risco.
• Mapa de fluxos críticos (diagramas).

Responsáveis: Encarregado/DPO, TI, áreas-solicitantes.

Dica prática: comece pelos 10 sistemas que concentram a maior quantidade de dados pessoais (Pareto).

3. Avaliação de riscos e Data Protection Impact Assessment (DPIA)

Identificar riscos e mitigá-los antes que virem incidentes.

O que fazer:

• Para cada processamento identificado como alto risco (ex.: tratamento de dados sensíveis, monitoramento em larga escala, transferência internacional), realizar DPIA: descrever o processamento, avaliar severidade e probabilidade, listar mitigantes e decisões.
• Priorizar mitigantes técnicos e organizacionais (p.ex.: criptografia, controle de acesso, anonimização).

Entregáveis:

• Relatórios DPIA com plano de ação e registro de decisões (aceitar/mitigar/rejeitar).

Responsáveis: DPO, líder do processo, TI, jurídico.

Critério de alto risco: tratamento massivo, dados sensíveis, finalidade inovadora sem expectativa razoável do titular.

4. Revisão e atualização de bases legais e políticas de consentimento

É essencial justificar o tratamento por uma base legal adequada.

O que fazer:

• Para cada finalidade (marketing, folha, cobrança, analytics), definir a base legal aplicável: consentimento, execução de contrato, obrigação legal, exercício regular de direitos, proteção do crédito, interesse legítimo etc.
• Revisar todos os formulários, banners, contratos e comunicações que coletam dados para garantir informações claras e específicas (finalidade, tempo de retenção, direito de revogar consentimento).
• Implementar um mecanismo de gestão de consentimento (CMP) para cookies e marketing quando o consentimento for a base legal.

Entregáveis:

• Matriz de bases legais por finalidade.
• Modelos de avisos/consentimento (formulários, banners, scripts).

Responsáveis: jurídico, marketing, DPO, TI.

Atenção: se usar “interesse legítimo”, documente análise de balanceamento (legitimate interest assessment).

5. Contratos e governança com terceiros (operadores / subprocessadores)

Fornecedor mal contratado = risco alto. Atualize contratos com cláusulas LGPD.

O que fazer:

• Identificar todos os operadores (cloud, ERPs, gateways, fornecedores que processam dados).
• Atualizar contratos/ADTs com cláusulas mínimas: finalidade, instruções do controlador, medidas de segurança, subcontratação (subprocessors), auditoria, prazo de retenção, obrigação de notificar incidentes, regras para transferência internacional e devolução/eliminação de dados.
• Fazer due diligence em provedores críticos (segurança, certificações, localização dos dados).

Entregáveis:

• Aditivos contratuais prontos.
• Inventário de operadores com status de conformidade.

Responsáveis: jurídico, procurement, DPO.

Dica: priorize renegociação dos contratos com fornecedores que tratam PII sensível ou que hospedam dados fora do país.

6. Segurança da informação: medidas técnicas e organizacionais

A LGPD exige medidas de segurança “técnicas e administrativas” adequadas ao risco.

O que fazer:

• Implementar controles essenciais: gestão de acesso (princípio do menor privilégio), autenticação multifator, criptografia em trânsito e repouso para dados sensíveis, logs e monitoramento, backups e testes de restauração.
• Policy stack: classificação de dados, controle de endpoints, gestão de vulnerabilidades, hardening de servidores, WAF e DLP quando aplicável.
• Programa de gestão de vulnerabilidades: pentests regulares, patch management e correção de vulnerabilidades críticas.
• Plano de resposta a incidentes (IRP) e playbook para vazamento de dados (com templates de comunicação para titulares e ANPD).

Entregáveis:

• Inventário de controles implementados + gap analysis.
• Plano de remediação com prazos e responsáveis.
• IRP documentado e testado.

Responsáveis: CISO/TI, DPO, segurança.

Padrão mínimo sugerido: MFA em acessos administrativos, criptografia de bases com dados sensíveis, logs de auditoria por 6–12 meses.

7. Direitos dos titulares: processos e SLAs

Criar um fluxo eficiente para responder solicitações (acesso, correção, exclusão, portabilidade, oposição, revogação).

O que fazer:

• Definir canal(es) centralizados para solicitação de direitos (email, formulário web, portal).
• Construir workflow: recebimento → verificação de identidade → análise do pedido → execução → resposta documentada.
• Estabelecer SLA interno (sugestão: responder em até 15 dias corridos, com possibilidade de prorrogação documentada).
• Gerar templates de resposta e logs de atendimentos.

Entregáveis:

• Workflow operacional e templates.
• Registro de requests (chamados) com status.

Responsáveis: DPO, atendimento, jurídico, TI.

Observação: a LGPD exige registro das solicitações e respostas — mantenha trilha de auditoria.

8. Retenção e eliminação de dados (data retention policy) em concordância com LGPD

Defina “quanto tempo” e como eliminar de forma segura.

O que fazer:

• Criar política de retenção por categoria de dados (ex.: RH — 5 anos após desligamento; clientes — pelo prazo contratual + obrigações fiscais).
• Implementar processos automáticos para expurgo (delete) em sistemas, com backup/recuperação controlada.
• Registrar justificativa legal para cada período de retenção.

Entregáveis:

• Tabela de retenção (categoria | finalidade | base legal | período | ação ao fim).
• Procedimento de eliminação segura (wipe, criptographic erasure, logs).

Responsáveis: TI, jurídico, DPO.

Importante: evidencie quando dados são preservados por obrigação legal (fiscal, trabalhista).

9. Transferências internacionais de dados

Se você exporta dados, é preciso cuidado.

O que fazer:

• Mapear transferências para provedores ou filiais no exterior.
• Validar mecanismos permitidos: decisão de adequação, cláusulas contratuais padrão, normas corporativas vinculantes (BCR), ou garantias/consentimento explícito quando aplicável.
• Documentar justificativas e medidas adicionais (criptografia, segregação).

Entregáveis:

• Inventário de transferências internacionais + mecanismo adotado.
• Cláusulas contratuais específicas.

Responsáveis: jurídico, DPO, TI.

10. Treinamento, cultura e comunicação interna sobre LGPD

A LGPD é tanto tecnologia quanto gente. Pessoas erram — treine-as.

O que fazer:

• Treinar todas as áreas (RH, comercial, financeiro, suporte) com módulos adaptados; liderança deve passar por formação aprofundada.
• Criar campanha interna de conscientização (boas práticas, phishing, classificação de dados, como responder a pedidos).
• Incluir LGPD em processos de onboarding e em contratos de colaboradores (cláusulas de confidencialidade).

Entregáveis:

• Plano anual de treinamentos + material (slides, quizzes).
• Registros de participação.

Responsáveis: RH, DPO, comunicação interna.

Métrica: percentuais de colaboradores treinados, taxa de aprovação em quiz.

11. Monitoramento, auditoria e melhoria contínua na LGPD

A conformidade é um processo, não um projeto único.

O que fazer:

• Estabelecer auditorias internas periódicas (triagem trimestral, auditoria anual completa).
• KPIs de privacidade: tempo médio de resposta a SARs (subject access requests), número de incidentes, tempo de detecção e mitigação (MTTD/MTTR), percentual de fornecedores em conformidade.
• Revisão anual da DPIA e das políticas.

Entregáveis:

• Relatório de auditoria com plano de ação.
• Dashboard de KPIs de privacidade.

Responsáveis: DPO, auditoria interna, TI.

12. Plano de resposta a incidentes e comunicação de vazamento em relação à LGPD

Prepare-se para o pior — e comunique certo.

O que fazer:

• Ter IRP com papéis, checklist de contenção, forense e comunicação.
• Definir quando notificar titulares e ANPD; embora a LGPD não fixe prazo exato, o recomendado pelo mercado é comunicar tão logo seja possível — preferencialmente em até 72 horas úteis após confirmação do incidente.
• Preparar templates: comunicado ao titular, comunicado à ANPD, FAQ para imprensa.

Entregáveis:

• IRP testado com tabletop exercises.
• Templates e lista de contatos (jurídico, PR, autoridade, bancos).

Responsáveis: DPO, jurídico, TI, comunicação.

13. Privacidade desde o design (Privacy by Design) e por padrão (Privacy by Default)

Incorpore privacidade em novos projetos.

O que fazer:

• Padrão: exigir avaliação de privacidade (DPIA) antes do lançamento de produtos.
• Projetar configurações iniciais com o menor nível de dados possível (opt-in vs opt-out) e opções claras de consentimento.
• Requerer revisão de arquitetura para novos sistemas (minimização, pseudonimização, logs limitados).

Entregáveis:

• Checklist de PbD para projetos (requisitos mínimos).
• Processo obrigatório de avaliação antes do go-live.

Responsáveis: produto, TI, DPO.

14. Comunicação externa: políticas e transparência da LGPD

Seja claro com clientes, fornecedores e candidatos.

O que fazer:

• Atualizar políticas públicas: Política de Privacidade, Política de Cookies, Avisos em formulários.
• Incluir linguagem simples, finalidades, base legal, tempo de retenção, contatos do DPO.
• Disponibilizar canal de dúvidas e reclamações.

Entregáveis:

• Páginas de política atualizadas e auditadas por jurídico.
• Logs de consentimento e versões históricas.

Responsáveis: marketing, jurídico, DPO.

15. Cronograma sugerido (roadmap / prioridades)

Exemplo prático para execução:

• 0–1 mês (Quick wins): comprometimento executivo, nomeação do DPO, inventário dos 10 principais sistemas, banner atual de cookies básico.
• 1–3 meses: mapeamento completo de dados (fase 1), política de privacidade revisada, contratos prioritários enviados para aditivo, criação do workflow de SAR.
• 3–6 meses: DPIAs das áreas críticas, implementação de controles técnicos (MFA, criptografia em dados sensíveis), treinamento organizacional inicial.
• 6–12 meses: revisão de fornecedores, automações de expurgo, auditoria interna, testes de IRP, privacidade por design em novos projetos.
• 12+ meses: auditorias periódicas, melhoria contínua e maturidade de privacidade.

KPIs e métricas para medir conformidade

Mensure progresso com números:

• % de sistemas mapeados vs. total.
• % de fornecedores com aditivo LGPD.
• Tempo médio de resposta a solicitações de titulares (dias).
• Número de incidentes por trimestre e tempo médio de resolução (MTTR).
• % de colaboradores treinados.
• % de recomendações de auditoria fechadas no prazo.

Modelos e templates essenciais

1. Registro de tratamento (ex.: planilha): ID | Sistema | Finalidade | Tipo de dado | Base legal | Retenção | Localização | Controlador | Operador | Risco | Observações.
2. Template DPIA: descrição do processamento | finalidade | dados envolvidos | impacto possível | probabilidade | medidas mitigadoras | residual risk | decisão.
3. Aditivo de operador: finalidades, instruções do controlador, segurança mínima, subcontratação, obrigação de notificação de incidentes, auditoria, prazo de retenção, devolução/eliminação.
4. Formulário SAR: nome do titular | documento de identidade | contato | pedido | data de recebimento | verificação de identidade | resposta | evidências.
   (Se quiser, eu posso gerar esses modelos em XLS/Word.)

Checklist rápido de implementação sobre a LGPD

• Direção comprometida e DPO nomeado.
• Inventário/Mapa de Dados inicial (top 10 sistemas).
• Política de Privacidade atualizada pública.
• Workflow de atendimento a titulares implementado.
• Aditivos contratuais para operadores críticos.
• Controles técnicos mínimos implementados (MFA, backup, criptografia).
• Plano de Resposta a Incidentes documentado e testado.
• Treinamento inicial de 100% das áreas críticas.
• DPIAs para tratamentos de alto risco.
• Processo de revisão/privacidade por design para novos projetos.

Observações finais e boas práticas da LGPD

• Privacidade é contínuo: revise políticas e controles sempre que houver mudança tecnológica, regulatória ou de mercado.
• Documente tudo: a melhor defesa em fiscalização é a prova de diligência.
• Equilibre segurança e usabilidade: excessos podem atrapalhar negócios — priorize riscos.
• Use abordagens pragmáticas: comece pelo que tem maior impacto e risco (clientes, RH, cobranças).
• Considere certificações e frameworks (ISO 27701, SOC2) para ganhar confiança no mercado.