LGPD na prática: como adequar a empresa à Lei Geral de Proteção de Dados

O que a LGPD exige: princípios, bases legais e direitos dos titulares

A Lei Geral de Proteção de Dados (Lei nº 13.709/2018, em vigor desde setembro de 2020) regula qualquer operação de tratamento de dados pessoais realizada por pessoa física ou jurídica, online ou offline, sempre que a operação ocorrer no Brasil, tiver por objetivo oferecer bens ou serviços a pessoas no país, ou tratar dados de pessoas localizadas no território nacional. Não há piso de faturamento ou número de funcionários: a lei alcança da multinacional ao MEI que coleta e-mail de cliente.

Todo tratamento deve obedecer aos dez princípios do art. 6º: finalidade, adequação, necessidade (minimização), livre acesso, qualidade dos dados, transparência, segurança, prevenção, não discriminação e responsabilização e prestação de contas (accountability). Na prática, esses princípios significam coletar apenas o dado estritamente necessário para uma finalidade declarada e legítima, e ser capaz de demonstrar conformidade documentalmente.

Nenhum dado pessoal pode ser tratado sem uma das dez bases legais do art. 7º (dados comuns): consentimento, cumprimento de obrigação legal ou regulatória, execução de políticas públicas, estudos por órgão de pesquisa, execução de contrato, exercício de direitos em processo, proteção da vida, tutela da saúde, legítimo interesse e proteção ao crédito. Dados pessoais sensíveis (origem racial, saúde, biometria, dados genéticos, orientação sexual, filiação sindical ou religiosa) têm regime mais restrito no art. 11, sem a base de legítimo interesse e com hipóteses específicas.

Os titulares têm direitos exigíveis a qualquer momento (art. 18): confirmação da existência de tratamento, acesso aos dados, correção, anonimização ou eliminação de dados desnecessários, portabilidade, eliminação dos dados tratados com consentimento, informação sobre compartilhamentos e revisão de decisões automatizadas. A empresa deve responder a essas solicitações em prazo razoável e manter canal de atendimento ao titular operacional.

O papel do Encarregado (DPO) na conformidade LGPD

O Encarregado pelo Tratamento de Dados Pessoais (art. 5º, VIII, e art. 41) — equivalente ao Data Protection Officer (DPO) — é a pessoa indicada pelo controlador para atuar como canal de comunicação entre a empresa, os titulares e a Autoridade Nacional de Proteção de Dados (ANPD). A LGPD exige que sua identidade e informações de contato sejam divulgadas publicamente, de forma clara e objetiva, preferencialmente no site da organização.

As atribuições legais do Encarregado são: receber reclamações e comunicações dos titulares e prestar esclarecimentos; receber comunicações da ANPD e adotar providências; orientar funcionários e contratados sobre práticas de proteção de dados; e executar as demais atribuições definidas pelo controlador ou em normas complementares. O Encarregado funciona como o eixo de governança que mantém o programa de privacidade vivo após a adequação inicial.

A LGPD não obriga que o Encarregado seja um profissional interno, advogado ou exclusivo: o cargo pode ser ocupado por pessoa jurídica e o serviço pode ser terceirizado (DPO as a Service), modelo adequado para fintechs, startups e e-commerces que não comportam uma estrutura de privacidade dedicada. Agentes de pequeno porte, conforme a Resolução CD/ANPD nº 2/2022, estão dispensados da indicação obrigatória, mas, se optarem por não indicar, devem disponibilizar um canal de comunicação com o titular.

Como fazer a adequação à LGPD na prática

A adequação começa pelo mapeamento de dados (data mapping) e pela construção do Registro das Operações de Tratamento (RoPA — Record of Processing Activities, previsto no art. 37). O RoPA inventaria, para cada processo de negócio, quais dados pessoais são coletados, de quem, com qual finalidade, por quanto tempo são retidos, com quem são compartilhados (incluindo operadores e suboperadores) e onde estão armazenados. Sem esse inventário, não há como definir bases legais nem avaliar risco.

Com o mapeamento pronto, atribui-se uma base legal a cada operação e elimina-se tratamento sem amparo. Atividades de alto risco — uso de legítimo interesse, tratamento de dados sensíveis ou em larga escala, monitoramento sistemático ou novas tecnologias — exigem um Relatório de Impacto à Proteção de Dados Pessoais (RIPD/DPIA, art. 5º, XVII, e art. 38), documento que descreve os tratamentos, os riscos aos titulares e as medidas de mitigação.

Em paralelo, formaliza-se a camada documental e contratual: política de privacidade externa em linguagem clara, política interna de proteção de dados, gestão de consentimento quando aplicável, cláusulas de proteção de dados nos contratos com operadores (processadores) e revisão de transferências internacionais. Cada fornecedor que trata dados em nome da empresa precisa de instrumento contratual que distribua responsabilidades.

A adequação só é real quando os controles técnicos e organizacionais de segurança (art. 46) acompanham o jurídico, e quando há um plano de resposta a incidentes pronto para acionar a notificação à ANPD. Conformidade documental sem segurança da informação efetiva é vulnerável a vazamentos — e é exatamente o vazamento que aciona as sanções da lei.

Multas e fiscalização da ANPD: sanções, dosimetria e casos reais

A ANPD pode aplicar as sanções do art. 52 da LGPD: advertência; multa simples de até 2% do faturamento da pessoa jurídica no Brasil no último exercício, excluídos os tributos, limitada a R$ 50 milhões por infração; multa diária com o mesmo teto; publicização da infração; bloqueio dos dados pessoais; eliminação dos dados; suspensão parcial ou total do funcionamento do banco de dados ou da atividade de tratamento; e proibição parcial ou total do exercício de atividades de tratamento.

O cálculo das multas segue a Resolução CD/ANPD nº 4/2023 (Regulamento de Dosimetria). As infrações são classificadas em leves, médias e graves, e o valor-base parte da classificação da infração, do faturamento do infrator e do grau do dano causado, definido em metodologia detalhada no Apêndice I da resolução. O valor pode ser acrescido entre 5% e 90% em casos de reincidência, descumprimento de medidas preventivas ou corretivas e outras agravantes, e reduzido por atenuantes como adoção de política de boas práticas e cooperação com a autoridade.

A fiscalização deixou de ser teórica. A primeira multa da ANPD foi aplicada à microempresa Telekall Infoservice (Processo Administrativo nº 00261.000489/2022-62) por tratar dados sem base legal e por ausência de Encarregado — evidência de que o porte da empresa não afasta a sanção. A autoridade já notificou e fiscalizou grandes operadores e conduz fiscalizações temáticas em setores de alto risco como financeiro, telecomunicações e saúde.

Segurança da informação como pilar da LGPD: ISO 27001 e controles técnicos

O art. 46 da LGPD obriga os agentes de tratamento a adotar medidas de segurança técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão. A lei não enumera controles específicos, mas a ANPD recomenda padrões reconhecidos, e a norma ISO/IEC 27001 — sistema de gestão de segurança da informação (SGSI) — é o framework de referência para demonstrar essa adequação.

Na prática, os controles que sustentam a conformidade incluem criptografia de dados em trânsito (TLS) e em repouso, gestão de identidade e acesso com privilégio mínimo e autenticação multifator (MFA), segmentação de rede, registro e monitoramento de logs (trilhas de auditoria), gestão de vulnerabilidades e patches, pseudonimização e anonimização quando viável, backups testados e política de retenção e descarte seguro. A ISO/IEC 27701 estende a 27001 com um sistema de gestão de privacidade da informação (PIMS) alinhado à LGPD.

Controles técnicos não são opcionais frente à dosimetria: a adoção de medidas de segurança eficazes funciona como atenuante na fixação da multa, enquanto a ausência delas agrava a sanção e amplia a superfície de vazamento. O pentest periódico é o mecanismo que valida, com evidência ofensiva, se esses controles resistem a um atacante real — e não apenas no papel. A Decripte implementa o ciclo completo: avaliação de risco, hardening, ISO 27001 e teste de intrusão para fechar o gap entre conformidade declarada e segurança efetiva.

Notificação de incidente de segurança à ANPD: prazo de 3 dias úteis

A Resolução CD/ANPD nº 15/2024 aprovou o Regulamento de Comunicação de Incidente de Segurança (RCIS), que operacionaliza o art. 48 da LGPD. O controlador deve comunicar à ANPD e aos titulares afetados a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares, em prazo de até 3 (três) dias úteis contados da data em que confirmar que o incidente afetou dados pessoais.

O incidente é considerado de risco ou dano relevante quando puder afetar significativamente direitos fundamentais dos titulares e, cumulativamente, envolver ao menos um destes critérios: dados pessoais sensíveis, dados de crianças ou adolescentes, dados financeiros, dados de autenticação em sistemas, dados protegidos por sigilo legal ou contratual, ou dados tratados em larga escala. Danos como discriminação, fraude financeira, roubo de identidade ou violação à imagem e à reputação caracterizam relevância.

A comunicação à ANPD é feita por formulário eletrônico oficial e pode ser complementada, de forma fundamentada, em até 20 (vinte) dias úteis da comunicação inicial. Para agentes de pequeno porte, conforme a Resolução CD/ANPD nº 2/2022, os prazos são contados em dobro. A comunicação aos titulares deve descrever a natureza do incidente, os dados afetados, os riscos envolvidos e as medidas adotadas ou recomendadas para mitigar os efeitos.

O prazo de 3 dias úteis pressupõe uma capacidade de resposta a incidentes já montada antes do evento: detecção, triagem, contenção e a investigação forense que determina escopo e dados afetados. É nessa janela que a Decripte atua com SLA de contenção de incidente crítico em até 1 hora, conduzindo a resposta técnica e instruindo a notificação regulatória dentro do prazo legal.

Passo a passo

1. Mapeie todo o tratamento de dados pessoais e construa o RoPA (Registro das Operações de Tratamento), identificando quais dados são coletados, finalidade, retenção, compartilhamentos e local de armazenamento.
2. Atribua uma base legal (art. 7º ou art. 11) a cada operação de tratamento e elimine qualquer tratamento sem amparo legal; elabore o Relatório de Impacto (RIPD/DPIA) para atividades de alto risco.
3. Indique o Encarregado (DPO), interno ou terceirizado, e publique seu nome e contato no site da empresa, criando um canal funcional de atendimento ao titular.
4. Elabore a política de privacidade externa em linguagem clara, a política interna de proteção de dados e inclua cláusulas de proteção de dados nos contratos com todos os operadores e fornecedores.
5. Implemente controles técnicos e organizacionais de segurança (art. 46): criptografia em trânsito e repouso, MFA, privilégio mínimo, logs e monitoramento, gestão de vulnerabilidades e backups testados, idealmente sob um SGSI ISO/IEC 27001.
6. Valide os controles com pentest periódico, fechando o gap entre conformidade declarada e segurança efetiva contra um atacante real.
7. Estruture o plano de resposta a incidentes com detecção, contenção, investigação forense e procedimento de notificação à ANPD e aos titulares dentro do prazo de 3 dias úteis (Resolução CD/ANPD nº 15/2024).

Perguntas frequentes