Adequar a empresa à LGPD não é comprar um modelo de política e publicar no site. É um trabalho que combina jurídico, tecnologia, processos e pessoas. A boa notícia é que dá para organizar isso em etapas, começando pelo que reduz mais risco.
Este guia traz um passo a passo prático de adequação. Ele não substitui orientação jurídica sobre um caso concreto, mas mostra o caminho que a maioria das empresas percorre e onde a parte técnica entra.
Conteúdo educativo sobre a LGPD, com base na Lei nº 13.709/2018 e em normas da ANPD. Não substitui orientação jurídica sobre um caso concreto.
Passo 1: mapear os dados
Tudo começa por descobrir quais dados pessoais a empresa coleta, onde eles ficam, de onde vieram, para que servem e com quem são compartilhados. Esse inventário é a base de todo o resto. Sem ele, você não sabe o que proteger nem consegue responder a um pedido de titular.
O resultado desse mapeamento vira o registro das operações de tratamento, conhecido como ROPA. A LGPD, no artigo 37, exige que controlador e operador mantenham esse registro. Para empresas de pequeno porte, a ANPD aceita um registro simplificado.
Passo 2: definir a base legal de cada tratamento
Com o mapa em mãos, cada tratamento precisa de uma base legal. Marketing pode se apoiar em consentimento ou legítimo interesse. Folha de pagamento se apoia em obrigação legal e execução de contrato. Definir e registrar essa base é o que sustenta a atividade diante de uma fiscalização. O guia de bases legais detalha as dez hipóteses.
Passo 3: revisar contratos com fornecedores
Boa parte dos dados passa por terceiros: sistemas em nuvem, contabilidade, marketing, cobrança. Esses fornecedores agem como operadores e precisam de contrato com cláusulas de proteção de dados, definindo o que podem fazer, como devem proteger e o que acontece em caso de incidente. Um vazamento no fornecedor também é problema seu.
Passo 4: política de privacidade e transparência
A empresa precisa informar, de forma clara, o que faz com os dados das pessoas. Isso vira a política de privacidade, que deve refletir a realidade do tratamento, não um texto genérico copiado. Se a política diz uma coisa e a prática é outra, o documento vira prova contra a empresa.
Passo 5: canal para os titulares e encarregado
Os titulares precisam de um caminho para exercer seus direitos, e a empresa precisa indicar um encarregado pelo tratamento de dados, o DPO. Para agentes de pequeno porte, a indicação formal do encarregado é facultativa, mas o canal de comunicação com o titular continua obrigatório. O guia sobre o encarregado explica quando a figura é exigida.
Passo 6: segurança da informação
O artigo 46 da LGPD exige medidas de segurança técnicas e administrativas. Na prática, isso significa controlar quem acessa o quê, cifrar dados sensíveis, segmentar a rede, manter backups, registrar eventos e ter um plano para responder a incidentes. É a etapa que empresas focadas só no jurídico costumam deixar de lado, e é onde muitos vazamentos acontecem.
Aqui a OpenSourceBrasil atua: firewall bem configurado, segmentação, VPN com autenticação forte e monitoramento são a tradução técnica do que a lei pede. O guia sobre LGPD e segurança da informação liga cada exigência a um controle concreto.
Passo 7: treinar as pessoas
A maioria dos incidentes começa em um erro humano: um e-mail enviado para a pessoa errada, uma planilha compartilhada sem controle, uma senha fraca, um clique em phishing. Treinar a equipe é uma das ações de maior retorno e menor custo em toda a adequação. Um time que entende a LGPD comete menos erros do que qualquer documento consegue evitar.
O que evitar durante a adequação
Atenção
- Tratar a LGPD como um projeto só do jurídico, sem TI e segurança.
- Publicar uma política de privacidade que não reflete a prática.
- Mapear os dados uma vez e nunca mais atualizar o registro.
- Cuidar do papel e ignorar a segurança técnica onde os dados ficam.
- Prometer conformidade total. A LGPD é processo contínuo, não um selo.
Adequação é contínua, não um projeto com fim
Terminar as etapas acima não encerra o assunto. Novos sistemas, novos fornecedores e novas finalidades surgem o tempo todo, e cada um deles precisa passar pela mesma régua. A adequação madura é aquela que vira rotina: privacidade e segurança consideradas desde a concepção de cada projeto, e não remendadas depois.
Levar a adequação para o dia a dia
A adequação só funciona quando chega ao trabalho de cada pessoa. O curso de LGPD Essencial do ValorFinal tem um módulo inteiro sobre a LGPD no dia a dia da empresa, com checklists prontos para e-mail, WhatsApp, planilhas e nuvem. É gratuito e serve bem como treinamento da equipe durante a adequação.