Pular para o conteúdo
Privacidade e LGPD

Como adequar sua empresa à LGPD: passo a passo prático

Por equipe técnica da OpenSourceBrasil11 min de leituraAtualizado em

Adequar a empresa à LGPD não é comprar um modelo de política e publicar no site. É um trabalho que combina jurídico, tecnologia, processos e pessoas. A boa notícia é que dá para organizar isso em etapas, começando pelo que reduz mais risco.

Este guia traz um passo a passo prático de adequação. Ele não substitui orientação jurídica sobre um caso concreto, mas mostra o caminho que a maioria das empresas percorre e onde a parte técnica entra.

Conteúdo educativo sobre a LGPD, com base na Lei nº 13.709/2018 e em normas da ANPD. Não substitui orientação jurídica sobre um caso concreto.

Passo 1: mapear os dados

Tudo começa por descobrir quais dados pessoais a empresa coleta, onde eles ficam, de onde vieram, para que servem e com quem são compartilhados. Esse inventário é a base de todo o resto. Sem ele, você não sabe o que proteger nem consegue responder a um pedido de titular.

O resultado desse mapeamento vira o registro das operações de tratamento, conhecido como ROPA. A LGPD, no artigo 37, exige que controlador e operador mantenham esse registro. Para empresas de pequeno porte, a ANPD aceita um registro simplificado.

Passo 3: revisar contratos com fornecedores

Boa parte dos dados passa por terceiros: sistemas em nuvem, contabilidade, marketing, cobrança. Esses fornecedores agem como operadores e precisam de contrato com cláusulas de proteção de dados, definindo o que podem fazer, como devem proteger e o que acontece em caso de incidente. Um vazamento no fornecedor também é problema seu.

Passo 4: política de privacidade e transparência

A empresa precisa informar, de forma clara, o que faz com os dados das pessoas. Isso vira a política de privacidade, que deve refletir a realidade do tratamento, não um texto genérico copiado. Se a política diz uma coisa e a prática é outra, o documento vira prova contra a empresa.

Passo 5: canal para os titulares e encarregado

Os titulares precisam de um caminho para exercer seus direitos, e a empresa precisa indicar um encarregado pelo tratamento de dados, o DPO. Para agentes de pequeno porte, a indicação formal do encarregado é facultativa, mas o canal de comunicação com o titular continua obrigatório. O guia sobre o encarregado explica quando a figura é exigida.

Passo 6: segurança da informação

O artigo 46 da LGPD exige medidas de segurança técnicas e administrativas. Na prática, isso significa controlar quem acessa o quê, cifrar dados sensíveis, segmentar a rede, manter backups, registrar eventos e ter um plano para responder a incidentes. É a etapa que empresas focadas só no jurídico costumam deixar de lado, e é onde muitos vazamentos acontecem.

Aqui a OpenSourceBrasil atua: firewall bem configurado, segmentação, VPN com autenticação forte e monitoramento são a tradução técnica do que a lei pede. O guia sobre LGPD e segurança da informação liga cada exigência a um controle concreto.

Passo 7: treinar as pessoas

A maioria dos incidentes começa em um erro humano: um e-mail enviado para a pessoa errada, uma planilha compartilhada sem controle, uma senha fraca, um clique em phishing. Treinar a equipe é uma das ações de maior retorno e menor custo em toda a adequação. Um time que entende a LGPD comete menos erros do que qualquer documento consegue evitar.

O que evitar durante a adequação

Atenção

  • Tratar a LGPD como um projeto só do jurídico, sem TI e segurança.
  • Publicar uma política de privacidade que não reflete a prática.
  • Mapear os dados uma vez e nunca mais atualizar o registro.
  • Cuidar do papel e ignorar a segurança técnica onde os dados ficam.
  • Prometer conformidade total. A LGPD é processo contínuo, não um selo.

Adequação é contínua, não um projeto com fim

Terminar as etapas acima não encerra o assunto. Novos sistemas, novos fornecedores e novas finalidades surgem o tempo todo, e cada um deles precisa passar pela mesma régua. A adequação madura é aquela que vira rotina: privacidade e segurança consideradas desde a concepção de cada projeto, e não remendadas depois.

Levar a adequação para o dia a dia

A adequação só funciona quando chega ao trabalho de cada pessoa. O curso de LGPD Essencial do ValorFinal tem um módulo inteiro sobre a LGPD no dia a dia da empresa, com checklists prontos para e-mail, WhatsApp, planilhas e nuvem. É gratuito e serve bem como treinamento da equipe durante a adequação.

Guias relacionados

Continue aprofundando os temas de firewall, pfSense, VPN e segurança de redes.

Privacidade e LGPD

LGPD: guia completo para empresas

O guia de referência sobre a LGPD para empresas. Entenda a lei, as bases legais, os direitos do titular, o papel da ANPD, as sanções e como se adequar na prática.

Ler guia
Privacidade e LGPD

LGPD e segurança da informação

A LGPD exige medidas de segurança técnicas e administrativas. Veja como o artigo 46 vira controles concretos: acesso, criptografia, segmentação, backup e resposta a incidentes.

Ler guia
Privacidade e LGPD

Encarregado de dados (DPO) na LGPD

O encarregado é a ponte entre a empresa, os titulares e a ANPD. Veja o que ele faz, quando é obrigatório indicá-lo e como escolher o perfil certo.

Ler guia

Dúvidas comuns

Perguntas frequentes

Por onde começar a adequação à LGPD?

Pelo mapeamento de dados: descobrir quais dados pessoais a empresa trata, onde ficam e por quê. Esse inventário é a base para definir bases legais, revisar contratos, montar a política de privacidade e priorizar a segurança.

Adequar à LGPD é só criar uma política de privacidade?

Não. A política é uma parte. A adequação envolve mapear dados, definir bases legais, revisar contratos com fornecedores, criar canal para titulares, indicar encarregado quando exigido, reforçar a segurança técnica e treinar as pessoas.

O que é ROPA na LGPD?

É o registro das operações de tratamento de dados, exigido pelo artigo 37. Ele documenta quais dados são tratados, para quê, com quais bases legais e com quem são compartilhados. Agentes de pequeno porte podem manter um registro simplificado.

A empresa fica em conformidade total com a LGPD?

Conformidade com a LGPD é um processo contínuo, não um estado final ou um selo. Ninguém sério promete conformidade automática. O que se faz é reduzir risco de forma consistente e conseguir demonstrar que a empresa cumpre a lei, o que a própria lei chama de prestação de contas.

Próximo passo

Precisa de apoio especializado no seu ambiente?

Cada rede é diferente. Fale com um especialista em pfSense por e-mail e receba uma avaliação do seu cenário, sem compromisso.