A Lei Geral de Proteção de Dados Pessoais — Lei nº 13.709/2018 — completou seu sexto ano de vigência integral em 2026, e o cenário de fiscalização mudou radicalmente. A Autoridade Nacional de Proteção de Dados (ANPD) saiu do modo orientativo e passou a aplicar sanções relevantes; o Poder Judiciário consolidou interpretações sobre dano moral por vazamento; e os incidentes de segurança se multiplicaram em ritmo industrial.
O problema é que muita empresa ainda trata LGPD como um "projeto pontual de TI" ou como uma "página de privacidade copiada do concorrente". Nenhuma das duas posturas resiste a uma fiscalização ou a um pedido de explicação da ANPD.
Este artigo apresenta um roteiro de adequação em seis etapas, com foco prático em empresas de pequeno e médio porte, citando as bases legais, os documentos exigíveis e os pontos em que advogado, TI e gestão precisam conversar.
A LGPD não é uma certificação. Não existe "selo ANPD" emitido em definitivo. O que existe é um conjunto de princípios — finalidade, adequação, necessidade, livre acesso, qualidade dos dados, transparência, segurança, prevenção, não discriminação e responsabilização e prestação de contas (art. 6º da Lei 13.709/2018) — que precisam ser refletidos nos processos da empresa, no relacionamento com terceiros e na capacidade de demonstrar conformidade.
A jurisprudência tem sido clara: a responsabilidade do controlador é objetiva quando há tratamento que cause dano, com base no art. 42 da LGPD. Ou seja, não basta dizer "fizemos o que pudemos"; é preciso provar, com documentos, que a empresa adotou medidas técnicas e administrativas razoáveis.
Os tribunais já consolidaram, inclusive, o entendimento de que o dano moral por vazamento de dados não é presumido em todos os casos: o STJ tem exigido demonstração de prejuízo concreto em determinadas hipóteses, conforme decisões recentes da Segunda Seção. Mas, em casos envolvendo dados sensíveis (saúde, biometria, opiniões políticas, vida sexual), a tendência é o reconhecimento de dano in re ipsa.
Por isso, o desenho da adequação importa: ele é, na prática, a prova que a empresa apresenta quando algo sai do trilho.
Antes de qualquer política, é preciso responder a três perguntas:
Esse exercício é chamado de mapeamento de dados ou data discovery, e ele resulta em um documento conhecido como ROPA (Record of Processing Activities, ou Registro das Operações de Tratamento), previsto no art. 37 da LGPD.
Na prática, o mapeamento envolve entrevistas com cada área da empresa (RH, comercial, marketing, financeiro, TI, atendimento) e a construção de uma tabela que contemple, no mínimo:
Sem esse mapa, qualquer política de privacidade publicada no site é, no melhor dos casos, ficção bem intencionada. No pior, é prova de descumprimento.
A empresa pede ao TI uma lista dos sistemas, conclui que tem três e fecha o ROPA em uma semana. Quando se conversa com o comercial, descobre-se a planilha de leads compartilhada por WhatsApp; com o RH, o grupo no Google Drive com currículos antigos; com o financeiro, o backup local de notas fiscais com CPF de clientes. O mapeamento real começa quando se descobre o que estava fora do radar do TI.
Toda operação de tratamento precisa estar lastreada em uma das dez bases legais do art. 7º da LGPD (para dados pessoais comuns) ou em uma das oito bases do art. 11 (para dados pessoais sensíveis, como saúde, biometria, religião).
As bases mais usadas no dia a dia são:
Para dados sensíveis, a régua é mais alta. O consentimento, quando exigido, precisa ser específico e destacado para finalidades específicas. Outras bases relevantes incluem a tutela da saúde (art. 11, II, "f"), a proteção da vida (art. 11, II, "e") e o exercício regular de direitos em processo judicial (art. 11, II, "d").
O ponto crítico aqui é o seguinte: cada tratamento mapeado na etapa 1 precisa receber uma base legal justificada. Não vale carimbar tudo como "consentimento" e dormir tranquilo. A ANPD, em seu Guia Orientativo sobre Tratamento de Dados Pessoais pelo Poder Público e em pareceres recentes, tem reforçado que escolher a base legal errada é, por si só, irregularidade.
O Relatório de Impacto à Proteção de Dados Pessoais (RIPD), previsto no art. 38 da LGPD, é um documento exigível pela ANPD em operações de tratamento que possam gerar riscos às liberdades civis e aos direitos fundamentais.
Não é todo tratamento que demanda RIPD. Mas é altamente recomendável para:
O RIPD descreve os processos de tratamento, identifica riscos, indica medidas de mitigação e avalia a proporcionalidade. É o documento que, em uma eventual fiscalização, demonstra que a empresa fez análise prévia consciente dos impactos.
O teste de legítimo interesse — Legitimate Interest Assessment — é o exercício de proporcionalidade quando a base invocada é o art. 7º, IX. Ele responde a três perguntas: o interesse é legítimo? O tratamento é necessário? Os interesses do controlador se sobrepõem aos direitos do titular? O RIPD é mais amplo e abrange riscos gerais à privacidade.
O art. 18 da LGPD garante ao titular o direito de obter, mediante requisição:
A empresa precisa de um canal claro de atendimento a esses pedidos. Pode ser um e-mail específico (do encarregado), um formulário no site ou um sistema integrado.
O ponto crítico é o prazo. Embora a LGPD não fixe prazo geral para todas as respostas (o prazo de 15 dias do art. 19, §1º refere-se à confirmação e acesso), a ANPD tem orientado que respostas em prazos superiores a 15 dias sem justificativa são desproporcionais.
Cada pedido recebido precisa ser registrado, classificado, respondido e arquivado. Em fiscalização, a ANPD pode pedir o histórico desses atendimentos.
A empresa precisa, no mínimo, ter:
O art. 41 da LGPD exige a indicação de um Encarregado pelo Tratamento de Dados Pessoais — o DPO, na sigla em inglês — como ponto focal entre a empresa, os titulares e a ANPD.
A nomeação do DPO precisa ser pública (em geral, divulgada no rodapé do site e na política de privacidade) e formal.
Não há, na lei, regra obrigatória sobre o modelo. A escolha depende de porte, complexidade do tratamento e capacidade interna:
DPO interno: funcionário da empresa, geralmente do jurídico, compliance ou TI. Vantagens: conhecimento profundo da operação, agilidade de resposta. Desvantagens: pode haver conflito de interesse se o DPO também responde por áreas tratadoras de dados.
DPO terceirizado (as a service): escritório de advocacia ou consultoria que assume a função. Vantagens: especialização, atualização constante, ausência de conflito interno. Desvantagens: distância da operação diária, custo recorrente.
Para empresas de pequeno porte, a Resolução ANPD nº 2/2022 (Regulamento de aplicação aos agentes de tratamento de pequeno porte) flexibilizou a obrigatoriedade do DPO, permitindo que essas organizações apenas disponibilizem um canal de comunicação com o titular. Mas atenção: "pequeno porte" tem definição específica e nem toda empresa enxuta se enquadra, especialmente quando trata dados sensíveis ou em larga escala.
A última etapa — e talvez a mais subestimada — é a camada técnica e operacional.
O art. 46 da LGPD impõe aos agentes de tratamento a adoção de medidas de segurança aptas a proteger os dados de acessos não autorizados, perda, alteração ou destruição. A lei é principiológica; não diz "use criptografia AES-256". Mas exige razoabilidade.
Medidas mínimas razoáveis incluem:
O art. 48 da LGPD obriga a comunicação à ANPD e ao titular dos incidentes de segurança que possam acarretar risco ou dano relevante. A Resolução ANPD nº 15/2024 detalhou o procedimento: a comunicação deve ser feita em até três dias úteis a partir do conhecimento do incidente, em formulário próprio, com informações sobre natureza dos dados, titulares afetados, medidas técnicas e administrativas adotadas e riscos relacionados.
O plano de resposta a incidentes não pode ser improvisado no momento do estresse. Ele precisa estar escrito, com papéis definidos, fluxograma de decisão e modelos de comunicação prontos.
As sanções administrativas previstas no art. 52 da LGPD vão de advertência a multa de até 2% do faturamento da pessoa jurídica de direito privado no Brasil, limitada, no total, a R$ 50 milhões por infração. Há ainda multa diária, publicização da infração, bloqueio e eliminação dos dados.
A Resolução ANPD nº 4/2023 fixou o Regulamento de Dosimetria e Aplicação de Sanções, com critérios objetivos (gravidade, vantagem auferida, condição econômica, reincidência, cooperação) e parâmetros de cálculo. A primeira rodada de aplicações administrativas pela ANPD, iniciada em 2023, mostrou que advertências e multas pedagógicas são a primeira resposta — mas o caminho para multas relevantes está aberto.
Além das sanções administrativas, há o risco civil (ações individuais e coletivas por danos materiais e morais) e reputacional (a comunicação obrigatória aos titulares pode virar notícia rapidamente).
A pergunta recorrente é: "Quanto custa?". A resposta honesta é: depende do porte, do setor, da maturidade atual e da estratégia escolhida. Mas algumas decisões reduzem custo sem comprometer a adequação:
Priorize tratamentos críticos primeiro. Mapeie tudo, mas comece pela adequação dos processos que envolvem dados sensíveis ou grande volume. Folha de pagamento, dados de saúde de funcionários, base de clientes do CRM costumam ser pontos prioritários.
Use templates de mercado, mas não copie sem revisar. Política de privacidade, termo de consentimento, contrato com operadores — todos têm modelos disponíveis. Eles funcionam como ponto de partida, não como entrega final.
Treine internamente. Boa parte das falhas vem de erro humano: e-mail enviado para destinatário errado, planilha compartilhada com link público, senha anotada em post-it. Treinamento periódico custa pouco e reduz risco substancial.
Considere DPO compartilhado. Para empresas pequenas, o DPO terceirizado em modelo recorrente costuma ser mais econômico que contratação dedicada.
Documente tudo. Boa parte do custo de uma fiscalização é demonstrar o que se fez. Atas de reuniões, e-mails, versões de documentos, registros de treinamento — tudo isso compõe a "responsabilização" do art. 6º, X.
Adequação à LGPD não é uma corrida com linha de chegada. É um modo de operar que combina jurídico, TI, RH e gestão. As seis etapas descritas — mapeamento, bases legais, RIPD, direitos do titular, DPO e segurança — formam a espinha dorsal de qualquer programa razoável.
A boa notícia é que, ao caminhar nessas etapas com método, a empresa reduz risco regulatório, ganha confiança de clientes e parceiros, e fortalece sua governança. A má notícia é que não há atalho: cada etapa exige escolhas técnicas, jurídicas e operacionais que dependem do contexto.
Para um diagnóstico inicial sobre o nível atual de adequação da sua empresa, ou para discutir o desenho de um plano de implementação compatível com o seu porte, é possível agendar conversa para atendimento individualizado, com honorários previstos em contrato escrito.
Este conteúdo tem finalidade exclusivamente informativa e não substitui a análise individualizada de cada caso. As referências às normas vigentes em maio de 2026 podem sofrer alterações por atos normativos posteriores. Conforme o Provimento OAB 205/2021 e o Código de Ética e Disciplina da OAB, este material não constitui captação de clientela nem oferta de serviços advocatícios.
Viviani Veloso — OAB/SP nº 262.546. Mais de 20 anos de atuação em Direito Empresarial, Trabalhista, Saúde Mental Corporativa e Proteção de Dados.
Para análise específica do contexto da sua empresa, com identificação de pontos de atenção e recomendações individualizadas, é possível agendar uma reunião preliminar.
Material informativo. Em conformidade com o Provimento OAB nº 205/2021. Não constitui consulta jurídica. Viviani Veloso — Advogada inscrita na OAB/SP nº 262.546.