LGPD para empresas: checklist completo de compliance de TI

A Lei Geral de Proteção de Dados (LGPD) não é mais uma novidade. Entrou em vigor em 2020 e se consolidou como a lei de privacidade mais importante do Brasil. No entanto, muitas empresas ainda não estão totalmente em conformidade – e os riscos são reais e significativos.

A LGPD afeta diretamente sua infraestrutura de TI. Desde como você armazena dados de clientes até como você responde a vazamentos, praticamente tudo na sua infraestrutura de tecnologia tem implicações legais. Neste guia completo, vamos detalhar o que sua empresa precisa fazer para estar em compliance total com a LGPD do ponto de vista de TI.

O que é LGPD? Um resumo para empresários

A Lei Geral de Proteção de Dados é a legislação brasileira que regula como empresas coletam, armazenam, usam e descartam dados pessoais. Ela se aplica a qualquer empresa que coleta dados de brasileiros, independentemente de onde a empresa está localizada.

A LGPD estabelece que indivíduos têm direitos sobre seus dados pessoais – o direito de saber que dados estão sendo coletados, o direito de acessar seus dados, o direito de corrigir informações incorretas, e até o direito de ter seus dados deletados (direito ao esquecimento).

Para as empresas, a LGPD impõe obrigações de proteger esses dados e ter processos adequados para gerenciar solicitações dos indivíduos.

Estrutura de conformidade LGPD

A conformidade com LGPD não é apenas sobre tecnologia. Ela envolve processos, políticas, responsabilidades e documentação. No entanto, a TI é absolutamente crítica. Vamos decompor os cinco pilares principais:

1. Governança de dados

Sua empresa precisa estabelecer uma estrutura de governança clara. Isso inclui designar um Encarregado de Proteção de Dados (DPO – Data Protection Officer), que é a pessoa responsável por garantir compliance com a LGPD. Para micro e pequenas empresas, essa pode ser uma função parcial de alguém da equipe. Para grandes empresas, geralmente é uma posição dedicada.

Você precisa documentar:

Quais dados pessoais você coleta
De onde vêm esses dados (clientes, funcionários, fornecedores)
Por que você coleta (qual é a finalidade legal)
Como você armazena e protege esses dados
Quem tem acesso a esses dados
Por quanto tempo você mantém esses dados

2. Mapeamento de dados (Data Mapping)

Você precisa saber exatamente onde estão seus dados pessoais. Isso pode parecer óbvio, mas muitas empresas ficam chocadas ao descobrir dados sensíveis em lugares inesperados – em antigos backups, em servidores compartilhados, em planilhas não monitoradas.

Um mapeamento completo deve incluir:

Banco de dados principal (CRM, ERP, etc.)
Emails corporativos (que podem conter dados pessoais)
Backups (que também contêm dados)
Compartilhamentos de rede
Computadores locais de funcionários
Serviços em nuvem (Google Drive, Dropbox, OneDrive)
Ferramentas de terceiros (softwares SaaS)

"A LGPD não é apenas sobre segurança. É sobre dar controle aos seus clientes sobre seus próprios dados, e isso muda fundamentalmente como as empresas precisam pensar sobre privacidade."

3. Impacto na Proteção de Dados (DPIA)

Para atividades de processamento de dados de alto risco, você precisa fazer uma avaliação formal chamada Data Protection Impact Assessment. Isso envolve documentar o processamento, identificar riscos e implementar mitigações.

Exemplos de atividades de alto risco incluem: monitoramento de comportamento, biometria, automação de decisões que afetam direitos das pessoas.

Checklist técnico de TI para LGPD

Aqui está o que você precisa implementar do ponto de vista de infraestrutura de TI:

Segurança de dados

Criptografia em trânsito: Todos os dados em movimento devem ser criptografados (HTTPS, TLS). Não deve haver transmissão de dados pessoais em texto plano.

Criptografia em repouso: Dados pessoais armazenados devem ser criptografados. Senhas, especialmente, devem ser criptografadas com hash moderno (não MD5!).

Controle de acesso: Apenas pessoas que precisam acessar dados pessoais devem ter acesso. Implementar princípio de menor privilégio (principle of least privilege).

Senhas fortes: Exigir senhas com no mínimo 12 caracteres, incluindo maiúsculas, minúsculas, números e símbolos. Implementar autenticação multifator (MFA) para acesso administrativo.

Firewalls e segurança de rede: Implementar firewalls (on-premise e cloud), segmentação de rede, e bloqueio de acesso não autorizado.

Antivírus e proteção endpoint: Todos os computadores, notebooks e servidores devem ter proteção atualizada contra malware.

Monitoramento e detecção

Logs de auditoria: Manter logs de quem acessou dados pessoais, quando acessou, e o que fez. Retenção mínima: 6 meses a 1 ano.

Monitoramento de anomalias: Usar ferramentas que detectem atividades suspeitas (acesso a dados incomum, horários estranhos, downloads anormais).

Plano de resposta a incidentes: Ter um plano documentado do que fazer se dados forem vazados. Incluir quem notificar, em quanto tempo, e como mitigar.

Backup e recuperação

Backups regulares: Fazer backups automáticos de todos os dados pessoais pelo menos diariamente.

Backup imutável: Ter pelo menos um backup que não pode ser modificado ou deletado (proteção contra ransomware e exclusão maliciosa).

Testes de recuperação: Testar regularmente (no mínimo trimestralmente) que você consegue recuperar dados de um backup em caso de emergência.

Fornecedores e terceiros

Contratos de processamento: Qualquer ferramenta SaaS, cloud provider, ou terceiro que acessa dados pessoais deve ter um Contrato de Processamento de Dados (DPA) assinado.

Avaliação de fornecedores: Revisar e auditar regularmente fornecedores quanto ao seu nível de segurança e conformidade.

Localização de dados: Entender onde seus fornecedores armazenam dados (se em Brasil ou exterior) e conformidade aplicável.

Direitos do indivíduo

Direito de acesso: Ter processo para que pessoas possam solicitar e receber cópia de seus dados pessoais em tempo razoável (máximo 15 dias).

Direito de correção: Permitir que pessoas corrijam dados incorretos em seus sistemas.

Direito ao esquecimento: Ter processo para deletar completamente dados de uma pessoa quando solicitado (exceto se há obrigação legal de reter).

Portabilidade de dados: Permitir que pessoas solicitem seus dados em formato estruturado (como CSV ou JSON) para transferir para outro fornecedor.

Penalidades por não conformidade

As penalidades da LGPD são severas e aumentaram significativamente nos últimos anos:

Multas administrativas: Até 2% do faturamento anual da empresa no Brasil, limitado a R$ 50 milhões por infração. Ou seja, uma empresa com faturamento de R$ 100 milhões pode ser multada em até R$ 2 milhões por violação.

Multas cumulativas: Cada incidente pode gerar uma multa separada. Um vazamento que afeta 10.000 clientes pode resultar em múltiplas penalidades.

Processos judiciais: Além das multas da ANPD (Autoridade Nacional de Proteção de Dados), há risco de processos judiciais de indivíduos afetados.

Dano reputacional: Vazamentos de dados são públicos e podem destruir a reputação de uma marca.

Erros comuns em LGPD

Aqui estão os erros mais frequentes que vemos em empresas:

Apenas reagir após um vazamento: Conformidade deve ser proativa, não reativa.
Não documentar consentimento: Se você coleta dados, deve documentar que a pessoa consentiu.
Manter dados "por se acaso": Dados devem ter propósito claro. Não guarde "tudo" indefinidamente.
Ignorar senhas fracas: Senhas ainda são a primeira linha de defesa.
Não treinar equipe: Seus funcionários precisam entender a importância da privacidade de dados.
Contratos inadequados com fornecedores: SaaS, cloud, etc., devem ter contratos de processamento.
Sem plano de resposta a incidentes: Se algo der errado, você deve saber exatamente o que fazer.

Como um provedor de TI gerenciada ajuda

Um provedor de TI gerenciada como a Duk pode auxiliar significativamente sua jornada de conformidade LGPD:

Implementar e manter criptografia, firewalls e segurança de rede
Configurar e monitorar logs de auditoria e detecção de anomalias
Estabelecer backups imutáveis e testar recuperação
Auxiliar no mapeamento de dados e gestão de fornecedores
Responder a incidentes e mitigar vazamentos
Manter infraestrutura atualizada com patches de segurança

A maior parte da conformidade técnica de LGPD é exatamente o que um bom provedor gerenciado faz como parte de seus serviços padrão.

Conclusão

LGPD é complexa, mas essencial. As empresas que a ignoram estão se expondo a multas significativas, processos legais e dano reputacional. A boa notícia é que a conformidade é alcançável – requer planejamento, implementação adequada de tecnologia, e comprometimento contínuo.

Comece com um diagnóstico completo de suas práticas atuais, identifique gaps, e implemente um plano de conformidade. Uma vez em compliance, mantenha vigilância contínua. A LGPD é um compromisso permanente, não um projeto único.

Sua empresa está em conformidade com a LGPD?

Agende um diagnóstico gratuito e identifique lacunas de compliance.

Quero meu Diagnóstico Gratuito