Como LGPD impacta a TI da sua empresa

LGPD e TI: o elo que não pode ser quebrado

A Lei Geral de Proteção de Dados Pessoais (Lei 13.709/2018), em vigor desde setembro de 2020 e com sanções aplicáveis desde agosto de 2021, transformou radicalmente o modo como empresas brasileiras lidam com informação. Para o departamento de TI, a LGPD deixou de ser um tema jurídico para se tornar um vetor estruturante de arquitetura, processos e investimentos. Cada servidor, banco de dados, aplicação SaaS, planilha em rede e backup em nuvem passou a ter implicações legais diretas, com multas que podem chegar a R$ 50 milhões por infração ou 2% do faturamento da empresa no Brasil.

Segundo levantamento da ANPD (Autoridade Nacional de Proteção de Dados) publicado em 2025, mais de 1.200 incidentes de segurança envolvendo dados pessoais foram notificados nos últimos 24 meses, e aproximadamente 68% deles tiveram origem em falhas técnicas de TI — configurações inadequadas, credenciais expostas, ausência de criptografia ou patches desatualizados. Não se trata mais de "se" sua empresa será exigida a comprovar conformidade, mas de "quando".

Este artigo detalha, com profundidade técnica e linguagem acessível, como a LGPD impacta cada camada da TI corporativa e o que gestores precisam fazer para estar em conformidade sem travar a operação.

Mapeamento de dados: o inventário que a TI precisa entregar

O primeiro e mais negligenciado desafio da LGPD para a TI é o chamado Data Mapping — mapeamento completo de todo dado pessoal que circula pela infraestrutura. A legislação exige que a empresa saiba, a qualquer momento, quais dados pessoais possui, onde estão armazenados, quem acessa, por quanto tempo são retidos e quais fluxos os movimentam entre sistemas. Na prática, isso significa que o time de TI precisa inventariar cada repositório: banco de dados do ERP, CRM, plataforma de e-mail marketing, planilhas compartilhadas, pastas em file servers, backups, ambientes de homologação e até dados que trafegam por APIs externas.

A complexidade aumenta exponencialmente em empresas que cresceram de forma orgânica, com múltiplos sistemas legados e integrações pontuais criadas ao longo dos anos. É comum encontrar cenários onde o mesmo CPF de cliente aparece replicado em 8 ou 12 sistemas diferentes, sem controle centralizado de ciclo de vida. Ferramentas de Data Discovery automatizado — como Microsoft Purview, Varonis ou BigID — tornaram-se praticamente obrigatórias para empresas com mais de 500 colaboradores, porque a varredura manual é inviável.

Além do inventário, a TI precisa classificar os dados por sensibilidade. Dado pessoal simples (nome, telefone) exige controles diferentes de dado pessoal sensível (saúde, biometria, orientação sexual, filiação sindical). Essa classificação precisa estar refletida em políticas técnicas de acesso, criptografia e retenção — não apenas em documento no SharePoint.

Controles técnicos obrigatórios: criptografia, acesso e logging

O artigo 46 da LGPD exige que agentes de tratamento adotem medidas "técnicas e administrativas aptas a proteger os dados pessoais". A ANPD, em seus guias orientativos, detalhou quais controles são considerados baseline para qualquer empresa que trata dados pessoais. Para a TI, isso se traduz em um conjunto concreto de obrigações:

• Criptografia em trânsito e em repouso: TLS 1.2+ em todas as conexões externas e internas sensíveis, disk encryption em endpoints (BitLocker, FileVault), criptografia nativa em bancos de dados (TDE em SQL Server, encryption-at-rest em Azure/AWS).
• Gestão de identidade e acesso: autenticação multifator (MFA) obrigatória, princípio do menor privilégio, revisão periódica de permissões (ao menos trimestral), offboarding técnico imediato em desligamentos.
• Logging e trilha de auditoria: registros de acesso, alteração e exclusão de dados pessoais retidos por no mínimo 6 meses, com integridade preservada — logs manipuláveis não valem como prova.
• Backup e recuperação: estratégia 3-2-1 com testes regulares de restore, incluindo cenários de ransomware e corrupção lógica.
• Gestão de vulnerabilidades: varredura contínua, patch management com SLA definido por criticidade, pentests anuais em aplicações críticas.
• Segregação de ambientes: dados de produção nunca devem transitar por ambientes de desenvolvimento ou homologação sem anonimização.

Esses controles, quando ausentes ou mal implementados, são a causa raiz da maioria dos incidentes notificados à ANPD. E, em caso de sanção, são exatamente os itens que os fiscais verificam primeiro.

Tratamento de incidentes e notificação à ANPD

Quando ocorre um incidente de segurança que possa acarretar risco relevante aos titulares, a LGPD exige notificação à ANPD em prazo razoável — que o regulamento da ANPD consolidou em até 3 dias úteis a partir da ciência do evento. Esse prazo transformou completamente a operação de resposta a incidentes da TI. Não é mais aceitável descobrir uma invasão em semana 1, investigar em semana 2 e reportar em semana 3. O relógio começa a correr no instante da descoberta.

"Um plano de resposta a incidentes que não foi testado é um plano que não existe. A primeira vez que você vai executá-lo não pode ser no dia do ataque real — o tempo de reação define se a empresa paga multa ou não."

Isso exige que a TI tenha um Playbook de Resposta a Incidentes (IRP) documentado, testado ao menos semestralmente, com papéis claros (quem isola o sistema, quem coleta evidência forense, quem aciona o DPO, quem comunica ao comitê executivo). SIEMs modernos como Microsoft Sentinel, Splunk ou Wazuh deixaram de ser luxo para grandes empresas — tornaram-se exigência operacional mesmo em médias empresas, porque detecção tardia compromete o cumprimento do prazo regulatório.

A notificação à ANPD precisa descrever: natureza dos dados afetados, quantidade de titulares, medidas técnicas adotadas, riscos relacionados e ações mitigadoras. Tudo isso em 72 horas. Empresas que terceirizam a segurança sem contrato claro de SLA para incidentes descobrem esse problema do pior modo possível.

Direitos dos titulares: a TI precisa responder em 15 dias

A LGPD garante aos titulares de dados um conjunto de direitos — acesso, correção, anonimização, eliminação, portabilidade, confirmação de tratamento — que precisam ser atendidos em até 15 dias. Para a TI, cada um desses direitos é uma demanda operacional recorrente. Uma empresa com 100 mil clientes cadastrados receberá, estatisticamente, dezenas de solicitações por mês. Sem automação, o custo operacional torna-se proibitivo.

Os desafios técnicos são concretos:

1. Direito de acesso: consolidar em um único relatório todos os dados pessoais de um titular espalhados por múltiplos sistemas. Sem catálogo de dados, essa tarefa pode consumir horas de engenharia por pedido.
2. Direito de eliminação: apagar dados de forma definitiva, inclusive em backups, respeitando obrigações legais de retenção (nota fiscal eletrônica, por exemplo, tem retenção fiscal de 5 anos). Isso exige política de retenção granular por tipo de dado.
3. Direito de portabilidade: exportar dados em formato estruturado e interoperável (JSON, CSV), tanto tecnicamente quanto contratualmente, sem incluir dados de terceiros.
4. Direito de correção: garantir que a alteração propague para todos os sistemas que replicam aquele dado — novamente, um desafio em arquiteturas com múltiplas cópias.

Empresas maduras em LGPD implementam portais de autoatendimento integrados ao IAM e ao Data Catalog, automatizando boa parte dessas rotinas. Isso reduz o custo unitário de atendimento de R$ 200-400 por solicitação para menos de R$ 20, tornando viável a operação em escala.

Cloud, fornecedores e transferência internacional

Uma empresa que usa Microsoft 365, Google Workspace, Salesforce ou qualquer SaaS global está, tecnicamente, transferindo dados pessoais internacionalmente. A LGPD regula essa transferência e exige que haja base legal adequada — cláusulas contratuais padrão aprovadas pela ANPD, certificações reconhecidas ou consentimento específico do titular. A TI precisa manter inventário atualizado de todos os fornecedores (incluindo sub-processadores) e garantir que os contratos refletem as exigências legais.

Os pontos críticos que a TI precisa validar em cada contrato:

• Localização geográfica dos datacenters e direito de escolha de região
• Obrigação do fornecedor de notificar incidentes em prazo compatível com o SLA da LGPD
• Direito de auditoria ou evidência de certificações (ISO 27001, SOC 2 Type II, ISO 27701)
• Cláusula de retorno/eliminação de dados ao término do contrato
• Subcontratação transparente de sub-processadores

Contratos firmados antes de 2020 quase sempre precisam de aditivos LGPD. É comum, em auditorias, descobrir que a empresa usa uma ferramenta há 5 anos sem DPA (Data Processing Agreement) assinado — o que configura tratamento sem base legal adequada e expõe a empresa a sanções mesmo sem incidente.

Como a Duk Informática & Cloud apoia sua conformidade LGPD

Implementar e sustentar conformidade LGPD na camada técnica exige expertise que cruza segurança da informação, arquitetura de dados, cloud, governança de identidade e gestão de fornecedores — raramente concentrada em um único profissional interno. É por isso que mais de 550 empresas confiam na Duk Informática & Cloud como parceira de TI estratégica há mais de 18 anos. Como Microsoft Gold Partner, a Duk opera stacks Microsoft 365, Azure, Purview e Sentinel com profundidade, entregando os controles técnicos que a LGPD exige: criptografia, MFA, logging centralizado, classificação automática de dados sensíveis e resposta a incidentes com SLA médio de 3,7 minutos.

O pacote de adequação LGPD da Duk inclui: Data Discovery e mapeamento automatizado, implantação de políticas de DLP (Data Loss Prevention), hardening de endpoints e servidores, revisão de permissões com base em Zero Trust, monitoramento 24/7 com SOC próprio em Alphaville, playbooks de resposta a incidentes testados trimestralmente e apoio técnico ao DPO da empresa em demandas de titulares e comunicações à ANPD. Não é consultoria pontual — é parceria contínua, com métrica clara e accountability diária.

Se a sua empresa ainda tem dúvida sobre como está a maturidade técnica da TI frente à LGPD, vale começar por um diagnóstico objetivo. Fale com um especialista da Duk pelo WhatsApp e receba um mapa inicial dos pontos de atenção em até 48 horas. Conformidade não é projeto — é operação contínua, e quanto antes começar, menor o custo e o risco.