Escala Sistemas
Voltar para o Blog
LGPD

LGPD para empresas: guia prático de adequação sem paralisar a operação

Multa de até 2% do faturamento, teto de R$ 50 milhões, e a ANPD acordou. O que uma empresa média precisa fazer em 90 dias para estar em conformidade sem paralisar.

Equipe de Engenharia · Escala Sistemas08 de novembro de 202612 min de leitura
Sala de servidores com foco em segurança

A LGPD entrou em vigor em 2020, mas foi entre 2024 e 2026 que a fiscalização virou realidade. A ANPD publicou dezenas de decisões, aplicou multas e passou a monitorar setores inteiros. A pergunta mudou de "isso vai pegar?" para "quando vai pegar aqui?".

A boa notícia: LGPD séria não paralisa negócio. Ela é um projeto de organização de dados com regras jurídicas e técnicas claras. Este guia mostra o caminho pragmático para uma empresa média se adequar sem virar refém de consultor caro nem parar a operação.

O básico do que a ANPD realmente cobra

  • Base legal. Todo tratamento de dado pessoal precisa de uma das 10 bases (consentimento, execução de contrato, obrigação legal, legítimo interesse etc.).
  • Inventário de tratamento. Documento que lista quais dados você trata, com que finalidade, por quanto tempo e com quem compartilha.
  • Direitos do titular. Cliente pede acesso, correção, exclusão. Você tem 15 dias para responder.
  • Segurança adequada. Medidas técnicas e administrativas proporcionais ao risco do dado.
  • Comunicação de incidente. Vazamento sério comunicado à ANPD e aos afetados.
  • Encarregado (DPO). Pessoa nomeada, com nome e contato públicos.

Roteiro pragmático de 90 dias

Dias 1-30:

  • Mapear todos os sistemas que armazenam dado pessoal.
  • Montar o inventário de tratamento (RIT) em planilha estruturada.
  • Nomear o encarregado.
  • Publicar a política de privacidade no site e nos pontos de coleta.

Dias 31-60:

  • Definir base legal para cada tratamento (com apoio jurídico).
  • Ajustar formulários e canais de coleta (consentimento explícito quando aplicável).
  • Criar canal de atendimento ao titular (formulário no site, e-mail dedicado).
  • Auditar contratos com fornecedores que tratam dado (operadores).

Dias 61-90:

  • Implementar medidas técnicas mínimas (criptografia em trânsito e em repouso, controle de acesso, log).
  • Fazer treinamento com a equipe (todos, não só TI).
  • Definir plano de resposta a incidente.
  • Rodar simulação de pedido de titular para validar o processo.

Medidas técnicas que a ANPD espera ver

  • Criptografia em repouso no banco de dados.
  • HTTPS obrigatório em tudo que trafega dado.
  • Controle de acesso por perfil (não todo mundo vê tudo).
  • Log de acesso a dado sensível.
  • Backup regular com teste de restore.
  • Segregação de ambiente (produção não é playground).
  • Pseudonimização ou anonimização quando o uso permite.

Sinal de risco imediato

Planilha de cliente compartilhada por link "para qualquer um com o link". Isso é vazamento em potencial. Feche hoje.

Erros caros comuns

  • Pedir consentimento para tudo. Consentimento é uma das bases, e talvez a menos adequada em relação B2B.
  • Não ter processo para pedido de titular. Quando o primeiro chega, é caos.
  • Contratar SaaS internacional sem cláusula de operador. LGPD alcança fluxo transfronteiriço.
  • Achar que política de privacidade genérica copiada resolve. ANPD verifica coerência entre política e prática.

Checklist prático

  • Inventário de tratamento (RIT) atualizado.
  • Base legal justificada para cada tratamento.
  • Encarregado nomeado, com contato público.
  • Canal para pedido de titular funcionando e testado.
  • Criptografia em trânsito e em repouso ativa.
  • Plano de resposta a incidente escrito, com responsáveis nomeados.
  • Contratos com fornecedores revisados (cláusula de operador).

Perguntas frequentes

Minha empresa é pequena, LGPD se aplica?+

Sim. LGPD se aplica a quase todo tratamento de dado pessoal. Existe regime simplificado para pequeno porte, mas não isenção.

Preciso contratar DPO externo?+

Não obrigatoriamente. Pode ser colaborador interno. Só não pode acumular função conflitante (por exemplo, quem decide sobre coleta não deve ser o encarregado).

Multa acontece de verdade?+

Sim. A ANPD aplicou dezenas de multas entre 2023 e 2026, algumas milionárias. Setor financeiro, saúde e e-commerce estão sob atenção maior.

IA local ajuda em LGPD?+

Muito. Ao processar dado pessoal dentro da sua infraestrutura, você elimina o risco de fluxo transfronteiriço e reduz drasticamente a superfície de exposição.

Sua empresa está em conformidade com a LGPD?

Fazemos diagnóstico técnico de LGPD em 3 semanas: inventário de dados, análise de bases legais, avaliação de segurança e plano de adequação priorizado.

Solicitar diagnóstico LGPD

Continue lendo