Desde que a ANPD passou a aplicar sanções administrativas, em agosto de 2021, a pergunta que mais chega para a gente é a mesma: "por onde começo?" A resposta honesta é: pelo mapeamento. Mas a pergunta certa é diferente: "o que não pode esperar?" Essas duas perguntas juntas montam o roteiro. Noventa dias é o tempo que uma empresa de médio porte consegue implementar o básico com consistência. Não o ideal. O suficiente para sair da zona de risco imediato.
Semana 1: mapeamento de dados (sem ele, o resto é decoração)
Antes de qualquer política, DPO nomeado ou cookie banner, você precisa saber o que a empresa coleta, onde armazena, quem acessa e para que usa. Sem mapeamento, todo o resto é construção sem fundação.
Na prática, uma planilha resolve o começo. Colunas: tipo de dado, finalidade do tratamento, base legal aplicável, onde está armazenado (sistema, planilha, papel, nuvem), prazo de retenção, quem tem acesso. Não precisa de software caro na largada. Precisa de alguém que conheça os processos da empresa e de duas semanas de disciplina para levantar tudo.
O que a maioria esquece no mapeamento: dado de funcionário. Folha de pagamento, contrato de trabalho, prontuário médico, registro de ponto biométrico. Empresa com 30 funcionários já acumula volume considerável de dado pessoal sensível só no RH, e dado sensível tem tratamento diferenciado na lei (art. 5º, II), exigindo base legal específica e cuidados adicionais.
Base legal: a escolha que define tudo que vem depois
Cada operação de tratamento precisa estar respaldada em uma das bases legais do art. 7º da Lei 13.709/2018. O consentimento é a mais conhecida, mas não é a mais adequada para a maioria dos casos. O problema do consentimento é prático: o titular pode revogar a qualquer momento, e o tratamento tem que parar.
Nossa leitura: para relação contratual com cliente, a base é execução de contrato. Para dado de empregado, é cumprimento de obrigação legal. Para ações de marketing segmentado, pode ser legítimo interesse, desde que documentado com análise de proporcionalidade. O consentimento fica para os casos em que nenhuma outra base se encaixa.
O erro mais comum que a gente vê: empresa coloca banner de cookies no site, usuário clica "aceito", e acha que está adequada à LGPD. Não está. O banner captura consentimento para rastreamento naquele site. Os sistemas internos, a base de clientes, os contratos com fornecedores, o RH: cada frente precisa de análise própria e base legal própria.
Os documentos que a ANPD vai pedir
Em eventual processo administrativo ou fiscalização, a ANPD vai verificar, no mínimo, três itens. Sem eles, a empresa não tem como demonstrar conformidade:
- Política de Privacidade publicada, acessível ao titular e redigida para a realidade da empresa, não copiada de template americano
- Registro das atividades de tratamento, o mapeamento organizado de forma auditável, com finalidade, base legal e prazo de retenção de cada dado
- Evidência de nomeação do Encarregado (DPO), com identidade e canal de contato publicados, conforme exige o art. 41
- Política Interna de Proteção de Dados para uso dos funcionários
- Avisos de privacidade diferenciados por contexto: cliente, colaborador, fornecedor
Política de Privacidade não é template. A gente lê política de empresa de Santa Catarina que é cópia integral de política americana feita sob GDPR europeu. Não serve. Precisa dizer, com clareza, o que essa empresa específica faz com dado pessoal: quais dados coleta, para qual finalidade, com quem compartilha, por quanto tempo guarda e como o titular pode exercer seus direitos.
Contratos com fornecedores: o elo que ninguém lembra
Toda empresa que repassa dado pessoal para terceiro precisa de cláusula contratual específica de proteção de dados. Isso inclui: escritório de contabilidade, sistema de folha de pagamento, plataforma de e-mail marketing, provedor de nuvem, CRM, empresa de saúde ocupacional, transportadora que recebe endereço de entrega do cliente.
Na linguagem da LGPD, sua empresa é controladora. Esses terceiros são operadores. A responsabilidade do controlador não termina quando o dado sai da sua mão: você responde se o operador tratar o dado de forma inadequada (art. 42). Isso não é interpretação, é texto da lei.
O que fazer: levantar todos os fornecedores que recebem dado pessoal, checar se o contrato existente tem cláusula de privacidade adequada e, se não tem, incluir aditivo. Esse levantamento costuma revelar sistemas que a empresa abandonou mas que ainda têm acesso à base de clientes. Fechar esses acessos já reduz risco real e imediato, independente de qualquer outro passo.
Treinamento da equipe: o que entra de verdade
Treinamento genérico sobre LGPD não funciona. Ninguém do time de vendas vai lembrar do art. 7º numa situação real. O que funciona é treinamento situacional: o que você faz quando o cliente pede para apagar o dado dele? E quando o colega manda planilha com CPF pelo WhatsApp? E quando o sistema da empresa sofre um incidente de segurança?
Uma hora de treinamento calibrado, com exemplos do setor da empresa, vale mais do que três horas de apresentação genérica. Documente o treinamento: lista de presença, data, conteúdo abordado. Em fiscalização, isso é evidência concreta de que a empresa age com boa-fé. A ANPD considera cooperação e adoção de boas práticas como atenuantes no cálculo de eventual sanção.
Frequência mínima: uma vez por ano. E obrigatoriamente em todo onboarding de funcionário novo que vai lidar com dado pessoal.
Canal do titular: 15 dias é prazo, não sugestão
O titular dos dados tem o direito de pedir confirmação de tratamento, acesso, correção, eliminação, portabilidade e revogação do consentimento (art. 18). A empresa tem 15 dias corridos para responder (art. 19). Sem exceção.
Isso exige um canal identificado para receber essas solicitações. Pode ser e-mail dedicado, formulário no site, protocolo presencial documentado. O que não pode é não ter nenhum canal identificado e publicado.
Na prática: empresa sem canal do titular identificado está em descumprimento imediato, independente de qualquer outro avanço na adequação. É uma das irregularidades mais simples de corrigir e uma das mais comuns que a gente vê. Se tiver que escolher uma única coisa para resolver hoje, é essa.
O que pode esperar e o que não pode
Falando sério: nem tudo precisa estar pronto no primeiro mês. A questão é saber o que é prioridade real e o que é acessório.
Pode esperar, para os meses 4 a 6: relatório de impacto à proteção de dados (RIPD), auditoria interna formal com consultoria externa, programa avançado de conformidade com monitoramento contínuo. São instrumentos relevantes, mas não são o ponto de partida de quem está começando.
Não pode esperar: mapeamento de dados, nomeação e publicação do DPO, Política de Privacidade no site, canal do titular funcionando, revisão dos contratos com fornecedores que recebem dado pessoal. Qualquer processo administrativo na ANPD começa verificando exatamente esses pontos. A multa pode chegar a 2% do faturamento bruto no Brasil no último exercício, limitada a R$ 50 milhões por infração.
A Resolução CD/ANPD 02/2022 criou regime simplificado para microempresas, EPPs e startups. Mas regime simplificado não é isenção. Significa processo administrativo menos burocrático, não ausência de obrigações. As exigências fundamentais existem para todo controlador, de qualquer porte.
O que fazer nas próximas duas semanas
Duas semanas, duas entregas concretas. Primeira: abra uma planilha e liste todos os tipos de dado pessoal que a empresa coleta hoje, onde cada um está armazenado e quem tem acesso. Não precisa estar perfeito. Precisa existir. Segunda: identifique e publique o canal pelo qual um titular pode pedir informações sobre os dados dele, e certifique-se de que alguém da equipe está designado para responder em até 15 dias.
Essas duas ações eliminam as irregularidades mais elementares e criam a base para tudo que vem na sequência: definição das bases legais, elaboração dos documentos, revisão de contratos com fornecedores, treinamento da equipe. O roteiro de 90 dias funciona porque é sequenciado. Mas só funciona se começar.
Fale com um advogado da RSA.
Diagnóstico objetivo em até 24h úteis.
