A Lei Geral de Proteção de Dados (LGPD) entrou em vigor em 2020, mas muitas pequenas e médias empresas ainda não se adequaram. Com multas que podem chegar a 2% do faturamento (limitadas a R$ 50 milhões por infração), ignorar a lei não é uma opção. A boa notícia: a adequação pode ser feita de forma gradual e sem grandes investimentos.
Este guia apresenta um checklist prático para que empresas de Blumenau e região possam iniciar sua jornada de conformidade com a LGPD, protegendo tanto os dados de seus clientes quanto a reputação do negócio.
Fundamentos da LGPD que você precisa conhecer
Antes de mergulhar no checklist, é essencial entender alguns conceitos-chave da legislação:
Dados pessoais vs. Dados sensíveis
Dados pessoais são qualquer informação que identifique ou possa identificar uma pessoa: nome, CPF, e-mail, telefone, endereço IP, cookies de navegação.
Dados sensíveis exigem proteção extra: origem racial, convicção religiosa, opinião política, dados de saúde, vida sexual, dados genéticos ou biométricos.
Os 10 princípios da LGPD
- Finalidade: Tratamento para propósitos legítimos e específicos
- Adequação: Compatibilidade com as finalidades informadas
- Necessidade: Limitação ao mínimo necessário
- Livre acesso: Garantia de consulta facilitada
- Qualidade: Exatidão e atualização dos dados
- Transparência: Informações claras sobre o tratamento
- Segurança: Medidas técnicas de proteção
- Prevenção: Adoção de medidas preventivas
- Não discriminação: Impossibilidade de uso discriminatório
- Responsabilização: Demonstração de cumprimento
"A LGPD não é sobre burocracia. É sobre respeito ao cliente e gestão responsável de informações que não pertencem à empresa."
Checklist 1: Estrutura Organizacional
O primeiro passo é preparar sua empresa internamente para a gestão de dados pessoais.
- Nomear um Encarregado (DPO): Pode ser funcionário interno ou terceirizado. Para PMEs, um consultor externo costuma ser mais viável
- Criar canal de comunicação: E-mail ou formulário para que titulares possam exercer seus direitos (ex: privacidade@suaempresa.com.br)
- Definir comitê de privacidade: Pelo menos uma pessoa de TI e uma do jurídico/administrativo
- Estabelecer política de privacidade: Documento público explicando como dados são coletados e tratados
- Criar política interna: Regras claras para funcionários sobre manuseio de dados
Para microempresas e empresas de pequeno porte, a ANPD flexibilizou algumas obrigações. Ainda assim, a nomeação de um responsável por dados é altamente recomendada, mesmo que informal.
Checklist 2: Mapeamento de Dados
Você não pode proteger o que não conhece. O mapeamento de dados é fundamental para entender seu cenário atual.
- Inventariar todos os dados pessoais coletados: De clientes, funcionários, fornecedores e parceiros
- Identificar a base legal para cada tratamento: Consentimento, contrato, legítimo interesse, obrigação legal, etc.
- Documentar onde os dados estão armazenados: Sistemas, planilhas, e-mails, arquivos físicos
- Mapear fluxos de dados: Como entram, por onde passam, com quem são compartilhados
- Identificar operadores: Terceiros que processam dados em seu nome (contadores, sistemas SaaS, etc.)
- Verificar transferências internacionais: Se usa serviços em nuvem com servidores no exterior
Exemplo de mapeamento simples
PROCESSO: Cadastro de cliente
DADOS COLETADOS: Nome, CPF, E-mail, Telefone, Endereço
BASE LEGAL: Execução de contrato
ARMAZENAMENTO: ERP (servidor local) + Backup em nuvem (AWS)
COMPARTILHAMENTO: Transportadora (nome/endereço)
RETENÇÃO: 5 anos após última compra
RESPONSÁVEL: Setor comercialChecklist 3: Segurança da Informação
A LGPD exige "medidas técnicas e administrativas aptas a proteger os dados pessoais". Veja o essencial:
- Controle de acesso: Cada funcionário acessa apenas dados necessários para sua função
- Senhas fortes: Política de senhas complexas e troca periódica
- Autenticação em dois fatores: Especialmente para sistemas com dados sensíveis
- Criptografia: Dados sensíveis devem ser criptografados em repouso e em trânsito
- Backup regular: Cópias de segurança testadas periodicamente
- Antivírus/Firewall: Proteção básica em todos os dispositivos
- Atualizações: Sistemas e softwares sempre atualizados
- Logs de acesso: Registro de quem acessou quais dados
Planilhas de Excel com dados de clientes são um risco comum em PMEs. Se usar planilhas, proteja-as com senha e restrinja o compartilhamento. O ideal é migrar para sistemas com controle de acesso adequado.
Checklist 4: Consentimento e Transparência
Quando a base legal for consentimento, ele deve ser livre, informado e inequívoco.
- Revisar formulários de cadastro: Incluir checkbox de aceite da política de privacidade
- Atualizar site: Banner de cookies com opção real de recusa
- E-mail marketing: Coletar consentimento específico (opt-in) e oferecer descadastro fácil
- WhatsApp comercial: Solicitar autorização antes de adicionar em listas
- Contratos: Incluir cláusulas de privacidade em contratos com clientes e fornecedores
- Armazenar provas: Guardar registros de quando e como o consentimento foi obtido
Modelo de checkbox para formulários
☐ Li e concordo com a Política de Privacidade
☐ Aceito receber novidades e ofertas por e-mail
(Você pode cancelar a qualquer momento)Checklist 5: Direitos dos Titulares
A LGPD garante diversos direitos aos donos dos dados. Sua empresa precisa estar preparada para atendê-los.
- Confirmação de tratamento: Informar se processa dados do solicitante
- Acesso aos dados: Fornecer cópia dos dados em formato legível
- Correção: Permitir atualização de dados incompletos ou incorretos
- Anonimização/exclusão: Eliminar dados desnecessários ou excessivos
- Portabilidade: Fornecer dados em formato que permita transferência
- Revogação do consentimento: Facilitar a retirada de autorização
Estabeleça um prazo interno para atender solicitações (a lei diz 15 dias para resposta). Documente todas as solicitações e respostas.
Checklist 6: Gestão de Incidentes
Vazamentos acontecem. O que diferencia empresas responsáveis é a capacidade de resposta.
- Plano de resposta a incidentes: Documento definindo passos em caso de vazamento
- Comunicação à ANPD: Em prazo razoável quando incidente representar risco relevante
- Comunicação aos titulares: Quando o incidente puder causar danos significativos
- Registro de incidentes: Documentar ocorrências, causas e medidas tomadas
- Análise pós-incidente: Identificar falhas e implementar melhorias
Modelo simplificado de plano de resposta
ETAPA 1 - IDENTIFICAÇÃO (imediato)
- Confirmar se houve acesso indevido a dados pessoais
- Identificar quais dados foram afetados
- Isolar sistemas comprometidos
ETAPA 2 - CONTENÇÃO (primeiras 24h)
- Bloquear acesso não autorizado
- Preservar evidências para investigação
- Avaliar extensão do incidente
ETAPA 3 - COMUNICAÇÃO (48-72h)
- Notificar ANPD se houver risco significativo
- Notificar titulares afetados
- Preparar comunicado interno
ETAPA 4 - RECUPERAÇÃO (1-2 semanas)
- Corrigir vulnerabilidade explorada
- Restaurar sistemas e dados
- Documentar lições aprendidasChecklist 7: Gestão de Fornecedores
Seus parceiros de negócio também precisam estar em conformidade. Você é corresponsável pelos dados compartilhados.
- Avaliar fornecedores críticos: Escritório contábil, sistemas em nuvem, marketing digital
- Cláusulas contratuais: Incluir obrigações de proteção de dados em contratos
- Termo de confidencialidade: NDA com prestadores de serviço
- Verificar políticas: Confirmar que fornecedores têm política de privacidade própria
- Suboperadores: Autorizar expressamente uso de terceiros por operadores
Roadmap de implementação para PMEs
A adequação não precisa ser feita de uma vez. Sugerimos uma abordagem gradual:
Mês 1-2: Fundação
- Nomear responsável por privacidade
- Criar canal de comunicação
- Publicar política de privacidade no site
- Treinar equipe sobre conceitos básicos
Mês 3-4: Mapeamento
- Inventariar dados pessoais
- Identificar bases legais
- Documentar fluxos de dados
- Avaliar riscos principais
Mês 5-6: Adequação
- Revisar contratos com fornecedores
- Atualizar formulários e termos
- Implementar medidas de segurança prioritárias
- Criar procedimento para atender direitos dos titulares
Mês 7+: Manutenção
- Auditorias periódicas
- Treinamentos de reciclagem
- Atualização conforme novos processos
- Acompanhamento de orientações da ANPD
Ferramentas úteis para adequação
Algumas ferramentas podem facilitar o processo:
- Planilha de mapeamento de dados: Templates gratuitos disponíveis em sites especializados
- Geradores de política de privacidade: Para criar versão inicial (depois personalize)
- Gestores de consentimento de cookies: CookieYes, OneTrust (versões gratuitas)
- Plataformas de treinamento: Cursos LGPD gratuitos no YouTube e Udemy
- Guias da ANPD: Documentos oficiais com orientações práticas
Próximos passos
Este checklist é um ponto de partida. Cada empresa tem suas particularidades, e situações complexas podem exigir consultoria especializada. Recomendamos:
- Baixe a versão PDF deste checklist e compartilhe com sua equipe
- Agende uma reunião interna para discutir o tema
- Comece pelo básico: política de privacidade e canal de comunicação
- Busque apoio especializado para mapeamento e análise de riscos
A Blumenau TI oferece consultoria em adequação à LGPD, desde o mapeamento inicial até a implementação de soluções técnicas de segurança. Entre em contato para uma avaliação inicial gratuita.
