Recebi um orçamento de uma consultoria grande pra fazer adequação LGPD de um cliente meu, indústria de médio porte, 340 funcionários. R$ 84 mil em 8 meses.
Olhei o escopo. Nove relatórios, dois workshops, um diagnóstico Inicial, uma matriz de risco e três políticas modelo. Tudo bonito. Mas oitenta e quatro mil reais.
Eu disse pro CIO: "Manda eles tomarem café. Eu te entrego o mesmo resultado em 90 dias com o seu pessoal interno, e a única coisa que você gasta é meu honorário pra te guiar."
Funcionou. Custou R$ 18 mil. E a empresa hoje está em conformidade substancial — exatamente como teria ficado com a consultoria grande.
Vou te contar como se faz.
O que 'adequado' realmente significa para a ANPD
Primeiro precisa entender o que a ANPD considera adequação. E aqui tem uma boa notícia: a ANPD usa o conceito de conformidade razoável, não conformidade perfeita.
Em fiscalizações até hoje, a ANPD demonstrou olhar pra três coisas:
- Existência de governança formal (DPO, comitê, política aprovada)
- Mapeamento mínimo de operações de tratamento de dados
- Capacidade de responder a incidentes e a direitos dos titulares
Não precisa ter ROPA (Registro de Operações) com 800 entradas. Não precisa ter relatório de impacto pra cada banco de dados. Precisa ter o essencial funcionando e ser capaz de evoluir.
Quem te disse que precisa de 200 documentos ou está com medo, ou está tentando vender.
O mito das 200 paginas de documentacao
Tem consultoria que entrega projeto LGPD com 80, 120, ate 200 documentos. Bonito de mostrar pro CFO. Util? Nem tanto.
O ponto de equilibrio que funciona na pratica: entre 15 e 30 documentos vivos. Politicas curtas. Procedimentos enxutos. ROPA pratico. Plano de incidente funcional. Tudo o que pode caber numa pasta da intranet acessada semanalmente.
Documentacao vasta morre rapido. Documentacao enxuta sobrevive. ANPD entende isso — o que ela cobra e qualidade e uso, nao volume.
Os 6 documentos que toda empresa precisa ter
Esses seis documentos cobrem 80% do que a ANPD vai pedir num primeiro contato. Vou te dar o nome e a essência de cada um:
1. Política de Privacidade
Pra titulares externos (clientes, parceiros). Explica que dados são coletados, para que, por quanto tempo, com quem são compartilhados. Linguagem clara. Não juridiquês.
2. Política Interna de Proteção de Dados
Pros funcionários. Define responsabilidades, processos internos, regras de acesso. Aprovada pela diretoria, datada, com versão controlada.
3. ROPA (Registro de Operações de Tratamento)
O documento que mais assusta. Mas é só uma planilha: que operações de tratamento existem, quais dados envolvem, com que finalidade, com que base legal, com que retenção. Pra empresa média, 30-50 entradas resolvem.
4. Plano de Resposta a Incidentes
O que fazer quando rolar o vazamento. Quem é acionado em que momento. Como notificar a ANPD em 3 dias úteis. Como comunicar titulares.
5. Procedimento de Atendimento a Direitos dos Titulares
Como receber e responder pedidos de acesso, correção, exclusão, portabilidade. Prazo de 15 dias. Canal definido. Registro de atendimentos.
6. Contratos com Operadores
Cláusulas LGPD nos contratos com terceiros que tratam dados em nome da empresa. Cloud, ERP em SaaS, agência de marketing, escritório contábil terceirizado — todos.
Como controlar versao desses documentos
Pequeno detalhe que faz diferenca: versionamento. Cada um desses 6 documentos precisa ter versao, data, aprovador, data da proxima revisao. Sem isso, o auditor (ou a propria ANPD em fiscalizacao) tem dificuldade de avaliar se voce esta cuidando.
Modelo simples: rodape com "Versao 2.1 — aprovado em 14/03/2026 por Diretoria Executiva — revisao prevista para 14/03/2027". Todo documento. Tres linhas. Mas mudou tudo.
O que diferencia documento vivo de documento morto
Documento vivo é aquele que alguém usa no dia a dia. Documento morto é aquele que existe na intranet, foi aprovado em 2022, e ninguém abriu desde então.
Sinais de documento vivo: é citado em treinamentos, é referenciado em procedimentos operacionais, tem histórico de revisões, tem perguntas de funcionários sobre ele no canal de atendimento interno. Sinais de documento morto: aprovado uma vez, esquecido depois, descobrir desatualizado só quando alguém vai usar.
ANPD valoriza documento vivo. Em fiscalização, pergunta-se aos funcionários se conhecem a política — não se a empresa tem política aprovada. A diferença entre conhecimento e aprovação é gigante.
Mapeamento de dados: como fazer sem um consultor
O mapeamento é a base de tudo. Sem ele, ROPA é chute, política é genérica e resposta a incidente é improvisação.
O método que uso com clientes médios:
Semana 1: Workshop de 2 horas com cada gestor de área (RH, comercial, financeiro, TI, jurídico). Pergunta única: "quais dados de pessoas vocês coletam, recebem ou usam no dia a dia?"
Semana 2-3: Consolidação numa planilha única. Cada operação vira uma linha. Colunas: dado, origem, finalidade, base legal, retenção, compartilhamento.
Semana 4: Revisão com cada gestor pra validar a planilha. Pequenos ajustes.
Pronto. Sua empresa tem ROPA. E ele é vivo — porque foi construído pelas pessoas que fazem o trabalho, não por um consultor que entrou e saiu.
O workshop que rende mais resultado
O workshop de mapeamento e onde a empresa descobre, quase sempre, que trata muito mais dado pessoal do que imaginava. Vendas tem planilha com 8 mil leads. RH tem CV de candidatos rejeitados ha 3 anos. Comercial usa WhatsApp pra trocar info de cliente. Marketing mantem segmentacoes baseadas em dados sensiveis.
Eu sempre comeco o workshop com uma pergunta provocativa: "qual e a planilha mais valiosa que voce tem no seu computador hoje?". A resposta quase sempre revela um processamento de dado nao mapeado.
Workshop produtivo dura 2-3 horas, com no maximo 5-6 pessoas da mesma area. Mais que isso, dispersa. Menos que isso, fica raso.
Veja onde sua empresa está hoje com o checklist LGPD gratuito.
Calcular minha exposição LGPD →Sistemas que processam dados pessoais: o inventário que ninguém faz
Esse é o passo que mais empresas pulam, e que mais vira problema depois.
Faz uma lista de todos os sistemas — internos, SaaS, planilhas críticas — que contêm dados pessoais. Pra cada um, anota:
- Quem é o responsável funcional
- Quem é o responsável técnico
- Onde os dados ficam armazenados (Brasil? Exterior?)
- Há backup? Onde?
- Tem log de acesso?
- Os usuários têm permissões granulares?
Empresa média descobre nesse inventário entre 12 e 30 sistemas. Inclui o RH em SaaS, o ERP, o sistema de ponto, a planilha de comissões, o CRM, a base de cobrança, o WhatsApp Business com histórico de clientes — sim, WhatsApp também é processamento de dado.
Sem esse inventário, na hora do incidente você não sabe onde olhar. Com ele, você tem mapa.
Shadow IT e LGPD: o problema invisivel
Quase toda empresa tem shadow IT — ferramentas usadas pelos funcionarios sem aprovacao formal da TI. Dropbox pessoal pra compartilhar arquivo, Google Forms pra coletar dado, ChatGPT pra escrever email. Cada uma dessas e processamento de dado pessoal que sai do controle da empresa.
O risco LGPD desses casos e alto. Se um funcionario vaza dado por uma ferramenta nao corporativa, a empresa continua responsavel — porque ela permitiu o uso (ou nao baniu).
Como tratar: politica clara sobre ferramentas autorizadas, comunicacao recorrente, monitoramento de trafego, oferta de alternativas corporativas adequadas.
O que deixar para depois (sem perder o sono)
Aqui vai a parte que ninguém te diz: nem tudo precisa ser feito agora.
Coisas que dão pra deixar pra fase 2 (6-12 meses depois) sem comprometer a defensabilidade:
- Relatório de Impacto à Proteção de Dados (RIPD) detalhado para cada operação — basta ter pros tratamentos de alto risco
- Pseudonimização e criptografia avançada em todas as bases — comece pelas críticas
- Treinamento universal de toda a empresa — comece pelas áreas que tratam mais dados
- Plataforma de gestão de consentimento sofisticada — uma planilha controlada funciona inicialmente
O importante é ter governança viva. A ANPD não cobra perfeição no dia 1. Cobra evolução demonstrável.
O cliente da indústria que mencionei lá no começo — depois de 90 dias estava em conformidade substancial. Depois de 12 meses, em conformidade madura. Depois de 24 meses, com cultura interna estabelecida.
Custo total acumulado em 24 meses: R$ 52 mil. Contra os R$ 84 mil iniciais que o concorrente tinha proposto pra entregar tudo de uma vez em 8 meses.
Adequação LGPD não é projeto. É construção contínua. E quem entende isso paga 60% menos.
O risco do excesso de adequacao
Tem empresa que parte pro outro extremo: quer adequar tudo, agora, profundo. Resultado: projeto trava por 18 meses, queima orcamento e perde foco no que realmente importa.
A LGPD nao premia perfeicao. Premia conformidade razoavel demonstravel. Faz o essencial bem feito, demonstra evolucao, e prioriza os tratamentos de maior risco. O resto pode evoluir gradualmente.
Adequacao LGPD nao e maratona com linha de chegada. E ritmo de corrida continua. Quem entende isso paga 60% menos e ainda chega mais longe.
Os indicadores que mostram maturidade ao longo do tempo
ANPD valoriza evolução demonstrável. Os indicadores que ajudam a contar essa história ao longo dos anos:
- Número de operações de tratamento mapeadas (crescendo a cada revisão)
- Percentual de funcionários treinados anualmente
- Número de pedidos de titulares atendidos no prazo
- Tempo médio de resposta a pedidos de titulares
- Número de incidentes detectados e tratados
- Investimento anual em segurança e privacidade
- Auditorias internas realizadas no período
Acompanhar esses indicadores trimestralmente, reportar no comitê, arquivar evidência — isso compõe o lastro de maturidade que vale ouro quando vem fiscalização ou cliente exigindo due diligence.
Veja também
Guia CompletoComo a ANPD calcula multas LGPD: o que poucos DPOs explicam direito
A fórmula da ANPD não é simples. Faturamento bruto, agravantes, atenuantes — entenda como o cálculo realmente funciona e o que pode aumentar ou reduzir sua multa.
RiscosOs incidentes LGPD que geraram as maiores multas no Brasil — e o que eles têm em comum
Os casos sancionados pela ANPD revelam um padrão claro. Não é o tamanho da violação que define a multa — é a resposta da empresa ao incidente.
Perguntas frequentes
Por onde começar a implementação da LGPD?
Pela base legal: mapeie quais dados você coleta, para qual finalidade e qual é a base legal de cada tratamento. Sem isso, qualquer política de privacidade é marketing vazio. O mapeamento (data mapping) leva de 2 a 6 semanas dependendo do porte. É o insumo para tudo que vem depois.
É possível implementar LGPD sem contratar consultoria cara?
Sim. O que você precisa é estrutura, não consultores. Com um responsável interno dedicado (pode ser parcial), template de mapeamento de dados, política de privacidade adaptada ao seu negócio e treinamento básico da equipe, você cobre 70% do que a ANPD avalia. Consultoria externa vale para revisão e para casos específicos de alto risco.
Quanto tempo leva para adequar uma empresa à LGPD?
Para adequação básica defensável: 3 a 6 meses com equipe dedicada. Para adequação madura com processos estabelecidos: 12 a 18 meses. O erro mais comum é tratar como projeto com data de fim — LGPD é um processo contínuo de gestão de risco de privacidade.
O modelo de governança que sobrevive à fiscalização
Implementar LGPD não é projeto de TI nem projeto jurídico isolado — é programa de governança que cruza TI, jurídico, RH, marketing, operações e vendas. Empresa que delega tudo ao DPO acaba com programa frágil, porque o DPO não tem mandato sobre as áreas operacionais.
O modelo que funciona, na minha experiência, tem três camadas. Na camada estratégica, comitê de privacidade composto por C-level (CEO ou COO, CFO, CIO, jurídico-chefe) reúne trimestralmente, aprova política, revisa indicadores. Na camada tática, o DPO opera o dia a dia com autoridade formal pra cobrar áreas e escalar quando necessário. Na camada operacional, cada área de negócio tem um privacy champion — pessoa interna que conhece os processos da área e responde diretamente ao DPO.
Esse arranjo de três camadas resolve o problema clássico do DPO sem poder. O DPO tem o conhecimento técnico, mas a autoridade vem do comitê. E a execução acontece nas pontas, com os champions. Quem perde tempo querendo concentrar tudo no DPO acaba com programa que existe no papel.
O custo dessa estrutura é baixo. Comitê: 2 horas trimestrais de C-level. DPO: pode ser dedicado ou compartilhado, dependendo do porte. Champions: 4-8 horas mensais cada, somadas às tarefas regulares. Pra empresa de 500 funcionários, custo total estimado: R$ 200-400 mil/ano. Comparado à multa potencial, é seguro barato.
Mapeamento de dados: o trabalho que todo mundo pula
Tem uma etapa fundamental da implementação LGPD que a maioria das empresas executa mal: o inventário de dados pessoais. É chato, demorado, exige conversa com todas as áreas. Mas é o alicerce de tudo o que vem depois.
O inventário precisa responder, pra cada sistema da empresa que armazena dado pessoal, sete perguntas: que dados estão lá, quantos titulares, qual a finalidade, qual a base legal, quem tem acesso interno, é compartilhado com quem externamente, por quanto tempo é retido.
Numa empresa de 800 funcionários que atendi, o inventário inicial identificou 47 sistemas que armazenavam dado pessoal. Após análise, 12 deles armazenavam dados sem qualquer finalidade ativa — eram resíduos de projetos antigos. Foram eliminados, reduzindo superfície de risco em 25%. Esse tipo de descoberta é comum e o impacto na exposição é imediato.
O inventário é também o documento que a ANPD pede primeiro em qualquer fiscalização. Empresa que apresenta inventário completo e atualizado demonstra maturidade — e ganha desconto na dosimetria. Empresa que apresenta planilha desatualizada ou inexistente paga caro.
Custo médio do trabalho de inventário inicial: 200-400 horas internas em empresa de médio porte. Atualização contínua: 10-20 horas/mês com champions ativos. Não é trabalho glamoroso. Mas é o que separa programa sério de programa de fachada.
Treinamento e cultura: o controle invisível que mais protege
Controle técnico você implementa. Controle de processo você documenta. Mas o controle humano — colaborador que sabe identificar um pedido suspeito de exclusão de dados, ou que não compartilha senha com colega, ou que reporta vazamento em vez de esconder — esse só vem com treinamento sustentado.
A ANPD considera explicitamente a existência de treinamento como atenuante na dosimetria. Mas treinamento de fachada (curso online de 30 minutos uma vez por ano) não conta. O que conta é treinamento estruturado, recorrente, mensurável.
O modelo que recomendo: onboarding obrigatório (2-3 horas) pra todo novo funcionário antes do acesso a sistemas com dado pessoal; reciclagem anual de 1 hora com casos práticos e atualizações regulatórias; treinamento específico pra áreas críticas (atendimento, marketing, RH, vendas) com simulações realistas; indicador mensurável de conclusão — meta acima de 90% sustentável.
Empresa que demonstra cobertura sistemática de treinamento ganha pontos significativos em fiscalização. E mais importante: tem incidência menor de incidentes provocados por erro humano, que são a categoria mais comum de vazamento. Investimento típico: R$ 50-150 mil/ano em plataforma e conteúdo. Retorno: redução comprovada de 40-60% em incidentes humanos.