← Voltar ao Blog
🔐

LGPD na prática: o que toda empresa precisa fazer agora

⏱ 8 min min de leitura · 📅 28/04/2025 · ✍️ Equipe Infomek

A Lei Geral de Proteção de Dados (LGPD — Lei nº 13.709/2018) está em vigor desde setembro de 2020 e as multas chegam a R$ 50 milhões ou 2% do faturamento anual. Mesmo assim, a maioria das pequenas e médias empresas ainda não fez o básico. Se a sua está nesse grupo, este guia é para você.

💡 A LGPD se aplica a qualquer empresa que trate dados pessoais de pessoas no Brasil — independente do porte, setor ou quantidade de dados.

O que é dado pessoal?

Dado pessoal é qualquer informação que identifique ou torne identificável uma pessoa física. Isso inclui: nome, CPF, e-mail, telefone, endereço, IP, dados de localização, comportamento de navegação, foto, voz e muito mais. Se sua empresa coleta qualquer um desses dados — e com certeza coleta — a LGPD se aplica a você.

Os 7 passos obrigatórios

1. Mapear os dados que você trata

Antes de qualquer coisa, você precisa saber quais dados coleta, onde ficam, quem acessa e para onde vão. Isso se chama mapeamento de dados (ou Data Mapping). Inclui: dados de clientes, fornecedores, funcionários, prospects e visitantes do site.

  • Quais sistemas armazenam dados pessoais? (ERP, CRM, e-mail, planilhas)
  • Quem tem acesso a esses sistemas?
  • Os dados são compartilhados com terceiros? (contabilidade, financeiro, marketing)

2. Definir a base legal para cada tratamento

A LGPD exige que todo tratamento de dados pessoais tenha uma base legal — ou seja, uma justificativa prevista na lei. As mais comuns para empresas são:

  • Consentimento: o titular autorizou expressamente (ex: newsletter)
  • Execução de contrato: necessário para prestar o serviço contratado
  • Legítimo interesse: interesse legítimo do controlador, desde que não prejudique o titular
  • Obrigação legal: exigido por lei (ex: dados fiscais para a Receita Federal)

3. Criar ou atualizar a Política de Privacidade

Sua empresa deve ter uma política de privacidade clara, acessível e em linguagem simples. Ela deve informar: quais dados são coletados, para que finalidade, com quem são compartilhados, por quanto tempo ficam armazenados e como o titular pode exercer seus direitos.

⚠️ Políticas de privacidade copiadas da internet ou geradas por IA sem revisão técnica não protegem sua empresa. A política precisa refletir o que você realmente faz.

4. Implementar controles técnicos básicos

A LGPD exige medidas de segurança adequadas para proteger os dados. No mínimo:

  • Criptografia de dados sensíveis em repouso e em trânsito (HTTPS obrigatório)
  • Controle de acesso — apenas quem precisa acessa os dados
  • Autenticação forte (MFA) para sistemas com dados pessoais
  • Backup com retenção definida e testado regularmente
  • Log de acessos — quem acessou o quê e quando

5. Nomear um DPO (Encarregado de Dados)

A LGPD exige que toda empresa que trata dados em larga escala nomeie um DPO (Data Protection Officer) — o encarregado de dados. Para empresas menores, o DPO pode ser o próprio dono, um funcionário designado ou uma empresa terceirizada especializada. O nome e contato do DPO devem ser públicos.

6. Preparar o processo de resposta a titulares

Todo titular de dados tem direitos garantidos pela LGPD: acesso, correção, exclusão, portabilidade e revogação de consentimento. Sua empresa tem até 15 dias para responder a solicitações. Você precisa ter um canal de contato (e-mail, formulário) e um processo interno para atender essas solicitações.

7. Plano de resposta a incidentes

Se ocorrer um vazamento de dados, a LGPD exige notificação à ANPD (Autoridade Nacional de Proteção de Dados) e aos titulares afetados em prazo razoável. Você precisa ter um plano documentado: como detectar, conter, investigar e comunicar um incidente.

Por onde começar?

Se você está começando do zero, a sequência é: mapeamento de dados → política de privacidade → controles técnicos básicos → nomeação do DPO → treinamento da equipe. Não precisa fazer tudo de uma vez — o importante é começar e documentar o progresso.

📋 A ANPD avalia a boa-fé e o esforço de adequação. Uma empresa que iniciou o processo e tem documentação do caminho percorrido é tratada diferente de uma que ignorou a lei completamente.

Quanto tempo leva?

Um programa básico de conformidade LGPD leva de 60 a 90 dias com dedicação. Um programa completo, com todos os controles técnicos implementados e testados, pode levar de 6 a 12 meses dependendo da complexidade do ambiente.

A Infomek auxilia empresas em Curitiba na adequação técnica à LGPD: mapeamento de dados, implementação de controles de segurança, DLP, criptografia e preparação para auditorias. Entre em contato para um diagnóstico gratuito.

Precisa de ajuda para aplicar isso na sua empresa?

A Infomek tem mais de 30 anos de experiência em infraestrutura, segurança e TI corporativa em Curitiba.

Fale conosco!