LGPD na prática: o que as empresas brasileiras ainda erram depois de 5 anos de lei

Cinco anos de LGPD e a ilusão da conformidade

Depois de cinco anos da entrada em vigor da Lei Geral de Proteção de Dados Pessoais (LGPD), o que vejo com frequência ainda me surpreende. Empresas com pastas repletas de políticas, termos de consentimento copiados da internet e um Encarregado de Proteção de Dados nomeado apenas para cumprir tabela. No papel, tudo certo. Na prática, um castelo de cartas esperando o primeiro vento da Autoridade Nacional de Proteção de Dados (ANPD).

O problema não é desconhecimento da lei. A maioria dos gestores sabe que a LGPD existe e que precisa fazer algo a respeito. O problema é a distância abismal entre o que as empresas acham que estão fazendo e o que realmente fazem. Após anos trabalhando com organizações brasileiras de médio e grande porte, percebi que os erros se repetem com uma consistência quase previsível. São os mesmos tropeços, os mesmos atalhos, as mesmas justificativas.

Este artigo é uma análise sem rodeios do que ainda dá errado. Vou abordar as não conformidades que mais aparecem nas autuações da ANPD, explicar por que ter documentos não significa ter conformidade, e mostrar o caminho para construir um programa de privacidade que funciona de verdade. Se você é diretor, gerente ou responsável por compliance na sua organização, este texto é para você.

As cinco não conformidades que mais aparecem nas autuações

A ANPD começou a aplicar sanções administrativas em 2023, e desde então o padrão das infrações ficou evidente. Não são casos exóticos ou situações de má-fé deliberada. São falhas básicas que poderiam ser evitadas com um mínimo de estrutura.

A primeira e mais recorrente é a ausência de base legal adequada para o tratamento de dados. Empresas tratam dados pessoais sem conseguir justificar por que estão fazendo isso. Alegam consentimento quando não há consentimento válido. Invocam legítimo interesse sem nunca ter feito um teste de proporcionalidade. Afirmam que é execução de contrato quando o tratamento vai muito além do necessário para cumprir a obrigação contratual.

A segunda não conformidade frequente é a falta de transparência com o titular. Avisos de privacidade genéricos, copiados de templates internacionais, que não explicam de fato o que a empresa faz com os dados. O titular não consegue entender quais dados são coletados, para quê, por quanto tempo ficam armazenados e com quem são compartilhados. A ANPD tem sido clara: transparência não é um checkbox, é um dever contínuo.

Em terceiro lugar aparece a negligência com os direitos dos titulares. A lei garante que qualquer pessoa pode pedir acesso, correção, exclusão e portabilidade dos seus dados. O que vejo na prática são canais de atendimento que não funcionam, prazos descumpridos e respostas evasivas. Algumas empresas simplesmente não têm processo para lidar com essas solicitações.

A quarta infração comum é a ausência de medidas de segurança proporcionais ao risco. Dados pessoais sensíveis armazenados em planilhas compartilhadas por e-mail. Senhas fracas. Ausência de criptografia. Falta de controle de acesso. Quando ocorre um incidente, a empresa não consegue demonstrar que tomou precauções razoáveis.

Por fim, a quinta não conformidade que mais aparece é a inexistência de um Encarregado de Proteção de Dados efetivamente atuante. Nomear alguém no papel é fácil. Garantir que essa pessoa tenha autonomia, recursos e conhecimento para exercer a função é outra história. A ANPD já deixou claro que o Encarregado não pode ser uma figura decorativa.

A diferença brutal entre ter documentos e ter conformidade

Existe uma crença perigosa no mercado brasileiro de que compliance é sinônimo de documentação. Se você tem uma política de privacidade, um termo de consentimento e um registro de atividades de tratamento, está adequado à LGPD. Essa crença é conveniente, mas é falsa.

Documentos são importantes. Eles formalizam compromissos, estabelecem diretrizes e servem como evidência em caso de fiscalização. Mas documentos que não refletem a realidade operacional da empresa são piores do que inúteis. Eles criam uma falsa sensação de segurança e, quando confrontados com a prática, revelam a fragilidade do programa de privacidade.

O que vejo com frequência são políticas de privacidade que descrevem processos que não existem. Termos de consentimento que prometem direitos que a empresa não consegue garantir. Registros de atividades de tratamento desatualizados há dois anos. Relatórios de Impacto à Proteção de Dados que nunca foram revisados depois de uma mudança significativa no negócio.

Conformidade real exige que os documentos sejam espelhos fiéis das práticas. E mais: exige que as práticas sejam revisadas continuamente para garantir que permanecem alinhadas com a lei. Isso demanda governança, processos estruturados e uma cultura organizacional que leve privacidade a sério. Não basta contratar um escritório para produzir um pacote de documentos e arquivá-los em uma pasta no servidor.

O erro de tratar a LGPD como projeto com data de término

Muitas empresas abordaram a adequação à LGPD como um projeto. Definiram escopo, cronograma, orçamento e entregáveis. Executaram o projeto, declararam vitória e seguiram em frente. Esse foi um erro estratégico que agora cobra seu preço.

A LGPD não é um projeto com início, meio e fim. É uma obrigação contínua que exige manutenção permanente. Os dados que sua empresa trata mudam. Os sistemas mudam. Os parceiros comerciais mudam. A interpretação da ANPD sobre a lei evolui. Se o seu programa de privacidade ficou congelado em 2020, ele já está obsoleto.

O conceito de privacy by design, tão repetido quanto mal compreendido, significa exatamente isso: privacidade não é uma camada que você adiciona depois, é um princípio que deve estar presente em cada nova iniciativa, cada novo produto, cada nova parceria. Quando a área de marketing decide implementar uma ferramenta de automação, privacidade precisa estar na mesa. Quando o RH contrata um novo fornecedor de folha de pagamento, privacidade precisa estar na mesa.

Organizações que trataram a LGPD como projeto único agora enfrentam um passivo silencioso. Novos tratamentos de dados foram implementados sem análise de base legal. Contratos com fornecedores foram assinados sem cláusulas de proteção de dados. Incidentes aconteceram e foram varridos para debaixo do tapete porque ninguém sabia o que fazer com eles.

O Encarregado de Proteção de Dados que não protege nada

A figura do Encarregado de Proteção de Dados, ou Data Protection Officer (DPO), é central na estrutura da LGPD. Ele é o ponto de contato com a ANPD, o canal de comunicação com os titulares e o responsável por orientar a organização sobre as melhores práticas de privacidade. Na teoria.

Na prática, o que vejo são três perfis problemáticos. O primeiro é o Encarregado acumulador de funções. É o gerente de TI que recebeu mais essa atribuição sem qualquer redução nas demais responsabilidades e sem treinamento adequado. Ele não tem tempo para se dedicar à privacidade e, frequentemente, não tem interesse.

O segundo perfil é o Encarregado de fachada. É alguém nomeado apenas para cumprir a exigência legal, cujo nome aparece no site da empresa e em lugar nenhum mais. Ele não participa das decisões de negócio, não é consultado sobre novos projetos e não tem acesso à alta direção. Quando a ANPD bate à porta, essa pessoa não consegue responder às perguntas mais básicas sobre as práticas da organização.

O terceiro perfil é o Encarregado sem autonomia. Ele até tem conhecimento e vontade de fazer o trabalho direito, mas não tem poder para impor mudanças. Suas recomendações são ignoradas. Suas alertas sobre riscos são minimizadas. Ele se torna um profissional frustrado, documentando problemas que sabe que não serão resolvidos.

Um Encarregado efetivo precisa de três coisas: conhecimento técnico sobre privacidade e proteção de dados, acesso direto à alta direção e autonomia para influenciar decisões de negócio. Sem esses três elementos, a função é apenas cosmética.

A armadilha do consentimento como base legal universal

Existe uma obsessão no mercado brasileiro com o consentimento. Muitas empresas acreditam que, se obtiverem consentimento do titular, estão automaticamente protegidas. Essa crença revela um entendimento superficial da LGPD.

O consentimento é apenas uma das dez bases legais previstas na lei. E não é necessariamente a melhor para todas as situações. Ele precisa ser livre, informado, inequívoco e específico para cada finalidade. Precisa poder ser revogado a qualquer momento. E quando é revogado, a empresa precisa parar de tratar os dados, o que nem sempre é operacionalmente viável.

O que vejo com frequência são consentimentos viciados. O titular clica em um botão para aceitar os termos de uso e, embutido nesse clique, está um consentimento para dezenas de tratamentos diferentes. Isso não é consentimento válido. É uma ilusão de conformidade que não resiste a uma análise mais rigorosa.

Em muitos casos, outras bases legais são mais adequadas. Execução de contrato para tratamentos necessários à prestação do serviço contratado. Cumprimento de obrigação legal para dados exigidos pela legislação trabalhista ou tributária. Legítimo interesse para finalidades que beneficiam a empresa sem prejudicar os direitos do titular, desde que devidamente documentadas em um teste de proporcionalidade.

A escolha da base legal não é um exercício burocrático. Ela define os direitos do titular, as obrigações da empresa e as consequências em caso de descumprimento. Errar nessa escolha é construir todo o programa de privacidade sobre uma fundação instável.

Incidentes de segurança e a cultura do silêncio

A LGPD estabelece a obrigação de comunicar incidentes de segurança que possam acarretar risco ou dano relevante aos titulares. A comunicação deve ser feita à ANPD e, em determinados casos, aos próprios titulares afetados. O prazo é de dois dias úteis a partir do conhecimento do incidente.

O que vejo na prática é uma cultura de silêncio. Empresas que sofrem incidentes e decidem não comunicar, apostando que ninguém vai descobrir. Empresas que minimizam a gravidade do ocorrido para evitar a obrigação de notificação. Empresas que simplesmente não têm processos para detectar incidentes, então tecnicamente nunca tomam conhecimento.

Essa postura é um erro grave por múltiplas razões. Primeiro, porque a ANPD está se estruturando e a capacidade de fiscalização vai aumentar. Segundo, porque incidentes frequentemente vazam por outras vias: funcionários insatisfeitos, pesquisadores de segurança, imprensa. Terceiro, porque a tentativa de ocultação é considerada agravante nas sanções.

Organizações maduras têm um plano de resposta a incidentes testado e atualizado. Sabem quem deve ser acionado, quais decisões precisam ser tomadas e em qual sequência. Têm critérios claros para avaliar a gravidade do incidente e a necessidade de comunicação. Documentam tudo, não para se proteger, mas para aprender e melhorar.

A terceirização do risco que não funciona

Muitas empresas acreditam que, ao contratar um fornecedor para processar dados, transferem também a responsabilidade pelo tratamento. Essa crença é perigosa e juridicamente incorreta.

A LGPD estabelece que o controlador, aquele que decide sobre o tratamento, é responsável solidário pelos danos causados pelo operador, aquele que executa o tratamento em nome do controlador. Em outras palavras, se o seu fornecedor de cloud computing sofrer um vazamento, você também responde perante os titulares e a ANPD.

O que vejo com frequência são contratos com fornecedores que não contêm cláusulas adequadas de proteção de dados. Não definem as responsabilidades de cada parte. Não estabelecem padrões de segurança. Não preveem o direito de auditoria. Não regulam o que acontece com os dados ao término do contrato.

Mais grave ainda: muitas empresas não fazem due diligence de privacidade antes de contratar fornecedores que vão tratar dados pessoais. Não verificam se o fornecedor tem práticas adequadas de segurança. Não avaliam onde os dados serão armazenados. Não questionam se haverá transferência internacional. Assinam o contrato e torcem para que nada dê errado.

A gestão de terceiros é uma das áreas mais negligenciadas nos programas de privacidade brasileiros. E é uma das que mais geram risco, porque você está confiando seus dados a organizações sobre as quais tem controle limitado.

O caminho para um programa de privacidade que funciona

Após descrever o que dá errado, é justo apontar o que funciona. Um programa de privacidade efetivo não é necessariamente complexo ou caro. Mas exige compromisso genuíno da liderança e consistência na execução.

O primeiro passo é conhecer os dados que você trata. Parece óbvio, mas a maioria das empresas não tem um mapeamento atualizado dos seus fluxos de dados pessoais. Sem esse conhecimento básico, qualquer esforço de conformidade é um tiro no escuro. O mapeamento deve identificar quais dados são coletados, de quem, para quais finalidades, com que base legal, onde são armazenados, com quem são compartilhados e por quanto tempo são retidos.

O segundo passo é priorizar os riscos. Nem todos os tratamentos de dados têm o mesmo potencial de causar dano. Dados de saúde exigem mais cuidado do que dados de contato comercial. Tratamentos em larga escala merecem mais atenção do que tratamentos pontuais. A priorização permite direcionar recursos limitados para onde fazem mais diferença.

O terceiro passo é integrar privacidade aos processos de negócio. Isso significa treinar as equipes, criar pontos de checagem em projetos novos, estabelecer fluxos de aprovação para tratamentos de alto risco e garantir que o Encarregado seja consultado nas decisões relevantes. Privacidade não pode ser uma função isolada: precisa permear a organização.

O quarto passo é medir e melhorar continuamente. Indicadores de desempenho do programa de privacidade, auditorias periódicas, revisão de incidentes e quase-incidentes, atualização de políticas e procedimentos. Um programa de privacidade é um organismo vivo que precisa evoluir junto com a organização e com o ambiente regulatório.

Por que a ANPD vai apertar e o que isso significa para você

A ANPD passou os primeiros anos de existência se estruturando. Publicou regulamentos, emitiu orientações, aplicou algumas sanções exemplares. Mas o ritmo de fiscalização ainda é modesto se comparado com autoridades europeias. Isso vai

A GovSimplix incorpora o domínio de Privacidade e Proteção de Dados como parte estrutural do seu modelo de governança, conectando as obrigações da LGPD à operação real da organização, com registros de tratamento, gestão de consentimentos e trilha de auditoria que demonstram conformidade de forma rastreável e verificável.

Perguntas frequentes

O que as empresas entendem errado sobre conformidade com LGPD?
A maioria das empresas confunde conformidade documental com conformidade prática. Ter uma política de privacidade publicada no site ou um termo de consentimento não significa que os dados estão sendo protegidos de verdade. O grande erro é acreditar que criar documentos é o mesmo que implementar controles efetivos de segurança e governança de dados.

Por que muitas empresas ainda cometem erros básicos de LGPD após 5 anos?
A falta de integração entre áreas é a principal causa. A LGPD fica apenas com o jurídico ou TI, enquanto marketing, vendas e operações continuam processando dados sem alinhamento. Além disso, muitas lideranças veem LGPD como custo compliance e não como estratégia de negócio para ganhar confiança do cliente.

Como identificar se minha empresa tem apenas conformidade aparente?
Faça estas perguntas: seus times de marketing conhecem suas obrigações com dados? Existe documentação de onde cada dado está armazenado? Vocês conseguem responder a um pedido de acesso de dados em 48 horas? Se as respostas forem não, você tem conformidade de papel. A conformidade real existe quando todos os processos, sistemas e pessoas estão alinhados com proteção de dados.

Qual é o primeiro erro que as empresas brasileiras cometem com LGPD?
Não fazer um mapeamento real de dados antes de implementar qualquer controle. Muitas organizações não sabem onde seus dados estão, quem acessa, como são usados e por quanto tempo são guardados. Sem este inventário, qualquer iniciativa de conformidade é construída em areia.

Como medir se a LGPD está sendo implementada de verdade na empresa?
Estabeleça indicadores práticos como: quantidade de dados mapeados e classificados, tempo médio para responder solicitações de direitos do titular, número de incidentes de segurança detectados e corrigidos, e aderência dos colaboradores ao treinamento de proteção de dados. Métricas concretas revelam o nível real de implementação, não apenas documentação.

Quanto custa implementar LGPD de forma real nas empresas?
Não existe um valor único, pois depende do tamanho, segmento e nível de maturidade da empresa. Uma micro-empresa pode começar com 15 a 30 mil reais, enquanto uma grande corporação pode investir centenas de milhares. O custo maior está em pessoas capacitadas e processos revistos, não em tecnologia.

Qual é a diferença entre ter uma DPO e ter proteção de dados de verdade?
Um DPO é apenas uma função, não uma solução. Muitas empresas contratam um Data Protection Officer, pagam o salário e acreditam estar conformes. Mas se o DPO não tem acesso aos processos reais, suporte da liderança e equipe dedicada, o cargo vira apenas uma assinatura em um documento. Proteção de dados de verdade requer que o DPO tenha poder e recursos para implementar mudanças.

Por que treinamento genérico de LGPD não funciona?
Treinamentos genéricos tratam LGPD como regra universal, quando na verdade cada departamento tem obrigações diferentes. O time de marketing precisa entender consentimento e retenção diferente do RH. Sem contextualização por função, o colaborador completa o treinamento obrigatório mas não muda seu comportamento no dia a dia.

Qual é o risco real para empresas que fingem cumprir LGPD?
Multas podem chegar a 2% do faturamento anual ou 50 milhões de reais por infração grave. Mas o risco maior é reputacional, perda de confiança dos clientes e oportunidades de negócio. Empresas que sofrem vazamentos após ignorar LGPD enfrentam processos judiciais coletivos e danos irreversíveis à marca.

Por onde uma empresa deve começar a implementar LGPD de verdade?
Comece com um diagnóstico honesto do estado atual da proteção de dados, mapeando todos os dados, fluxos e riscos. Depois, estabeleça uma governança clara com responsáveis por cada processo e capacite os colaboradores de forma contextualizada. O terceiro passo é implementar controles técnicos e processuais, sempre com acompanhamento de indicadores reais.

Sobre o autor

Julio César
Co-fundador e Arquiteto das Soluções, GovSimplix

Julio César é bacharel em Ciências da Computação pela USTJ e graduado em Análise e Desenvolvimento de Sistemas. É especialista pós-graduado em Cibersegurança e Governança de Dados pela PUC Minas e pós-graduado em Gestão Estratégica de Negócios pela Universidade Presbiteriana Mackenzie.

Possui certificação internacional de Lead Auditor para as normas ISO 27001 (Segurança da Informação), ISO 27701 (Privacidade da Informação) e ISO 42001 (Gestão de Inteligência Artificial), além da certificação Lean Six Sigma Black Belt, voltada para melhoria de processos e redução de variabilidade operacional.

Na GovSimplix, é o responsável pela concepção e evolução da arquitetura metodológica que estrutura os 11 domínios de governança empresarial da plataforma. Combina formação técnica, experiência em auditoria de sistemas de gestão e visão executiva para traduzir a complexidade da governança em estrutura operável para organizações de qualquer porte e setor.