Cinco anos depois da entrada em vigor plena da LGPD (Lei 13.709/2018) e três anos depois de a ANPD começar a multar pesado, ainda encontramos PMEs que tratam privacidade como "coisa para depois". Spoiler: já é tarde, mas dá para colocar a casa em ordem sem virar advogado.
Este checklist é o que aplicamos nas nossas próprias plataformas e nos clientes que atendemos.
1. Mapeie seus dados (5 perguntas)
Antes de qualquer política bonita, responda no papel:
- Quais dados pessoais sua empresa coleta? (nome, e-mail, CPF, IP, geolocalização, foto, dados de saúde, etc.)
- De quem? (clientes, funcionários, prospects, fornecedores)
- Por quê? (executar contrato, cumprir lei, marketing, suporte)
- Onde armazena? (sistema próprio, Google Drive, planilha do contador, CRM, e-mail)
- Com quem compartilha? (Stripe, Hostinger, Meta, Google Analytics, contador, advogado)
Esse mapa é o RoPA — Registro de Atividades de Tratamento (Art. 37). Sem ele, você não tem como provar conformidade. Comece em uma planilha. Já é melhor que nada.
2. Escolha a base legal para cada tratamento (Art. 7º)
A LGPD não exige consentimento para tudo — exige uma base legal para cada finalidade. As mais usadas:
- Execução de contrato (V): operar o serviço contratado, faturar, enviar pedido
- Cumprimento de obrigação legal (II): emissão de NFS-e, guarda fiscal, eSocial
- Legítimo interesse (IX): segurança, prevenção a fraude, defesa em juízo — exige teste de balanceamento
- Consentimento (I): marketing direto, cookies analíticos, newsletter
Erro comum: usar consentimento para tudo. Se o tratamento é necessário para executar o contrato, a base é "execução de contrato" — pedir consentimento ali confunde o titular e enfraquece o consentimento real (que pode ser revogado a qualquer momento).
3. Política de Privacidade que ninguém lê (mas precisa estar lá)
Obrigatório, e precisa ter no mínimo:
- Identificação do controlador e contato do DPO
- Quais dados coleta, finalidades, bases legais
- Com quem compartilha (incluindo transferências internacionais)
- Período de retenção
- Direitos do titular (Art. 18) e como exercê-los
- Canal para reclamação à ANPD
Veja a nossa como referência — está aberta, pode copiar a estrutura.
4. Banner de cookies que respeita a escolha
Três regras simples, frequentemente violadas:
- Nenhum cookie analítico/marketing antes do consentimento. Se o Google Analytics carrega no
<head>antes do clique no botão, está errado. - Recusar deve ser tão fácil quanto aceitar. "Aceitar tudo" gigante e "Recusar" enterrado em um submenu é dark pattern — a ANPD já se manifestou contra.
- Permitir revogar a qualquer momento. Inclua um link no rodapé.
5. Encarregado de Dados (DPO) — sim, sua PME precisa
A ANPD dispensou microempresas e startups de algumas formalidades (Resolução
CD/ANPD 2/2022), mas todas as empresas que tratam dados pessoais
precisam ter um canal de comunicação com o titular. Pode ser o próprio
sócio. O importante é ter e-mail dedicado (ex.:
dpo@suaempresa.com) e responder em até 15 dias.
6. DSAR — atender pedidos do titular em 15 dias
O Art. 18 dá 9 direitos. Os mais pedidos:
- Acesso: "que dados meus você tem?"
- Eliminação: "apague tudo"
- Portabilidade: "manda em CSV para mim ou para o concorrente X"
Tenha um fluxo escrito: quem recebe, em qual prazo, como confirma a identidade, como entrega a resposta.
7. Segurança da informação — o básico não é negociável
- HTTPS em tudo (Let's Encrypt é grátis, sem desculpa)
- Senhas com hash (bcrypt cost 12+); MFA para administradores
- Backups regulares e testados — backup que nunca foi restaurado não é backup
- Logs de acesso com retenção de pelo menos 6 meses (Marco Civil)
- Treinamento da equipe — phishing pega 90% das PMEs
8. Incidentes: tenha um plano antes de precisar
Vazamento acontece. O que diferencia uma empresa madura é ter um plano: quem é avisado em primeiro lugar, em quanto tempo se comunica a ANPD e os titulares, qual é o template do comunicado. Improvisar no calor do momento é como brigar com o incêndio sem extintor.
9. Contratos com terceiros (operadores)
Se você usa Stripe, Hostinger, Mailchimp, Google Workspace — eles são operadores dos seus dados (Art. 39). Verifique:
- Têm DPA (Data Processing Agreement) assinado?
- Cláusulas contratuais padrão para transferência internacional?
- Compromisso de notificar incidentes em prazo razoável?
10. Revisão periódica
LGPD não é projeto — é processo. Coloque na agenda revisar trimestralmente: o RoPA está atualizado? Houve novo fornecedor? Mudou alguma finalidade? A retenção ainda faz sentido?
Como podemos ajudar
O módulo LGPD da Mantovani Security inclui widget de consentimento, gestão de DSAR, RoPA digital e bases legais documentadas — para você sair do Excel e ter conformidade auditável. Consulta com nossa equipe via formulário de contato.