Um alerta necessário sobre a Lei Geral de Proteção de Dados 

Por Everton Gustavo Souza Lopes

Passado pouco mais de um ano da efetiva vigência da Lei Geral de Proteção de Dados (LGPD), empresas ainda relutam em se adequar.  A estimativa é de que aproximadamente quatro em cada dez empresas estejam totalmente adequadas à lei. 

O problema começa quando se tem um pouco mais de vivência na área e percebe que, de fato, essas estimativas só são reais entre empresas consolidadas no mercado, enquanto a realidade para a grande maioria é bem mais gravosa do que a apresentada nas pesquisas.

Se uma porcentagem significativa de empresas não adequadas à lei não fosse motivo suficiente para preocupação, ainda precisamos lidar com a má-fé de profissionais que se dizem especialistas na lei, sem, ao menos, terem o mínimo de conhecimento técnico para atuação. E aqui cabe o primeiro alerta.

Não é incomum conduzir uma auditoria ou uma visita técnica a uma empresa que se diz adequada à lei e encontrar lacunas gigantescas na adequação, desde ações simples, como utilização de softwares originais e firewalls, a ações bem mais gravosas e com potencial de incidentes da informação, como livre acesso aos servidores e ausência de controles mínimos de acesso físico.

A falta de informação ou mesmo a negligência das empresas em relação à lei e de como ela deve ser implementada, dá margem para atuação de “especialistas em checklist” ou “implementadores express“, com promessas absurdas de adequação à lei com apenas alguns documentos prontos e editáveis ou adequações em 24 horas, nada mais próximo do absurdo. Não há nada de errado em se utilizar planilhas prontas e checklists específicos para facilitar o trabalho, eu mesmo faço uso de algumas, mas são ferramentas que devem apenas auxiliar os profissionais e não serem responsáveis pela totalidade da adequação.

É necessário dizer o óbvio muitas vezes e fazer uso de clichês, mas o barato costuma sair caro, especialmente quando estamos lidando com o direito de terceiros. Aceitar, com o perdão da palavra, uma adequação medíocre, fazendo uso de meia dúzia de documentos prontos ou acreditando que em 24 horas, ou qualquer outro prazo irreal, a empresa estará plenamente adequada, é quase um atestado de conivência no caso de um vazamento ou incidente da informação.

Ter uma política de privacidade, uma política de cookies e criar um relatório de impacto à proteção dedados (RIPD) ou outros documentos que possuem modelos prontos na internet, representa apenas uma parcela da adequação, apenas a parcela visível do projeto.

Ressalvadas as diferenças práticas de implementação dos requisitos legais, a adequação não se limita ao campo legal ou, por outro lado, ao campo puramente tecnológico, é um conjunto de atuações e esforços na tecnologia/segurança da informação, jurídico, compliance, projetos e outras áreas que podem ser necessárias, conforme complexidade da empresa e sua relação com os dados pessoais.

O alerta não se limita às empresas que buscam os serviços de profissionais e especialistas para adequação à lei, mas também aos próprios profissionais da LGPD. Conhecer o texto da lei nos seus mínimos detalhes e desconhecer o básico ou o essencial da parte técnica é uma negligência profissional. Não se espera que um profissional de TI tenha conhecimentos avançados na legislação, do mesmo modo que não se espera que um advogado saiba gerenciar servidores ou realizar pentests, mas se espera, sim, que ambos saibam o mínimo sobre as áreas correlatas à adequação, espera-se que o profissional de TI/SI tenha estudado a lei e que o advogado conheça minimamente sobre segurança da informação.

Quando lidamos com a privacidade de terceiros, fazer um trabalho apenas para se mostrar adequado, sem de fato estar, é irresponsável e traz ainda mais riscos, tanto para a empresa quanto para o titular dos dados pessoais.

É necessário, especialmente com a iminência de fiscalização da ANPD em janeiro de 2022, que exista uma preocupação legítima das empresas em realizar um trabalho sério e de selecionar profissionais efetivamente capacitados para adequação à lei, garantindo não apenas que não receberão multas, mas também que mantenham e cultivem a confiança dos clientes e consumidores, mostrando controle de seu negócio e diligência com os dados sob sua guarda.


Planalto. Lei nº 13.709/2018. Lei Geral de Proteção de Dados Pessoais (LGPD). Acessado em 04 de novembro de 2021.

[2] Exame. Dias, Maria Clara. “Após quase um ano, somente 3 em cada 10 PMEs estão adequadas à LGPD“. Publicado em: 05/08/2021 às 12h24. Acessado em 04 de novembro de 2021.

[3] ConJur. “Monitoramento da ANPD sobre proteção de dados começa em janeiro de 2022“. Acessado em 04 de novembro de 2021.


Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair /  Alterar )

Foto do Google

Você está comentando utilizando sua conta Google. Sair /  Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair /  Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair /  Alterar )

Conectando a %s