LGPD na prática: 5 processos que toda empresa precisa ter

A Lei Geral de Proteção de Dados está em vigor desde 2020. A ANPD já aplica sanções. E mesmo assim, a maioria das empresas brasileiras ainda trata proteção de dados como um projeto jurídico pontual: contratou um escritório, publicou uma política de privacidade, nomeou um DPO e considerou o assunto resolvido.

O problema é que a LGPD não exige apenas documentos. Ela exige processos. Processos com prazos, responsáveis, registros e rastreabilidade. E quando a ANPD bate à porta — ou quando um titular exerce seus direitos — ter uma política bonita no site não basta. Você precisa demonstrar que a organização opera de forma compatível com a lei no dia a dia.

Este artigo descreve cinco processos que toda empresa precisa ter para estar em conformidade com a LGPD. Para cada um, explica o que a lei exige, o que a maioria das empresas faz (ou deixa de fazer) e como estruturar o processo com etapas, prazos e trilha de auditoria.

1. Atendimento a requisições de titulares

O que a lei exige

O artigo 18 da LGPD garante ao titular de dados pessoais uma série de direitos: confirmação de tratamento, acesso aos dados, correção, anonimização, portabilidade, eliminação, entre outros. A empresa precisa responder a essas requisições dentro de um prazo razoável — e a ANPD já sinalizou que 15 dias é a referência.

O que a maioria faz

Na prática, muitas empresas não têm um canal claro para receber essas requisições. Quando um titular envia um email pedindo a exclusão dos seus dados, a mensagem chega ao SAC, é encaminhada para o jurídico, que encaminha para o TI, que não sabe exatamente quais sistemas contêm dados daquela pessoa. Semanas se passam sem resposta.

Outras empresas têm um formulário no site, mas ninguém monitora as respostas. Ou monitoram, mas não registram o que foi feito, quando e por quem.

Como estruturar o processo

O atendimento a requisições de titulares precisa ser um processo formal com etapas definidas:

1. 1Recebimento e triagem — Requisição entra por canal único (formulário, email dedicado). Classificação por tipo de direito exercido. Prazo começa a contar.
2. 2Verificação de identidade — Confirmar que quem faz o pedido é de fato o titular. Solicitar documento se necessário.
3. 3Mapeamento de dados — Localizar todos os sistemas e bases onde os dados do titular estão armazenados.
4. 4Execução — Realizar a ação solicitada (exclusão, correção, exportação). Documentar o que foi feito em cada sistema.
5. 5Resposta ao titular — Comunicar formalmente o resultado dentro do prazo.
6. 6Registro e arquivamento — Manter evidência completa do processo para fins de auditoria.

Cada etapa precisa de um responsável, um prazo e um registro. Se a ANPD pedir evidências, você precisa mostrar não apenas que respondeu, mas como respondeu, quando cada etapa foi concluída e quem foi responsável.

No CaseFy, esse processo se transforma em um template com estágios sequenciais. Cada requisição vira um case com campos para tipo de direito, dados do titular e sistemas envolvidos. A timeline registra cada ação automaticamente. Automações alertam quando o prazo de resposta está se aproximando.

2. Gestão de consentimento

O que a lei exige

O consentimento é uma das bases legais da LGPD (artigo 7º, inciso I). Quando a empresa coleta dados com base no consentimento, precisa provar que o titular consentiu de forma livre, informada e inequívoca. E o titular pode revogar o consentimento a qualquer momento.

O que a maioria faz

A maioria das empresas coleta consentimento por meio de checkboxes em formulários web. O problema não é a coleta — é a gestão. Onde está o registro de que aquele titular consentiu? Em que data? Para qual finalidade? Se ele revogou, quando e como isso foi processado?

Na maioria dos casos, essas informações estão espalhadas entre bancos de dados, logs de sistema e emails. Ninguém consegue responder rapidamente a uma pergunta simples: "O titular João Silva consentiu com o tratamento X na data Y?"

Como estruturar o processo

A gestão de consentimento precisa cobrir o ciclo completo:

1. 1Coleta — Registrar o consentimento com data, hora, finalidade específica e meio utilizado (formulário, contrato, verbal documentado).
2. 2Armazenamento centralizado — Manter um registro único e consultável de todos os consentimentos coletados.
3. 3Monitoramento de validade — Consentimentos podem ter prazo. Identificar quando precisam ser renovados.
4. 4Revogação — Quando o titular revoga, processar a revogação em todos os sistemas que utilizam aquele dado. Registrar a data e o impacto.
5. 5Auditoria — Gerar relatórios que demonstrem a base legal para cada tratamento de dados.

No CaseFy, cada consentimento pode ser rastreado como um case individual ou agrupado por titular. Campos personalizados registram finalidade, data de validade e status. Quando um titular solicita revogação, o processo de atendimento (item 1) se conecta ao registro de consentimento, garantindo que a revogação seja processada de ponta a ponta.

3. Resposta a incidentes de segurança

O que a lei exige

O artigo 48 da LGPD determina que o controlador deve comunicar à ANPD e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares. A comunicação deve ser feita em prazo razoável — a ANPD recomenda 72 horas — e precisa conter informações específicas: natureza dos dados afetados, titulares envolvidos, medidas técnicas adotadas, riscos e medidas de mitigação.

O que a maioria faz

A maioria das empresas não tem um processo de resposta a incidentes de dados pessoais. Quando ocorre um vazamento, a equipe de TI tenta conter o problema técnico. O jurídico é acionado dias depois. Ninguém sabe exatamente quais dados foram afetados. A comunicação à ANPD, quando acontece, é feita fora do prazo e com informações incompletas.

Empresas que têm um plano de resposta a incidentes geralmente o mantêm como documento estático — um PDF que ninguém lê até o dia em que precisa.

Como estruturar o processo

Resposta a incidentes precisa ser um processo operacional, não um documento de gaveta:

1. 1Detecção e registro — Registrar o incidente imediatamente: data, hora, como foi detectado, quem detectou.
2. 2Classificação — Avaliar severidade: quais dados foram afetados, quantos titulares, qual o risco potencial.
3. 3Contenção — Ações técnicas para interromper o incidente. Documentar cada medida adotada.
4. 4Análise de impacto — Determinar se o incidente exige comunicação à ANPD e aos titulares. Avaliar dano potencial.
5. 5Comunicação — Se necessário, preparar e enviar comunicação à ANPD (com todas as informações exigidas pelo artigo 48) e aos titulares afetados.
6. 6Remediação — Implementar correções para evitar recorrência. Documentar lições aprendidas.
7. 7Encerramento — Relatório final com timeline completa do incidente.

O prazo de 72 horas não permite improviso. Cada minuto conta. O processo precisa estar pronto antes do incidente acontecer, com responsáveis já definidos e canais de comunicação já estabelecidos.

No CaseFy, o template de resposta a incidentes já define os estágios, os campos obrigatórios (tipo de dado afetado, número estimado de titulares, medidas de contenção) e as automações de prazo. Quando um incidente é registrado, o relógio começa a contar e o sistema notifica automaticamente os responsáveis por cada etapa.

4. Relatório de Impacto à Proteção de Dados Pessoais (RIPD)

O que a lei exige

O artigo 38 da LGPD prevê que a ANPD pode determinar a elaboração de Relatório de Impacto à Proteção de Dados Pessoais (RIPD). Na prática, o RIPD é recomendado sempre que a empresa realiza tratamento de dados que pode gerar alto risco aos titulares: dados sensíveis, decisões automatizadas, monitoramento em larga escala, dados de crianças e adolescentes.

O RIPD deve descrever os processos de tratamento, avaliar a necessidade e proporcionalidade, identificar riscos e apresentar medidas de mitigação.

O que a maioria faz

A maioria das empresas não elabora RIPDs. As que elaboram geralmente produzem um documento único, feito uma vez, que rapidamente fica desatualizado. O tratamento de dados muda — novos sistemas são adotados, novas finalidades surgem — mas o RIPD permanece inalterado.

Outras empresas sabem que precisam fazer, mas não sabem por onde começar. O RIPD parece um exercício acadêmico, desconectado da operação.

Como estruturar o processo

O RIPD não é um documento: é um processo com ciclo de vida:

1. 1Identificação da necessidade — Mapear quais tratamentos de dados exigem RIPD (dados sensíveis, decisões automatizadas, larga escala).
2. 2Levantamento — Coletar informações sobre o tratamento: dados envolvidos, finalidade, base legal, sistemas utilizados, compartilhamento com terceiros.
3. 3Análise de riscos — Identificar riscos para os titulares e classificar por probabilidade e impacto.
4. 4Medidas de mitigação — Definir controles técnicos e organizacionais para cada risco identificado.
5. 5Revisão e aprovação — DPO e gestores revisam o relatório. Registrar aprovações.
6. 6Monitoramento e atualização — Definir periodicidade de revisão. Atualizar quando houver mudança no tratamento.

Cada RIPD precisa de versionamento. Quando a ANPD solicita o relatório, você precisa apresentar não apenas a versão atual, mas o histórico de revisões e as justificativas para cada alteração.

No CaseFy, cada RIPD se torna um case com documentos versionados, campos para classificação de risco e tarefas de revisão periódica. A timeline registra cada atualização, revisão e aprovação. Automações programam revisões semestrais ou anuais automaticamente.

5. Gestão de fornecedores e operadores de dados

O que a lei exige

O artigo 39 da LGPD estabelece que o operador (quem trata dados em nome do controlador) deve seguir as instruções do controlador. Na prática, isso significa que a empresa é corresponsável pelo que seus fornecedores fazem com os dados pessoais que compartilha com eles.

Se um fornecedor de folha de pagamento vaza dados dos seus funcionários, ou se um provedor de email marketing usa os dados dos seus clientes para finalidades não autorizadas, a responsabilidade recai sobre a empresa que compartilhou os dados.

O que a maioria faz

A maioria das empresas contrata fornecedores sem avaliar suas práticas de proteção de dados. Quando há um contrato, ele pode conter uma cláusula genérica de confidencialidade — mas sem obrigações específicas de LGPD: medidas de segurança, prazo para comunicação de incidentes, direitos de auditoria, destino dos dados ao término do contrato.

Fornecedores existentes, contratados antes da LGPD, seguem operando sem nenhuma adequação contratual. Ninguém sabe quais fornecedores têm acesso a dados pessoais, quais dados são compartilhados e sob quais condições.

Como estruturar o processo

A gestão de fornecedores sob a ótica da LGPD envolve:

1. 1Inventário — Mapear todos os fornecedores que recebem, acessam ou tratam dados pessoais. Classificar por volume e sensibilidade dos dados.
2. 2Avaliação de risco — Para cada fornecedor, avaliar práticas de segurança, políticas de privacidade, certificações, histórico de incidentes.
3. 3Adequação contratual — Garantir que o contrato contenha cláusulas específicas: obrigações de segurança, dever de comunicação de incidentes, direito de auditoria, destino dos dados ao término.
4. 4Due diligence periódica — Reavaliar fornecedores periodicamente. Mudanças na operação do fornecedor podem alterar o nível de risco.
5. 5Gestão de incidentes com fornecedores — Quando um fornecedor reporta um incidente, o processo de resposta (item 3 acima) precisa ser acionado.
6. 6Offboarding — Quando o contrato termina, garantir que o fornecedor elimine ou devolva os dados. Documentar a confirmação.

No CaseFy, cada fornecedor pode ser gerenciado como um case com estágios que refletem o ciclo de vida do relacionamento: avaliação, contratação, monitoramento e encerramento. Campos personalizados registram os dados compartilhados, a base legal e a data da última avaliação. Automações programam reavaliações periódicas e alertam quando contratos estão próximos do vencimento.

O denominador comum: processos com trilha de auditoria

Os cinco processos têm algo em comum: a LGPD não pede apenas que a empresa faça a coisa certa. Ela pede que a empresa prove que fez a coisa certa. Isso significa registro de cada decisão, data e hora de cada ação, identificação de quem executou cada etapa.

Quando a ANPD solicita evidências — e já está solicitando — a empresa que gerencia esses processos por email e planilha vai passar horas reunindo informações dispersas em caixas de entrada e pastas compartilhadas. A empresa que tem processos estruturados gera o relatório em minutos.

A diferença não é ter ou não ter uma política. É ter ou não ter um processo operacional que funciona no dia a dia e produz evidências automaticamente.

Como o CaseFy ajuda na conformidade com a LGPD

O CaseFy é uma plataforma de orquestração de processos. Não é uma ferramenta específica de LGPD. Mas os recursos que ele oferece — templates configuráveis, estágios com prazos, campos personalizados, documentos versionados, timeline de auditoria, automações e formulários externos — são exatamente o que esses processos exigem.

Em vez de comprar cinco ferramentas diferentes ou gerenciar tudo por planilha, você estrutura cada processo como um template no CaseFy:

• Requisições de titulares: template com estágios de recebimento, verificação, execução e resposta. Prazo de 15 dias com alertas automáticos.
• Gestão de consentimento: registro centralizado com campos de finalidade, validade e status.
• Resposta a incidentes: template com estágios de detecção, classificação, contenção, comunicação e remediação. Prazo de 72 horas com notificações.
• RIPD: cases com documentos versionados, revisões periódicas e aprovações registradas.
• Fornecedores: cases com estágios de avaliação, contratação, monitoramento e offboarding.

Cada case mantém sua timeline completa. Cada documento tem versão controlada. Cada decisão tem registro de quem decidiu e quando. Isso é o que a ANPD espera encontrar quando bate à porta.

Comece grátis →