Proteção de Dados

08/08/2025 Atualizado em 11/08/2025

6 minutos para ler

Governança de Dados e LGPD: Perguntas Frequentes (FAQ)

A governança de dados pela LGPD é um tema que vem ganhando destaque entre empresas de todos os portes. A adequação à lei não se trata apenas de evitar multas, mas também de construir relações de confiança com clientes, parceiros e órgãos reguladores.

Para ajudar a esclarecer dúvidas comuns, preparamos este FAQ com respostas diretas e baseadas na legislação e em boas práticas, especialmente para pequenas e médias empresas que desejam estruturar sua governança de dados pela LGPD de forma eficiente.

Pequenas empresas precisam ter um DPO/Encarregado de dados?

Pequenas empresas não são obrigatoriamente exigidas a ter um DPO, mas é altamente recomendável designar alguém responsável.

Segundo resolução da ANPD (CD ANPD nº 2/2022), são considerados agentes de pequeno porte: microempresas, empresas de pequeno porte, startups, organizações sem fins lucrativos, pessoas físicas e entes privados que fazem tratamento de dados pessoais.

Contudo, é obrigatório para pequenas empresas manter um canal de comunicação direto com os titulares dos dados e atender solicitações sobre direitos dos titulares (acesso, correção, exclusão, etc.).

Nossa recomendação: mesmo sem obrigação legal, designar formalmente um responsável interno demonstra comprometimento com a governança de dados pela LGPD e facilita a gestão de solicitações dos titulares.

Por quanto tempo posso guardar dados pessoais?

Você só pode manter os dados pelo tempo estritamente necessário para cumprir a finalidade informada ao titular, mais os prazos legais obrigatórios.

Exemplos de prazos legais:
– Documentos fiscais: 5 anos (conforme o Código Tributário Nacional)
– Prontuários médicos: 20 anos (de acordo com o CFM)
– Registros trabalhistas: conforme previsto na legislação trabalhista e previdenciária

Após o prazo necessário, você pode:
– Eliminar completamente os dados;
– Manter apenas o mínimo necessário, quando exigido por obrigação legal ou regulatória;
– Anonimizar os dados, caso deseje utilizá-los para fins estatísticos, estudos ou pesquisas;
– Transferir a terceiros (como para clientes, por exemplo), desde que em conformidade com a LGPD (inclusive com base legal adequada e garantias contratuais).

Importante: reter dados pessoais além do necessário, sem uma base legal ou justificativa legítima, caracteriza infração à LGPD e pode acarretar sanções administrativas.

Minha empresa precisa de certificações específicas para proteção de dados?

Não existem certificações obrigatórias por lei, mas elas se tornaram um diferencial competitivo importante.

Principais certificações recomendadas:
– ISO 27001: Gestão de segurança da informação
– ISO 27701: Específica para proteção de dados pessoais
– SOC 2: Controles de segurança e disponibilidade

Por que considerar uma certificação:
– Grandes empresas e órgãos públicos cada vez mais exigem comprovação de boas práticas;
– Serve como evidência de conformidade em caso de incidentes;
– Fortalece a confiança de clientes e parceiros;
– Pode reduzir responsabilidades em processos judiciais.

Qual a documentação mínima para comprovar que estou seguindo a LGPD?

Para demonstrar conformidade com a LGPD, especialmente em caso de fiscalização da ANPD, o ideal é manter organizada uma base documental mínima que comprove a adoção de medidas técnicas e administrativas. Abaixo estão os documentos essenciais e recomendados:

Documentos obrigatórios:
– Termo de nomeação do Encarregado de Proteção de Dados Pessoais (art. 41 da LGPD e art. 3º da Resolução CD/ANPD nº 18/2024), com formas de atuação e atividades;
– Inventário de dados pessoais (ROPA, conforme art. 37 da LGPD), listando todas as categorias de dados que você coleta, trata e compartilha, com registro das bases legais e finalidades;
– Aviso de privacidade externo, publicado em canais públicos (site, aplicativo, etc.);
– Política de privacidade interna, voltada a colaboradores, prestadores de serviço e terceiros internos.

Documentos altamente recomendados:
– Fluxo e responsabilidades internas para incidentes com dados pessoais, conforme Resolução CD/ANPD nº 15/2023;
– Relatório de Impacto (RIPD – art. 5º, XVII da LGPD) para atividades que gerem riscos;
– Registros de treinamentos e comunicações internas;
– Evidências de atendimento às solicitações dos titulares.

Dica: mantenha toda documentação atualizada e de fácil acesso. Na governança de dados pela LGPD, a agilidade em demonstrar conformidade pode ser decisiva.

Quais são as consequências reais de não seguir a LGPD hoje?

O descumprimento da LGPD já vem gerando impactos concretos para empresas de todos os portes, indo muito além das penalidades administrativas. As consequências incluem prejuízos financeiros, entraves operacionais e danos reputacionais que podem comprometer a sustentabilidade do negócio.

Do ponto de vista financeiro, além das multas da ANPD (que podem chegar a até 2% do faturamento anual, limitadas a R$ 50 milhões por infração), há aumento de custos com assessoria jurídica e processos judiciais.

Empresas que não demonstram conformidade também enfrentam dificuldade para fechar contratos com grandes organizações, que exigem cláusulas específicas e evidências de compliance.

As consequências operacionais incluem bloqueio judicial de operações, suspensão de atividades que envolvam tratamento de dados ou exclusão de licitações públicas e parcerias estratégicas.

O impacto reputacional costuma ser o mais duradouro. Vazamentos ou falhas de segurança geram perda de confiança, exposição negativa na mídia e obstáculos na aquisição de novos negócios.

Entre 2023 e 2024, o número de decisões judiciais mencionando a LGPD dobrou, passando de 7.503 para 15.921 casos, segundo estudo do JusBrasil e do IDP. Em cerca de um terço dos processos, a LGPD foi ponto central, mostrando maior maturidade do sistema judiciário na aplicação da norma.

Conclusão

A governança de dados pela LGPD vai muito além do cumprimento formal da lei. Ela envolve uma postura estratégica, voltada para a proteção das informações e a construção de confiança no mercado.

Investir em políticas claras, documentações adequadas e boas práticas é muito mais barato do que lidar com os prejuízos de uma não conformidade. Empresas que priorizam a governança de dados pela LGPD estão não apenas protegendo seus negócios, mas também fortalecendo sua credibilidade e competitividade.

Governança de Dados e LGPD: Perguntas Frequentes (FAQ)

Pequenas empresas precisam ter um DPO/Encarregado de dados?

Por quanto tempo posso guardar dados pessoais?

Minha empresa precisa de certificações específicas para proteção de dados?

Qual a documentação mínima para comprovar que estou seguindo a LGPD?

Quais são as consequências reais de não seguir a LGPD hoje?

Conclusão

Centro de Serviço Compartilhado e IBS/CBS: impactos práticos da reforma tributária do consumo

Dia Internacional da Proteção de Dados – ECA Digital, IA e as prioridades da ANPD

Contrato de uso de imagem: como proteger sua empresa

Fale o que você pensa Cancelar resposta

Artigos populares

Anonimização de dados: o que é e qual sua importância na LGPD?

Direito Autoral no Mundo Digital: como proteger criações digitais?

LGPD para agências de comunicação: o que muda na prática?

Últimos Artigos

Tributação de receitas financeiras na Reforma Tributária: o que muda com IBS e CBS?

Portaria RFB nº 635/2025: habilitação de benefícios onerosos de ICMS e a compensação financeira na transição para o IBS

Ajuste SINIEF 49 de 2025: perguntas frequentes