Sua empresa está adequada à LGPD? 5 sinais de que não

Você não precisa ler a Lei Geral de Proteção de Dados inteira para perceber algo: sua empresa provavelmente não está tão preparada quanto deveria estar.

Eu converso com empresários o tempo todo. Startups, agências, pequenos negócios — a maioria diz "ah, a gente está acompanhando" ou "vamos cuidar disso depois". Spoiler: "depois" nunca chega. E quando chega, é com uma multa.

A ANPD (Autoridade Nacional de Proteção de Dados) está fiscalizando cada vez mais. As multas são reais. E elas podem destruir um negócio pequeno.

Então vou te mostrar 5 sinais bem concretos de que sua empresa não está adequada. Leia com atenção — se você se vê em pelo menos 3 desses pontos, é hora de agir.

Sinal 1: Você não tem consentimento documentado para coletar dados

Aquela caixa de email que você cata na internet para enviar newsletter? Aquele telefone que você ligou e descobriu sozinho? Aquele CPF que seu cliente deu verbalmente uma vez?

Tudo isso é problema. A LGPD exige que você tenha consentimento claro e documentado de quem você está coletando dados.

Se você coleta dados de pessoas sem ter explicitamente pedido permissão e armazenado essa permissão, você está violando a lei. Ponto.

O que você deve fazer agora?

Revise seu site, aplicativo, formulários. Tenha uma caixa de consentimento explícita. "Ao clicar aqui você concorda que usaremos seus dados para..." — isso precisa estar claro, ser fácil recusar, e ser documentado.

Sinal 2: Você não sabe onde seus dados estão armazenados

Você usa Google Drive. Alguém usa Dropbox. Outro usa OneDrive. Você tem um servidor antigo que ninguém mexe há 2 anos. Você não faz ideia de quantas planilhas Excel com dados de clientes estão voando por aí nos computadores da equipe.

Se você não tem um inventário claro de onde cada dado pessoal está sendo armazenado, você não está adequado.

A LGPD exige que você saiba. Que você tenha políticas claras. Que você controle acesso. Que você seja capaz de deletar tudo se alguém pedir. Se você não consegue fazer isso, é porque não tem controle.

O que você deve fazer agora?

Sente com seu time (ou com uma consultoria, dependendo do tamanho) e mapeie tudo. Onde está cada tipo de dado? Quem tem acesso? Como está protegido? Qual é o plano se alguém precisar ser deletado do sistema?

Uma planilha simples já ajuda. Depois você evolui para um sistema real.

Sinal 3: Você não tem uma Política de Privacidade clara

Aquela Política de Privacidade que você copiei de outro site e mudei o nome? Ou aquela que não existe porque você nunca parou para fazer?

Ambas são problemas.

A LGPD exige que você tenha uma Política de Privacidade clara, acessível e na sua linguagem real. Não em legalês incompreensível que ninguém lê.

Sua política precisa dizer:

• Que dados você coleta
• Por que você coleta
• Como você protege
• Quanto tempo você armazena
• Como a pessoa pode acessar, deletar ou corrigir seus dados

O que você deve fazer agora?

Se você não tem uma Política de Privacidade, crie uma. Se tem, leia de novo — sério. Reescreva para sua linguagem real. Procure um advogado especializado se achar complicado.

Sinal 4: Você não tem processo para cumprir Direitos do Titular

Alguém pediu para você mostrar seus dados? Deletou tudo que você tem sobre ela? Pediu para transferir teus dados para outro serviço?

Se você não tem um processo claro e rápido para responder essas requisições, você está arriscado.

A LGPD dá direitos explícitos a quem tem dados pessoais coletados:

• Direito de acesso: A pessoa pode pedir para ver todos os dados que você tem dela
• Direito de correção: Pode pedir para corrigir dados incorretos
• Direito ao esquecimento: Pode pedir para deletar tudo
• Direito à portabilidade: Pode pedir para seus dados em um formato que ele possa transferir

Se alguém pedir qualquer uma dessas coisas e você não souber o que fazer, você tem problema.

O que você deve fazer agora?

Crie um formulário simples para requisição de direitos. Defina quem vai responder (normalmente DPO ou responsável de TI). Tenha um prazo estabelecido (máximo 30 dias para responder). Documente tudo.

Sinal 5: Você compartilha dados com terceiros sem avaliação

Você usa analytics, ferramentas de marketing, CRM — tudo isso coleta dados. Seus fornecedores acessam dados seus. Você vende lista de clientes para parceiros de negócio.

Se você não tem acordos claros com cada terceiro que acessa seus dados, você não está adequado.

A LGPD exige que você saiba:

• Quem está tendo acesso aos seus dados?
• Para que está usando?
• Onde está armazenando?
• Há quanto tempo eles vão guardar?

Isso se chama acordo de processamento de dados ou DPA (Data Processing Agreement). Se você não tem isso formalizado, você está exposto.

O que você deve fazer agora?

Liste todos os terceiros que têm acesso a dados seus. Analytics, CRM, ferramentas de marketing, fornecedores — tudo. Para cada um, procure um DPA. Se não tiver, peça. Se a ferramenta não oferecer, procure alternativa.

As consequências reais de não estar adequado

Essa não é uma lista de "coisas ruins que podem acontecer". Isso está acontecendo agora.

A ANPD já multou dezenas de empresas. Você não ouve falar porque tem NDA envolvido, mas as multas são reais. Empresas pequenas pagando dezenas de milhares de reais.

Além da multa, tem:

• Danos à reputação se vira notícia que seus dados vazaram
• Perda de confiança de clientes
• Processo judicial de pessoas que tiveram dados vazados
• Custo operacional de corrigir tudo depois (é sempre mais caro que prevenir)

Começar é mais fácil do que você pensa

Já vi gente com medo de começar porque acha que é montanha. Não é.

Começa simples: mapeie onde estão seus dados. Crie uma Política de Privacidade clara. Configure consentimento no seu site/app. Defina um responsável (DPO). Faça DPA com quem acessa seus dados.

Isso já coloca você na frente da maioria.

O resto você evolui ao longo do tempo. Você não precisa estar 100% perfeito amanhã. Você precisa estar começando hoje.