LGPD Após 3 Anos: Lições de Quem Está na Trincheira
LGPD Após 3 Anos: Lições de Quem Está na Trincheira
A Lei Geral de Proteção de Dados completou 3 anos de vigência. Como membro da Comissão Especial de Privacidade de Dados da OAB SP, certificado em GDPR, e consultor através da Trustness, tenho perspectiva privilegiada sobre o que funcionou e o que não funcionou.
Deixe-me compartilhar lições práticas da trincheira.
O Pânico Inicial (2020-2021)
Lembro do caos:
- Empresas desesperadas
- Consultores vendendo medo
- Confusão generalizada
- Investimentos erráticos
Muitas empresas gastaram fortunas em:
- Consultorias que prometiam "compliance total"
- Softwares caros de gestão
- Advogados que vendiam terror
Resultado? Papelada bonita, prática questionável.
O Que Realmente Importa
Após assessorar dezenas de empresas (pequenas a grandes), identifiquei padrões:
Empresas Que Se Deram Bem
1. Começaram com Mapeamento Real Não teórico. Real.
- Que dados coletamos?
- Onde estão?
- Quem acessa?
- Por quanto tempo guardamos?
Simples, mas 70% das empresas não fazem direito.
2. Envolveram TI Desde Início LGPD não é só jurídico. É muito técnico.
Melhores implementações:
- Time multidisciplinar (jurídico + TI + negócio)
- TI não apenas executa, participa de decisões
- Controles técnicos desde design
3. Priorizaram Práticas Sobre Papelada Política linda ≠ Compliance
Empresas efetivas:
- Controles funcionando (não só documentados)
- Processos automatizados
- Treinamento contínuo (não one-off)
- Testes regulares
Empresas Que Sofreram
1. "Já Estamos Compliant" Pior frase possível.
LGPD é jornada, não destino. Ameaças evoluem, negócio muda, práticas precisam adaptar.
Empresas que "completaram" LGPD em 2020 e pararam? Várias já inadequadas.
2. Compliance Como CheckBox
"Precisamos de política de privacidade?"
✓ Copiamos de concorrente
✓ Publicamos no site
✓ Done!
Não. Não é assim.
3. Terceirizaram Pensamento Consultores são úteis. Mas não podem pensar por você.
Vi empresas que:
- Pagaram valores altos em consultoria
- Receberam documentos genéricos
- Não entenderam nada
- Implementaram mal
- Gastaram mais consertando
Casos Reais (Anonimizados)
Caso 1: Startup que Fez Certo
Fintech pequena, 30 funcionários, budget apertado.
Fizeram:
- Mapeamento completo (em planilha Excel)
- Identificaram 5 processos críticos
- Automatizaram 3 com scripts simples
- Documentaram os 2 restantes
- Treinamento trimestral de 1 hora
- Custo total: baixo, usando recursos internos
Resultado? Compliance real, sem endividar empresa.
Caso 2: Grande Empresa que Errou
Multinacional, milhares de funcionários, budget "ilimitado".
Fizeram:
- Contrataram Big Four consultancy
- Gastaram milhões
- Geraram 500+ páginas de documentação
- Criaram 15 novos cargos de compliance
- Implementaram software enterprise com custo anual elevado
Resultado? Auditoria interna encontrou:
- 60% dos controles não funcionavam
- Dados sensíveis em lugares desconhecidos
- Processos documentados mas não seguidos
- Time de compliance atolado em burocracia
Dinheiro não compra compliance. Execução sim.
Caso 3: E-commerce Hackeado
Vazaram dados de 100k clientes. ANPD investigou.
Diferença de resposta:
- Empresa A: Sem plano de resposta, pânico, esconder, notificação tardia → Multa pesada
- Empresa B: Plano ativo em 2h, notificação rápida, transparência, mitigação → Advertência apenas
Preparação faz diferença.
Mitos vs Realidade
Mito 1: "LGPD só afeta grandes empresas"
Realidade: Toda empresa que processa dados pessoais está sujeita.
Mito 2: "Basta ter política de privacidade"
Realidade: Precisa ter e seguir. Auditoria verifica prática, não papel.
Mito 3: "Posso usar consentimento para tudo"
Realidade: Consentimento é uma base legal. Muitas vezes não é a melhor.
Mito 4: "LGPD matou marketing digital"
Realidade: Adaptou. Quem faz certo continua fazendo marketing efetivo.
Mito 5: "Após implementar, está feito"
Realidade: Manutenção contínua é essencial.
Guia Prático (Especialmente Para PMEs)
Fase 1: Entendimento (2-4 semanas)
-
Mapeie Dados
- Que dados coletamos?
- De quem? (clientes, funcionários, parceiros)
- Para quê? (finalidades específicas)
- Por quanto tempo?
-
Identifique Riscos
- Dados sensíveis? (saúde, biometria, etc)
- Terceiros envolvidos?
- Transferências internacionais?
- Histórico de incidentes?
-
Avalie Gap
- O que LGPD exige?
- O que já fazemos?
- O que falta?
Fase 2: Implementação (2-6 meses)
Priorize:
- Riscos críticos primeiro
- Quick wins depois
- Nice-to-have por último
Controles Essenciais:
- Política de Privacidade (clara e acessível)
- Procedimento de exercício de direitos
- Gestão de consentimentos (onde aplicável)
- Segurança da informação básica
- Plano de resposta a incidentes
- Contratos com terceiros (DPA)
Não Precisa:
- DPO obrigatoriamente (depende do caso)
- Software enterprise caro
- Time gigante de compliance
- Consultoria Big Four
Fase 3: Manutenção (Contínua)
Mensalmente:
- Revisar novos processos/sistemas
- Treinar novos colaboradores
- Verificar exercícios de direitos
Trimestralmente:
- Auditoria de controles
- Atualizar documentação
- Revisar incidentes
Anualmente:
- Revisão completa de práticas
- Treinamento geral
- Atualização regulatória
Ferramentas Práticas
Mapeamento:
- Planilhas (sério, funciona)
- Lucidchart/Draw.io para fluxos
- Notion/Confluence para documentação
Gestão de Consentimentos:
- OneTrust, TrustArc (enterprise)
- Iubenda, Osano (PME)
- Custom (com dev competente)
Segurança:
- Controles existentes de infosec
- LGPD não reinventa segurança, amplifica necessidade
Treinamento:
- Microlearning (10 min mensais) > Curso 4h anual
- Simulações práticas
- Casos reais (anonimizados)
Penalidades: O Que Vi
ANPD tem sido educativa mas firme.
Padrão:
- Primeiro incidente: Advertência + prazo para corrigir
- Reincidência: Multa (geralmente % do faturamento)
- Má-fé ou gravidade: Multa máxima
Empresa que demonstra esforço genuíno? Tratamento diferente.
Empresa que ignorou completamente? Rigor aumenta.
Perspectiva Internacional (GDPR)
Como certificado em GDPR e tendo trabalhado com empresas globais:
Semelhanças:
- Princípios fundamentais
- Direitos dos titulares
- Obrigações de controladores
Diferenças:
- GDPR mais maduro (enforcement mais agressivo)
- ANPD ainda construindo jurisprudência
- Brasil mais pragmático que Europa
- Multas BR menores (por enquanto)
O Futuro
Próximos 3 anos prevejo:
1. Enforcement Aumenta ANPD ganhando músculo. Multas maiores virão.
2. Jurisprudência se Consolida Casos práticos definirão cinza areas.
3. Tecnologia Evolve Privacy-enhancing technologies (PETs) se tornarão standard.
4. Consumidores Mais Conscientes Geração atual valoriza privacidade. Pressão de mercado aumenta.
5. Integração Regional América Latina caminha para harmonização (como EU fez).
Conselho Para Cada Perfil
Startup/PME: Comece simples. Faça o básico bem. Evolua conforme cresce.
Empresa Média: Invista em processos, não só ferramentas. DPO pode ser terceirizado.
Grande Empresa: Governança madura. Integre compliance com operações, não como departamento isolado.
Profissional: LGPD é carreira. Se você entende dados + tecnologia + regulação, mercado é seu.
Conclusão
Três anos depois, LGPD saiu de pânico para rotina.
Empresas que trataram como checklist sofreram.
Empresas que enxergaram como cultura prosperaram.
Como profissional da OAB e consultor, minha mensagem:
LGPD não é inimiga. É framework para fazer certo o que sempre deveria ter sido feito: respeitar dados das pessoas.
Implementação pode ser simples ou complexa. Depende de você.
Mas não fazer não é opção.
Dúvidas sobre LGPD? Precisa de orientação prática (não venda de medo)?
Conecte no LinkedIn - sempre feliz em ajudar empresas a navegar compliance de forma realista.
Ricardo Esper é membro da Comissão Especial de Privacidade de Dados da OAB SP, certificado em GDPR, CCISO, e CEO da Trustness. Não vende medo, vende pragmatismo.