pamaral.com RegTech LGPD
Vigente Proteção de Dados Compliance Risco Operacional

LGPD — Lei nº 13.709/2018

Lei Geral de Proteção de Dados Pessoais. Ficha do repositório RegTech — do texto legal ao programa de controle, para IT Governance, GRC e Auditoria Interna em fintechs brasileiras.

Órgão emissor
Congresso Nacional
Publicação
14/08/2018
Vigência
18/09/2020 · sanções desde 01/08/2021
Aplicabilidade
Todas as empresas (inclui bancos, fintechs, IPs, seguradoras, gestoras)
Última revisão
21/04/2026
01

Resumo executivo

A LGPD exige que toda organização que trate dados pessoais no Brasil implemente controles específicos para coleta, armazenamento, compartilhamento e eliminação desses dados. Aplica-se a empresas públicas e privadas de qualquer porte, inclusive fintechs e bancos digitais. O descumprimento expõe a instituição a multas administrativas de até 2% do faturamento do grupo econômico no Brasil, limitadas a R$ 50 milhões por infração, somadas a ações civis, representações de titulares e dano reputacional material. A ANPD já está aplicando sanções e tem priorizado fiscalizações temáticas em setores regulados.

02

Impacto de negócio

03

Artigos-chave

Art. 6º Princípios do tratamento
O tratamento de dados pessoais deve observar finalidade, adequação, necessidade, livre acesso, qualidade dos dados, transparência, segurança, prevenção, não discriminação e responsabilização.

Na prática: esses dez princípios são a régua que o auditor e a ANPD usam para avaliar qualquer atividade de tratamento. Necessidade e finalidade são os mais cobrados — se a empresa coleta mais dado do que precisa para a finalidade declarada, está em infração, mesmo com consentimento.

Art. 7º Hipóteses de tratamento de dados pessoais
O tratamento só pode ser realizado mediante consentimento do titular ou em uma das demais nove hipóteses legais (cumprimento de obrigação legal, execução de contrato, legítimo interesse etc.).

Na prática: a empresa precisa declarar, para cada atividade, qual é a base legal aplicável. A escolha da base legal não é livre — depende da natureza do tratamento. "Consentimento" é a base mais fraca porque o titular pode revogar a qualquer momento; quando o tratamento é indispensável ao negócio, a base correta costuma ser "execução de contrato" ou "legítimo interesse".

Art. 11 Tratamento de dados pessoais sensíveis
Dados sobre origem racial, convicção religiosa, opinião política, filiação sindical, saúde, vida sexual, dados genéticos ou biométricos só podem ser tratados nas hipóteses específicas deste artigo.

Na prática: em fintechs, dado biométrico (KYC facial) e dado de saúde (seguros) caem aqui. A lista de bases legais é mais curta que a do art. 7º e consentimento precisa ser específico e destacado.

Art. 18 Direitos do titular
O titular tem direito a confirmação, acesso, correção, anonimização, portabilidade, eliminação, informação sobre compartilhamento e revogação de consentimento.

Na prática: a empresa precisa operar um canal funcional para esses direitos. Não basta colocar um e-mail na política de privacidade — o processo interno precisa existir, ter dono, SLA e trilha de auditoria.

Art. 37 Registro das Operações de Tratamento (ROPA)
O controlador e o operador devem manter registro das operações de tratamento de dados pessoais que realizarem.

Na prática: é o primeiro artefato que qualquer auditor pede. Um ROPA vivo, por processo de negócio, com base legal declarada e retenção definida, é o coração da governança de LGPD. Sem isso, nada mais se sustenta.

Art. 41 Encarregado (DPO)
O controlador deve indicar encarregado pelo tratamento de dados pessoais, com suas atribuições públicas no sítio eletrônico.

Na prática: nomeação formal, e-mail público no site, canal com o titular funcionando, acesso direto à alta administração. O cargo pode ser interno ou terceirizado, mas a ANPD espera dedicação, autonomia e competência técnica demonstrada.

Arts. 46 e 47 Segurança e boas práticas
Agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas.

Na prática: a lei não prescreve controles específicos — remete à proporcionalidade. Na prática, a ANPD e o Judiciário usam como parâmetro frameworks consagrados (ISO 27001, NIST). Criptografia em trânsito e em repouso, MFA, segregação de redes e gestão de vulnerabilidades são considerados baseline mínimo em setor financeiro.

Art. 48 Comunicação de incidente
O controlador deverá comunicar à ANPD e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares.

Na prática: a lei fala em "prazo razoável" e a ANPD regulamentou o tema em resolução específica (verificar número e versão vigente). Na prática do mercado financeiro, o gatilho de comunicação é acionado em horas após classificação do incidente, para não agravar a dosimetria.

Art. 52 Sanções administrativas
As infrações estão sujeitas a advertência, multa simples de até 2% do faturamento (limitada a R$ 50 milhões por infração), multa diária, publicização da infração, bloqueio e eliminação de dados, suspensão parcial ou total das atividades de tratamento.

Na prática: a sanção mais temida não é a multa isolada, mas a suspensão do tratamento — que pode inviabilizar operação de produto inteiro. A dosimetria considera gravidade, boa-fé, reincidência, cooperação e adoção de programas de governança de privacidade.

04

Controles ITGC impactados

Access Management

  • Revisão periódica de acessos a bases com dados pessoais — objetivo: garantir necessidade e adequação (art. 6º, III). Evidência típica: relatório trimestral de revisão de acessos a tabelas/colunas com PII no data warehouse (Databricks, Snowflake, Redshift), com aprovação do gestor de negócio e registro no SailPoint ou equivalente.
  • MFA obrigatório para acesso privilegiado a dados sensíveis. Evidência típica: política de IAM formalizada, configuração evidenciada no IdP (Okta, Azure AD/Entra) e teste de exceção.
  • Segregação de funções entre coleta, processamento e eliminação. Evidência típica: matriz RACI por processo de tratamento, com o Encarregado como revisor de conflitos.

Change Management

  • Avaliação de impacto à privacidade (RIPD) para mudanças em tratamentos de alto risco — gatilho formal no processo de change. Evidência típica: campo obrigatório no Jira/ServiceNow sinalizando se a mudança afeta PII, com aprovação do Encarregado registrada.
  • Revisão de schema antes de deploy quando envolver campo com dado pessoal. Evidência típica: pipeline de CI/CD com linter de privacidade ou checklist mandatório no pull request.

Operations / Monitoring

  • Monitoramento de exfiltração de dados pessoais — DLP em endpoint, e-mail e cloud. Evidência típica: dashboard de eventos de DLP com revisão mensal e trilha de investigação.
  • Logs de acesso a dados pessoais sensíveis retidos por prazo compatível com responsabilização — na prática, 5 anos por analogia ao CDC; verificar política interna. Evidência típica: política de retenção formalizada, configuração no SIEM (Splunk, Sentinel, Elastic).
  • Processo de tratamento de incidente com gatilho específico de escalonamento ao Encarregado e ao jurídico. Evidência típica: runbook do SOC com fluxo decisório para incidentes envolvendo PII, com SLA.

SDLC

  • Privacy by Design no backlog — requisitos de privacidade entram no discovery, não no QA. Evidência típica: template de user story com seção obrigatória de privacidade e aprovação do Encarregado em épicos que tratam PII.
  • Testes de cenários de direitos do titular. Evidência típica: casos de teste automatizados para fluxos de eliminação e portabilidade.

Third-Party / Cloud

  • Cláusulas de LGPD em todos os contratos com operadores (arts. 39 e 42). Evidência típica: addendum de proteção de dados padronizado, base contratual com flag de conformidade, processo de recontratação anual.
  • Due diligence de privacidade em onboarding de fornecedor que acessa PII. Evidência típica: questionário de privacidade respondido e arquivado, classificação de risco do fornecedor.
  • Governança de transferência internacional de dados (art. 33). Evidência típica: mapa de fluxos de dados entre países, cláusulas contratuais padrão aprovadas pela ANPD ou outra salvaguarda aplicável.

Business Continuity

  • Plano de resposta a incidente cobre especificamente violação de dados pessoais. Evidência típica: playbook dedicado, simulação anual documentada, integração com o canal de comunicação à ANPD.
  • RTO de sistemas que atendem direitos do titular compatível com a obrigação de resposta. Evidência típica: BIA com classificação do canal de titular como crítico.
05

Checklist de implementação

Imediato

0–30 dias

  • Designar formalmente o Encarregado (DPO) e publicar nome e canal no site institucional.
  • Mapear inventário preliminar de atividades de tratamento por processo de negócio.
  • Identificar e documentar base legal para cada atividade mapeada.
  • Revisar política de privacidade pública e banners de cookies.
  • Abrir canal de atendimento a direitos do titular com dono, SLA interno e trilha de registro.
  • Listar os 10 operadores críticos e status da cláusula de LGPD em cada contrato.
Curto prazo

31–90 dias

  • Consolidar o Registro das Operações de Tratamento (ROPA) em ferramenta viva (não planilha estática).
  • Adequar todos os contratos com operadores por meio de addendum de proteção de dados.
  • Implementar processo formal de comunicação de incidente à ANPD: responsável, template, cronograma, gatilhos.
  • Elaborar Relatório de Impacto à Proteção de Dados (RIPD) para tratamentos classificados como de alto risco.
  • Aprovar política interna de LGPD e realizar primeiro ciclo de treinamento obrigatório.
  • Classificar fornecedores por risco de privacidade e aplicar due diligence proporcional.
Médio prazo

91–180 dias

  • Implementar controles técnicos de minimização (pseudonimização, anonimização, eliminação automatizada por retenção).
  • Realizar auditoria interna das bases legais declaradas vs uso real dos dados.
  • Testar o processo de atendimento a direitos do titular com casos-simulação e revisar SLA.
  • Revisar fluxos de transferência internacional e aplicar salvaguardas (art. 33).
  • Estabelecer métrica de maturidade de privacidade e plano de evolução de 12 meses.
  • Integrar privacy by design ao processo de descoberta de produto (não apenas ao QA).
06

Perguntas típicas de auditor

  1. Apresentem o Registro das Operações de Tratamento. Como é mantido atualizado e quem é o responsável por cada atividade?
  2. Quem é o Encarregado nomeado, como foi a formalização e qual o canal público de contato?
  3. Mostrem a matriz de bases legais por atividade de tratamento. Como foi definida cada base e há pareceres de apoio?
  4. Executem um pedido simulado de eliminação de dados de um titular. Quero ver o fluxo ponta a ponta e o tempo de resposta.
  5. Qual o procedimento para comunicar um incidente à ANPD? Mostrem o último incidente classificado e o parecer de não-comunicação, quando aplicável.
  6. Quais são seus principais operadores? Apresentem as cláusulas de LGPD nos contratos e a evidência de due diligence.
  7. Como é feita a gestão de consentimento em canais digitais? Demonstrem o registro de consentimento de um usuário real, mascarado.
  8. Apresentem o programa de treinamento em LGPD — escopo, público, frequência, lista de presença do último ciclo e avaliação de efetividade.
  9. Quais tratamentos foram classificados como de alto risco? Apresentem os RIPDs correspondentes.
  10. Como garantem privacy by design em novos produtos? Mostrem o fluxo aplicado ao último produto lançado.
  11. Qual o inventário de transferências internacionais de dados e quais salvaguardas estão aplicadas?
  12. Como é monitorada a retenção de dados? Mostrem registros sendo eliminados automaticamente ao fim do prazo.
07

Gaps mais comuns

Encarregado de papel

Colaborador nomeado como DPO sem dedicação, orçamento ou autonomia. A ANPD sinalizou que a ausência de condições mínimas de exercício descaracteriza o cumprimento da designação.

ROPA fóssil

Registro preenchido no projeto inicial de adequação e nunca mais atualizado. É a primeira coisa que auditor pede e onde a inconsistência com a realidade aparece.

Base legal escolhida por conveniência

Declarar "consentimento" para tratamento cuja base natural seria "execução de contrato" ou "legítimo interesse". Em fiscalização, qualquer retirada de consentimento expõe a fragilidade da escolha.

Contratos sem cláusula de LGPD

Especialmente com fornecedores antigos. Em incidente de terceiro, a ausência de cláusula agrava a responsabilidade do controlador.

Política de privacidade template

Copiada sem refletir as atividades reais de tratamento. Desmonta em entrevista com auditor que pede exemplos concretos.

Incidente tratado só pelo SOC

Sem gatilho formal de escalonamento para o Encarregado e para o jurídico, atrasa a comunicação à ANPD e piora a dosimetria.

Direitos do titular atendidos caso a caso

Sem canal formal, sem SLA, sem registro. O titular pode representar à ANPD se não for atendido em prazo razoável.

08

Frameworks relacionados

Framework Controles / seções relacionados
ISO 27701:2019 Privacy Information Management System — framework direto para operacionalizar LGPD, extensão da ISO 27001.
ISO 27001:2022 A.5.34 (privacidade e proteção de dados pessoais), A.8.11 (mascaramento), A.8.12 (prevenção de vazamento de dados).
NIST Privacy Framework 1.0 Funções Identify-P, Govern-P, Control-P, Communicate-P, Protect-P.
GDPR Art. 5–7 (princípios), 12–22 (direitos do titular), 32 (segurança), 33–34 (notificação de violação) — LGPD é fortemente inspirada, mas há diferenças relevantes em bases legais e prazos.
COBIT 2019 APO14 (Managed Data), DSS05 (Managed Security Services), DSS04 (Managed Continuity).
SOx ITGC Access Management e Change Management aplicados a sistemas que processam PII quando a empresa é sujeita a SOx.
09

Fontes oficiais

Aviso. Ficha curada por Pedro Amaral — IT Governance Manager. Revisada em 21/04/2026. Esta ficha reflete opinião técnica individual para fins de discussão profissional e não constitui aconselhamento jurídico. Em caso de aplicação prática, consulte o texto oficial da norma e seu jurídico interno.