Checklist de adequação à LGPD

Objetivos

Nesta aula você vai:

• Usar um checklist prático para avaliar onde sua empresa está
• Priorizar correções de alto risco com recursos limitados
• Elaborar um plano de ação realista para os próximos 90 dias

Conteúdo

Aviso educacional: este conteúdo tem finalidade informativa e não substitui orientação jurídica ou auditoria formal.

Adequação não é um projeto único

LGPD é processo contínuo. Para micro e pequenas empresas online, o objetivo inicial não é perfeição — é eliminar riscos graves, documentar o que fazem e melhorar aos poucos. Este checklist organiza prioridades quando você não tem departamento jurídico nem DPO em tempo integral.

Matriz de prioridade: impacto × esforço

Faça primeiro (alto impacto, baixo esforço):

• Política de privacidade publicada e alinhada ao negócio real
• HTTPS ativo em todo o site
• Senhas fortes + 2FA no admin da loja e e-mail corporativo
• Opt-in explícito para newsletter e WhatsApp promocional
• Link de descadastro funcionando em e-mails
• Canal de e-mail para pedidos de titulares (acesso, correção, exclusão)

Planeje em 30–60 dias (alto impacto, esforço médio):

• Mapeamento de dados: onde entram, onde ficam, quem acessa
• Banner de cookies bloqueando scripts antes do consentimento
• Contratos ou termos com fornecedores que tratam dados (hospedagem, pagamento, e-mail)
• Controle de acesso por função e desativação de ex-funcionários
• Backup testado e registrado
• Registro de consentimentos (data, origem, canal)

Evolua depois (médio impacto ou maior complexidade):

• Nomeação formal de encarregado (DPO), se exigido ou recomendado
• Relatório de Impacto (RIPD) para tratamentos de alto risco
• Treinamento anual da equipe
• Revisão jurídica completa de bases legais e transferências internacionais

Riscos comuns em pequenas empresas online

Plano de ação de 90 dias

Semanas 1–2 — Diagnóstico

• Preencha o checklist acima honestamente
• Liste todas as ferramentas (site, pagamento, e-mail, WhatsApp, contabilidade)
• Identifique os três maiores riscos

Semanas 3–6 — Correções rápidas

• Publique ou atualize política de privacidade
• Ajuste formulários e banner de cookies
• Ative 2FA e troque senhas compartilhadas
• Crie e-mail [email protected] (ou similar)

Semanas 7–10 — Estrutura

• Documente fluxo de dados em uma página
• Formalize procedimento de atendimento a titulares (modelo de resposta)
• Revise contratos com principais fornecedores
• Teste backup

Semanas 11–13 — Consolidação

• Treine equipe (30 min: o que é dado pessoal, o que não compartilhar)
• Registre plano de resposta a incidentes (uma página)
• Reavalie checklist — meta: zerar itens "faça primeiro" pendentes

Indicadores simples de progresso

• Tempo médio de resposta a pedidos de titulares (meta: ≤ 15 dias)
• Percentual de formulários com opt-in correto (meta: 100%)
• Número de acessos admin sem 2FA (meta: zero)
• Data da última revisão da política (meta: revisão a cada 6 meses ou mudança relevante)

Quando buscar ajuda externa

Considere advogado ou consultor quando: tratar dados sensíveis em escala, operar em setores regulados (saúde, crédito), receber notificação da ANPD, ou expandir para mercados internacionais com regras adicionais.

Resumo

• Priorize alto impacto e baixo esforço: política, HTTPS, 2FA, consentimento e canal de titulares
• Mapeamento, cookies, contratos e backup vêm na segunda onda
• Riscos frequentes: planilhas expostas, pixels sem consentimento, opt-in pré-marcado, logins compartilhados
• Plano de 90 dias: diagnosticar → corrigir → estruturar → consolidar
• Adequação é contínua — use checklist e indicadores para manter evolução