LGPD: A fase 2 da conformidade
Cláudio Pessoa
A Lei Geral de Proteção de Dados Pessoais (LGPD) deveria ser um tema corriqueiro e uma prática padrão nas organizações hoje, visto que é uma lei nacional (13.709/18) que entrou em vigor com todas as sanções em 2021 e se tornou um direito fundamental do cidadão brasileiro após a Emenda Constitucional 115 de 2022.
Infelizmente, essa não é a realidade. Observamos quatro frentes distintas na análise do mercado em relação ao tema:
- Empresas que foram obrigadas a se adequar por pressão externa (ações em bolsa, fornecedores de grandes players, auditorias externas, etc).
- Empresas que se adequaram de forma, diríamos, básica para dizer que estão adequadas.
- Empresas que não fizeram, ainda (pasmem) absolutamente nada, afirmando que nunca serão cobradas pela lei.
- Empresas que pensam estrategicamente seu negócio e fizeram corretamente o que deveria ser feito.
Ao analisar o último caso, é satisfatório constatar que alguns empresários brasileiros, independentemente da busca por resultados a qualquer custo, demonstram ética e tratam seus clientes com a devida dedicação. Embora possa parecer estranho para muitos, a privacidade de dados é, sim, um ato de cidadania e ética: é se preocupar com pessoas. Em essência, este deveria ser o principal objetivo de todo empresário. É crucial seguir normas que garantam que essa adequação estratégica eleve o patamar da empresa e gere resultados operacionais diferenciados.
Mas o que, de fato, representa essa adequação? O empresário que busca aprimorar a conformidade ou aquele que já se considera em dia com a lei deve questionar: Qual critério comprova que minha empresa atende às exigências legais?
Neste ponto, o título do artigo se esclarece. Até recentemente, a conformidade era “atestada” por empresas que desenvolviam ferramentas baseadas em requisitos legais. O Artigo 50 da LGPD estabelece a necessidade de adequação às boas práticas de segurança e governança para a privacidade de dados pessoais. Surge, então, uma pergunta crucial: Quais são essas práticas, se não existia um órgão certificador?
A resposta veio a partir de janeiro de 2026, quando a ABNT publicou a segunda versão da norma ISO ABNT 27.701 Segurança da informação, segurança cibernética e proteção da privacidade — Sistemas de gestão da privacidade da informação — Requisitos e orientações. Essa norma permite às empresas estabelecerem esses critérios e avaliarem sua conformidade perante órgãos reguladores.
Trata-se, portanto, de uma segunda fase de adequação à lei. Doravante, não apenas a ANPD, mas também auditores, gestores e peritos poderão exigir esse nível de adequação das empresas, visto que agora existe um critério claro e objetivo a ser seguido. Adicionalmente, torna-se vantajoso para as empresas a possibilidade de ostentar em suas publicações, e-mails e propagandas um selo de Governança em segurança e privacidade de dados pessoais emitido por um órgão certificador, inclusive em nível internacional.
Em um contexto onde foi publicado recentemente no Brasil o ECA Digital (Lei nº 15.211/2025), a profissionalização da adequação se torna urgente, visto que dados de crianças e adolescentes podem gerar sanções ainda maiores do que as da própria LGPD. O simples fato de manter em seu banco de dados informações de dependentes de colaboradores já coloca a empresa na posição de controle, proteção e privacidade desses dados e, consequentemente, com o dever de cumprir ambas as leis.
Chegou a hora da Fase Dois. Você já pensou em como elevar o seu nível de governança em segurança e privacidade de dados pessoais? Se não, considere: essa atitude demonstrará ao mercado a preocupação ética da sua empresa ao tratar dados de clientes, colaboradores e menores de idade, o que poderá se tornar um diferencial competitivo em um mercado concorrido.
