• Radar Roos
  • Posts
  • LGPD Não é Projeto de TI: Por Que Sua Adequação Precisa Ser Multidisciplinar

LGPD Não é Projeto de TI: Por Que Sua Adequação Precisa Ser Multidisciplinar

Author

Paola Roos
18 de dezembro de 2025

Uma das frases que mais ouço em empresas é: “isso aqui é com o pessoal de TI, né?”. Como se LGPD fosse sinônimo de firewall, antivírus, servidor nuvem e criptografia. A boa notícia é que tecnologia é, sim, parte importantíssima da equação. A má notícia é que, se a empresa tratar adequação à LGPD como um projeto de TI, o resultado tende a ser incompleto, caro e frustrante.

O problema começa quando o conselho ou a diretoria “joga” o tema para a área de tecnologia com uma missão impossível: “resolve a LGPD para nós”. TI corre atrás de ferramentas, cotação de softwares, ajustes de segurança. Enquanto isso, contratos seguem desatualizados, políticas internas inexistem, colaboradores não são treinados, o jurídico não revisa cláusulas, o marketing continua fazendo campanhas sem critério de base legal. No fim, a sensação é: investimos dinheiro, mas continuamos expostos.

LGPD é governança de dados, não projeto isolado de sistema

A LGPD fala de dados pessoais em toda a jornada do negócio: da coleta ao descarte, passando por registro de operações, gestão de riscos, resposta a incidentes, direitos dos titulares, contratos com terceiros, treinamentos, cultura organizacional.

Isso significa que:

  • TI responde por segurança da informação (confidencialidade, integridade, disponibilidade), gestão de acessos, logs, infraestrutura, ferramentas.

  • Jurídico responde por bases legais, contratos, políticas, gestão de risco jurídico e resposta a autoridades.

  • RH responde pelos dados de colaboradores, candidatos, fornecedores pessoa física, políticas internas e treinamentos.

  • Marketing e comercial respondem pelo uso de dados para comunicação, prospecção, segmentação, CRM, cookies e campanhas.

  • Diretoria responde por governança, orçamento, patrocínio institucional, priorização e definição de apetite de risco.

Ou seja: LGPD é transversal. Se apenas uma dessas áreas “puxar para si” o projeto, haverá zonas cegas. E é justamente nessas zonas cegas que os problemas aparecem: um incidente sem procedimento, um contrato sem cláusulas mínimas, um colaborador que encaminha base de clientes para o e-mail pessoal, um terceiro sem due diligence adequada.

Como tirar a LGPD do “CPD” e levar para a mesa da diretoria

Tratar LGPD como projeto multidisciplinar não é discurso bonito – é desenho de governança. Na prática, alguns passos são fundamentais:

  1. Definir patrocínio e governança - O tema precisa de um “padrinho” na alta gestão. Conselho, diretoria ou sócios precisam assumir que privacidade e proteção de dados são risco estratégico. Isso se traduz em: aprovar uma política corporativa de privacidade, definir orçamento, apoiar o DPO e exigir reporte periódico.

  2. Mapear processos com quem realmente faz acontecer - Não adianta o jurídico ou o TI tentar mapear fluxos de dados sozinho. É preciso sentar com quem atende o cliente, quem faz o cadastro, quem sobe a campanha de marketing, quem realiza o recrutamento, quem alimenta o sistema financeiro. É ali que os dados circulam, se perdem, se duplicam, se compartilham.

  3. Construir um comitê de privacidade enxuto e funcional - Não precisa ser burocrático, mas precisa existir. Um comitê com representantes de TI, jurídico, RH, marketing/comercial e operação ajuda a:

  • priorizar ações do plano de adequação;

  • aprovar políticas e procedimentos;

  • discutir incidentes e quase-incidentes;

  • acompanhar indicadores de maturidade em privacidade.

  1. Integrar jurídico + TI na resposta a incidentes - Incidente de segurança não é “problema do servidor”. É evento jurídico-regulatório. Quem avalia se há risco relevante, se há obrigação de comunicar a ANPD e os titulares, quais evidências guardar, qual narrativa construir? É esse casamento entre jurídico e TI que reduz dano e organiza resposta.

  2. Levar LGPD para o dia a dia dos colaboradores - Treinamento não pode ser uma palestra anual, cheia de artigos e parágrafos. Cada área precisa de exemplos concretos: o que é permitido ou não ao enviar planilhas, usar WhatsApp, acessar sistemas fora da empresa, fazer campanhas de e-mail, descartar currículos, tratar dados de saúde, etc. É aí que a cultura começa a mudar.

Da “LGPD do TI” para a LGPD da empresa inteira

Se hoje, na sua organização, LGPD ainda é vista como “coisa da TI” ou “tema do jurídico”, isso é um sinal precioso de que há uma oportunidade de amadurecer – antes que a pressão venha de fora, via fiscalização, incidente de segurança ou questionamento de cliente.

No meu curso de LGPD com foco em implementação prática, eu trabalho exatamente essa virada de chave: como sair da visão técnica isolada (só TI ou só jurídico) e construir um programa de privacidade vivo, integrado, com participação das áreas e linguagem compreensível para quem está na operação. A ideia é que você consiga desenhar, na sua empresa, uma governança que funcione na prática: comitê, fluxos, modelos de documentos, plano de ação realista e, principalmente, clareza de papéis e responsabilidades.

Se você quer que a LGPD deixe de ser um peso jogado em cima de uma única área e se torne um eixo de segurança, confiança e valor para o negócio, esse é o próximo passo. A adequação deixa de ser “projeto de TI” e passa a ser um ativo estratégico – e é essa mentalidade de equipe que vamos construir com o curso “Fundamentos LGPD”.