GOVERNANÇA EM DADOS PESSOAIS COMO REQUISITO PARA FAZER NEGÓCIOS
A LGPD já está consolidada no ambiente empresarial brasileiro. O que se observa agora não é mais um movimento de adaptação inicial, mas sim uma diferenciação clara entre empresas que estruturaram sua governança em dados e aquelas que ainda operam de forma reativa ou desorganizada.
Nesse contexto, uma dúvida comum: a obrigatoriedade de indicação de encarregado (DPO), acaba ganhando mais destaque do que deveria. A Agência Nacional de Proteção de Dados (ANPD) já indicou que essa exigência pode ser flexibilizada em determinados casos, especialmente para agentes de pequeno porte. No entanto, essa flexibilização não se estende à estrutura mínima de conformidade. Em outras palavras, é possível não ter um DPO formalmente designado, mas não é possível operar sem processos básicos de governança.
Para compreender o que isso significa na prática, é importante olhar para os elementos essenciais que sustentam a conformidade com a LGPD no dia a dia das empresas.
O primeiro deles é o mapeamento de dados pessoais, normalmente formalizado por meio do ROPA (registro das operações de tratamento). Sem esse mapeamento, a empresa não consegue sequer responder perguntas fundamentais, como quais dados são tratados, para quais finalidades e com base em qual fundamento legal. Essa ausência de visibilidade compromete todas as demais camadas de conformidade, pois impede a tomada de decisão informada.
A partir desse mapeamento, torna-se possível estruturar o segundo elemento essencial, que é a definição e documentação das bases legais. A LGPD exige que todo tratamento de dados pessoais esteja amparado por uma base legal válida. Sem clareza sobre isso, atividades rotineiras como campanhas de marketing, gestão de recursos humanos ou relacionamento com clientes podem ocorrer de forma irregular, mesmo sem intenção.
Outro ponto fundamental é a existência de políticas e procedimentos internos. Não se trata apenas de documentos formais, mas de diretrizes que orientem, de fato, o comportamento das equipes. Políticas de privacidade, segurança da informação e uso de dados precisam refletir a realidade da operação e ser aplicáveis no cotidiano da empresa.
A gestão de incidentes de segurança também é um pilar indispensável. Toda organização está sujeita a falhas ou eventos inesperados, mas a diferença está na capacidade de resposta. Ter um plano estruturado significa saber como identificar um incidente, avaliar seu impacto, adotar medidas de contenção e, quando necessário, comunicar autoridades e titulares de forma adequada. Sem isso, qualquer incidente tende a gerar consequências desproporcionais.
Além disso, a LGPD reforça a necessidade de atendimento aos direitos dos titulares. Isso exige a criação de canais de comunicação e, principalmente, de fluxos internos capazes de localizar, corrigir ou excluir dados quando solicitado. Empresas que não possuem essa estrutura não apenas descumprem a legislação, mas também demonstram fragilidade operacional.
Outro aspecto relevante é a gestão de terceiros e parceiros. O tratamento de dados raramente ocorre de forma isolada. Fornecedores, prestadores de serviço e parceiros comerciais frequentemente participam dessas atividades. Por isso, avaliar o nível de maturidade desses terceiros e estabelecer obrigações contratuais claras tornou-se uma prática essencial para reduzir riscos.
Esses elementos, quando combinados, formam a base de uma governança em proteção de dados. E é justamente essa base que vem sendo observada pelo mercado. Em processos de contratação, auditorias e due diligences, empresas são cada vez mais demandadas a demonstrar que possuem controle sobre o ciclo de vida dos dados pessoais que tratam.
A ausência dessa estrutura gera impactos concretos. Pode impedir a participação em processos comerciais, dificultar o fechamento de contratos, aumentar a exposição a incidentes e comprometer a confiança de clientes e parceiros. Não se trata apenas de evitar sanções, mas de garantir condições mínimas para operar de forma sustentável.
Por isso, a discussão atual sobre proteção de dados precisa ser reposicionada. Mais do que questionar a obrigatoriedade de um encarregado, é necessário avaliar se a empresa possui os fundamentos que permitem tratar dados pessoais de forma responsável, segura e transparente.
A maturidade em proteção de dados não depende necessariamente de estruturas complexas, mas exige consistência. E, no cenário atual, essa consistência deixou de ser um diferencial competitivo para se tornar uma expectativa básica do mercado.
Maysa Zardo
