Ph3i Technology
LGPD

Erros mais comuns em projetos de adequação à LGPD

Listamos os erros que mais aparecem em projetos de LGPD e mostramos caminhos práticos para corrigi los, envolvendo TI, jurídico e negócio.

Introdução: por que tantos projetos de LGPD travam

A LGPD já não é novidade, mas ainda é muito comum ver projetos de adequação que começam com força e, depois de alguns meses, ficam travados, viram planilhas esquecidas ou se transformam em um monte de documentos que ninguém lê.

Os sintomas se repetem:

  • Reuniões intermináveis sobre bases legais, mas pouca mudança concreta nos sistemas.
  • Políticas e avisos de privacidade bonitos, porém desconectados da realidade técnica.
  • Times de TI sobrecarregados com demandas vagas ou pouco prioritárias.
  • Gestão com a sensação de que "a LGPD está andando", mas sem evidências claras.

Neste artigo, vamos listar os erros mais comuns em projetos de LGPD e, mais importante, mostrar caminhos práticos para corrigi-los, conectando jurídico, TI e área de negócio de forma mais realista.

Erro 1: tratar LGPD apenas como projeto jurídico

Um dos erros mais frequentes é encarar LGPD como algo exclusivo do jurídico ou da consultoria. O projeto começa com foco total em:

  • Políticas, contratos e aditivos.
  • Cláusulas de confidencialidade e termos de uso.
  • Textos de consentimento e avisos de privacidade.

Tudo isso é importante, mas não é suficiente. LGPD mexe com:

  • Como os dados são coletados nas telas e formulários.
  • Como são armazenados e por quanto tempo.
  • Quem tem acesso, como esse acesso é concedido e removido.
  • Como o sistema responde a pedidos de titulares (acesso, correção, exclusão, etc.).

Se TI, produto e operação entram tarde ou só para "executar a lista pronta", o resultado costuma ser:

  • Exigências tecnicamente inviáveis.
  • Fluxos pensados no papel, mas incompatíveis com o sistema atual.
  • Frustração de todos os lados.

Como corrigir:

  • Envolver TI, produto e operação desde o início do mapeamento.
  • Discutir impactos técnicos em cada decisão de base legal, retenção e consentimento.
  • Tratar jurídico e TI como pares no projeto, não em camadas que trabalham isoladas.

Erro 2: não mapear dados pessoais nos sistemas

Outro erro clássico é tentar falar de LGPD sem ter clareza de onde os dados estão. Fica tudo em nível genérico:

  • "Tratamos dados de clientes, colaboradores e fornecedores."
  • "Temos alguns sistemas internos e sistemas de terceiros."
  • "Os dados ficam no servidor e em alguns relatórios."

Sem um mapa mínimo, é impossível responder perguntas básicas:

  • Quais campos são dados pessoais e quais são dados sensíveis?
  • Em quais sistemas esses dados entram, transitam e saem?
  • Quais integrações existem (APIs, exportações, planilhas)?
  • Onde estão os maiores riscos de vazamento ou acesso indevido?

O resultado é um projeto que discute muito "no alto" e pouco no concreto.

Como corrigir:

  • Fazer um inventário de sistemas e processos que tratam dados pessoais.
  • Para cada sistema, listar: campos pessoais coletados, finalidades, bases legais, prazo de retenção, integrações.
  • Partir de algo simples (um fluxo de dados por vez) e ir refinando, em vez de esperar por um "grande mapa perfeito" que nunca fica pronto.

Erro 3: ignorar a área de TI e os arquitetos

Há projetos de LGPD em que TI aparece apenas para "cumprir requisições":

  • "Precisamos de logs disso."
  • "Tem como apagar todos esses dados em 15 dias?"
  • "Dá para criar um botão para o titular excluir todos os dados em qualquer momento?"

Sem discutir arquitetura, performance, segurança e impactos em integrações, essas demandas viram pedidos soltos que TI tenta encaixar como pode, muitas vezes criando riscos novos.

Consequências comuns:

  • Soluções manuais para atender o titular (ajustes diretos em banco, planilhas auxiliares).
  • Remoções de dados sem rastreabilidade adequada.
  • Funcionalidades mal testadas, criadas às pressas para cumprir prazo.

Como corrigir:

  • Incluir arquitetos e desenvolvedores nas decisões sobre fluxos de dados pessoais desde o início.
  • Avaliar viabilidade técnica de cada requisito de LGPD, propondo alternativas quando necessário.
  • Priorizar mudanças estruturais de longo prazo, em vez de gambiarra para "passar na auditoria".

Erro 4: não preparar fluxo de atendimento ao titular

A LGPD garante uma série de direitos ao titular: acesso, correção, exclusão, portabilidade, revogação de consentimento, entre outros.

Um erro comum é pensar nisso apenas como texto na política de privacidade, sem um fluxo operacional claro:

  • Quem recebe as solicitações (canal oficial)?
  • Como a identidade do titular é verificada?
  • Quem avalia se o pedido é procedente (jurídico, DPO, área de negócio)?
  • Como a decisão é refletida nos sistemas (correção, exclusão, restrição, etc.)?
  • Como fica o registro de que aquela solicitação foi atendida?

Sem isso, as empresas acabam tratando pedidos de titular de forma improvisada, por e-mail, WhatsApp ou telefonema, sem padronização nem registro.

Como corrigir:

  • Definir um canal oficial para pedidos de titulares (formulário, e-mail dedicado, portal).
  • Criar um fluxo de atendimento: triagem, análise, execução técnica, resposta formal.
  • Registrar cada pedido em uma base própria (ticket, planilha controlada ou sistema), incluindo datas, responsáveis e decisão tomada.
  • Treinar as áreas envolvidas para reconhecer rapidamente um pedido de titular e encaminhar pelo fluxo correto.

Erro 5: documentar demais e executar de menos

É tentador "começar pela papelada":

  • Políticas detalhadas com dezenas de páginas.
  • Procedimentos com fluxos que ainda não existem na prática.
  • Modelos de formulário para todo tipo de situação.

O problema é quando quase nada disso se traduz em rotina real. A empresa passa a ter um SGPD ou um programa de privacidade com documentos que:

  • Ninguém lê no dia a dia.
  • Não são conhecidos pelos times operacionais.
  • Não batem com o que o sistema e os processos realmente fazem.

Em uma auditoria ou incidente, essa divergência fica evidente.

Como corrigir:

  • Priorizar documentos que descrevam o que já está sendo feito, ainda que de forma simples.
  • Tratar políticas e procedimentos como algo vivo, que vai amadurecendo conforme os processos vão sendo implantados.
  • Começar pequeno: uma política objetiva, alguns procedimentos críticos (atendimento ao titular, gestão de incidentes, retenção de dados), e ir evoluindo com base na prática.

Como redesenhar um projeto de LGPD para algo mais realista

Se você reconheceu vários desses erros no seu projeto, a boa notícia é que ainda dá tempo de ajustar a rota. Alguns passos práticos:

  1. Rever o patrocínio
    Garantir que a alta gestão entende que LGPD não é só jurídico, nem só TI. É um tema de negócio, risco e reputação.

  2. Criar um núcleo multidisciplinar
    Envolver pelo menos: jurídico/privacidade, TI/arquitetura, segurança da informação, áreas de negócio críticas, atendimento/CS.

  3. Repriorizar entregas
    Em vez de tentar abraçar tudo, escolher um conjunto de frentes com impacto real: mapeamento de dados em 1 ou 2 sistemas principais, fluxo de atendimento ao titular, revisão de contratos com terceiros mais críticos, ajustes simples nas telas e APIs para coleta mínima.

  4. Conectar decisões jurídicas à arquitetura
    Cada decisão de base legal, retenção, consentimento ou compartilhamento precisa ser revisitada com o olhar de quem cuida dos sistemas.

  5. Estabelecer rotinas, não só projetos
    LGPD não termina. É importante combinar rotinas: revisão anual de inventário de dados pessoais, revisão periódica de contratos com operadores, testes de fluxo de atendimento ao titular, simulações de incidente.

Próximos passos práticos para empresas em diferentes estágios

Por fim, alguns direcionamentos rápidos conforme o estágio em que a empresa está:

1. Quem ainda não começou de fato

  • Definir responsável ou comitê de privacidade (mesmo que seja parcial).
  • Mapear sistemas principais que tratam dados pessoais.
  • Criar um plano inicial focando em: políticas básicas, mapeamento de dados, canal de atendimento ao titular.

2. Quem tem muita documentação e pouca prática

  • Revisar políticas e procedimentos à luz da realidade atual dos sistemas.
  • Selecionar 2 ou 3 processos para "trazer para o chão" (ex.: fluxo de titular, resposta a incidente, retenção em um sistema).
  • Atualizar documentos para refletir o que é exequível hoje, com plano de evolução.

3. Quem já tem base técnica razoável, mas pouca governança

  • Fortalecer o papel do DPO ou responsável por privacidade como ponto de conexão entre jurídico, TI e negócio.
  • Estruturar indicadores simples: número de solicitações de titulares, incidentes, volume de tratamentos mapeados, terceiros críticos avaliados.
  • Planejar ciclos anuais de revisão e melhoria contínua.

LGPD não precisa ser um projeto impossível. Quando os erros mais comuns são reconhecidos e tratados com realismo, a adequação deixa de ser um peso e passa a ser parte natural da boa gestão de dados e de riscos dentro da empresa.

Conteúdos relacionados

Compartilhar

Tags

LGPDprojetoserrosadequaçãogovernança

Estatísticas

Tags5
Tipoartigo
Tempo de leitura8 minutos