A LGPD impõe obrigações jurídicas e técnicas. As jurídicas — bases legais, contratos com operadores, termos de consentimento, direitos dos titulares — são responsabilidade do seu time jurídico ou do seu escritório de advocacia. As técnicas — mapeamento de dados, controles de segurança, privacidade by design, gestão de incidentes — são a nossa especialidade. Fazemos a orientação das medidas técnicas, apoiados na ISO 27701, sem entrar em solo jurídico.
Quem conduz o projeto
A maioria das organizações que passou pelo processo de adequação à LGPD tem a documentação jurídica em ordem — política de privacidade, bases legais, contratos com operadores. O que frequentemente falta é a contrapartida técnica: os sistemas e processos que efetivamente protegem os dados pessoais no dia a dia.
Não é possível proteger o que não se conhece. O mapeamento de dados pessoais — onde estão, quem acessa, por quanto tempo ficam, com quem são compartilhados — é a fundação de qualquer adequação técnica real. Sem ele, políticas de privacidade são ficção.
O artigo 46 da LGPD exige que controladores e operadores adotem medidas técnicas e administrativas aptas a proteger os dados pessoais. A ausência de controles técnicos adequados — criptografia, controle de acesso, monitoramento — é descumprimento da lei, independentemente da qualidade da documentação jurídica.
O princípio da Privacy by Design — incorporar privacidade desde a concepção dos sistemas — exige decisões técnicas concretas: minimização de dados coletados, configurações default de privacidade, separação entre dados identificadores e operacionais. São escolhas de arquitetura e configuração, não de redação jurídica.
A LGPD exige notificação à ANPD em prazo definido quando ocorre incidente com risco relevante aos titulares. Cumprir esse prazo requer detecção rápida, avaliação técnica do impacto e processo de resposta estruturado — que precisa estar pronto antes do incidente, não depois.
Em processos administrativos e fiscalizações, a ANPD avalia se a organização adotou medidas técnicas adequadas ao risco do tratamento — não apenas se tem documentação jurídica. Logs de acesso, relatórios de testes de segurança e registros de tratamento são as evidências que fazem diferença.
Processos de due diligence, onboarding de clientes do setor financeiro e contratos com multinacionais incluem questionários técnicos sobre segurança e privacidade — criptografia, controle de acesso, gestão de vulnerabilidades, testes de penetração. Política de privacidade não responde a essas perguntas.
Nossa atuação é exclusivamente técnica. Não somos escritório de advocacia e não prestamos assessoria jurídica — não redigimos contratos com operadores, não definimos bases legais para tratamentos e não representamos a organização perante a ANPD. Trabalhamos lado a lado com o time jurídico do cliente ou com o escritório de advocacia parceiro, cada um no seu domínio.
Cada etapa produz entregáveis técnicos concretos — não documentos genéricos gerados a partir de templates. O ponto de partida é sempre o mapeamento real dos dados: sem saber o que existe e onde está, qualquer controle técnico é incompleto.
Identificação de todos os sistemas, bancos de dados, planilhas, integrações e processos que coletam, armazenam, processam ou transmitem dados pessoais. Para cada fluxo: quais dados, quem acessa, onde ficam armazenados, por quanto tempo, com quem são compartilhados e quais controles técnicos já existem. Resultado entregue ao jurídico para definição das bases legais.
Fluxo de dados · Inventário técnico · Base para o ROPAComparação entre os controles técnicos existentes e os requisitos do art. 46 da LGPD e da ISO 27701 — identificando lacunas em criptografia, controle de acesso, logs de auditoria, segregação de dados, gestão de vulnerabilidades e capacidade de resposta a incidentes. Priorização por risco: o que resolve mais exposição com menos esforço.
Art. 46 LGPD · ISO 27701 · Priorização por riscoAvaliação técnica de sistemas e processos sob o princípio de Privacy by Design — minimização de dados coletados, configurações default de privacidade, separação entre dados identificadores e operacionais, controles de retenção e descarte. Para cada sistema avaliado: especificação técnica do que precisa ser ajustado e como, para orientar a equipe de desenvolvimento ou TI do cliente.
Privacy by Design · Especificações técnicas · MinimizaçãoPara cada lacuna técnica identificada, definimos o controle necessário e como ele deve ser implementado — criptografia em repouso e em trânsito, controle de acesso por perfil, logs de acesso a dados pessoais, ferramentas de gestão de consentimento, pseudonimização e anonimização. Quando a lacuna exige solução de mercado, elaboramos a RFP para contratação e acompanhamos a avaliação das propostas.
Controles técnicos · RFP · Acompanhamento de implementaçãoElaboração do processo técnico de detecção, contenção, avaliação de impacto e registro de incidentes de privacidade — com foco no prazo de 72 horas para notificação à ANPD. Definição dos critérios técnicos para classificação do incidente como de risco relevante. Integração com o processo de gestão de incidentes de segurança da informação quando existente.
72 horas · ANPD · Detecção e contençãoTreinamento técnico para equipes de TI, desenvolvimento e operações — foco em boas práticas de privacidade by design, gestão de acessos a dados pessoais e reconhecimento de incidentes de privacidade. Suporte técnico estruturado ao DPO: avaliação técnica de novos sistemas e fornecedores, análise de contratos de processamento de dados sob a perspectiva técnica e acompanhamento de mudanças regulatórias.
Capacitação técnica · Suporte ao DPO · ContinuidadeIdeal para quem já tem assessoria jurídica de privacidade — ou está contratando — e precisa que alguém cuide dos controles técnicos com a mesma profundidade. Também para quem tentou a adequação com foco só no jurídico e percebeu que faltou a parte que os sistemas precisam cumprir.
Hospitais, clínicas, laboratórios e operadoras que tratam dados de saúde — categoria sensível com proteção reforçada na LGPD — e precisam de controles técnicos específicos: acesso restrito a prontuários, logs de acesso, criptografia e minimização de dados em sistemas de telemedicina e imagem.
Bancos, corretoras e plataformas que tratam dados financeiros, biométricos e de histórico de crédito — com obrigações técnicas de segurança sobrepostas entre LGPD, BACEN e ANPD — e precisam demonstrar controles técnicos adequados em processos de due diligence e homologação.
Desenvolvedoras de software e plataformas que processam dados pessoais de clientes e precisam incorporar Privacy by Design nos seus produtos — como diferencial competitivo e como requisito de clientes corporativos e multinacionais que auditam os controles técnicos dos fornecedores.
Empresas com grandes bases de dados de colaboradores, clientes e parceiros — onde o mapeamento técnico de dados, a gestão de acessos e os controles de retenção e descarte são operacionalmente complexos e frequentemente negligenciados na adequação jurídica.
Instituições de ensino e plataformas educacionais que tratam dados de crianças e adolescentes — com requisitos técnicos reforçados de controle de acesso, minimização de dados e segregação entre dados de menores e de adultos nos sistemas.
Organizações com cadeias de operadores e suboperadores que acessam dados pessoais — onde o risco técnico se estende além do perímetro da organização e exige especificações técnicas nos contratos e avaliação de segurança dos fornecedores.
Não terceirizamos a entrega. Os sócios com CISSP, CDPSE e certificações ISO participam diretamente de cada projeto.
Os mesmos profissionais que assinam a proposta conduzem o projeto. Você fala diretamente com quem tem a expertise e a certificação.
Não vendemos tecnologia nem somos parceiros de fabricantes. Nossas especificações são neutras — focadas no que a norma exige, não no que gera comissão.
Desde 2015, com engajamentos em 8+ setores — do mercado financeiro à saúde e infraestrutura crítica.
Integramos capacitação e cultura de segurança à orientação técnica — para que sua equipe execute com convicção, não por obrigação.
Os sócios atuam em instituições de ensino como FGV, ABNT, Instituto Mauá de Tecnologia e TIExames, garantindo conhecimento técnico atualizado e em profundidade.
Cada serviço é construído para ser compatível com ISO 27701, 42001, 22301 e frameworks NIST — evitando retrabalho desde o início.
Em conformidade com o Código de Ética ISC2, preservamos a confidencialidade dos clientes. Os casos abaixo descrevem contextos e entregas reais.
Fale diretamente com nossos sócios — CDPSE e ISO 27701 Lead Implementer. A conversa inicial é sem custo e sem compromisso, e já nos permite identificar as principais lacunas técnicas da sua organização frente à LGPD.