A LGPD impõe obrigações jurídicas e técnicas. As jurídicas (bases legais, contratos com operadores, termos de consentimento, direitos dos titulares) são responsabilidade do seu time jurídico ou do seu escritório de advocacia. As técnicas (mapeamento de dados, controles de segurança, privacidade by design, gestão de incidentes) são a nossa especialidade. Fazemos a orientação das medidas técnicas, apoiados na ISO 27701, sem entrar em solo jurídico.
Quem conduz o projeto
A maioria das organizações que passou pelo processo de adequação à LGPD tem a documentação jurídica em ordem: política de privacidade, bases legais, contratos com operadores. O que frequentemente falta é a contrapartida técnica: os sistemas e processos que efetivamente protegem os dados pessoais no dia a dia.
Não é possível proteger o que não se conhece. O mapeamento de dados pessoais — onde estão, quem acessa, por quanto tempo ficam, com quem são compartilhados — é a fundação de qualquer adequação técnica real. Sem ele, políticas de privacidade são ficção.
O artigo 46 da LGPD exige que controladores e operadores adotem medidas técnicas e administrativas aptas a proteger os dados pessoais. A ausência de controles técnicos adequados — criptografia, controle de acesso, monitoramento — também é descumprimento da lei.
O princípio da Privacy by Design — incorporar privacidade desde a concepção dos sistemas — exige decisões técnicas concretas: minimização de dados coletados, configurações default de privacidade, separação entre dados identificadores e operacionais. São escolhas técnicas de arquitetura e configuração.
A LGPD exige notificação à ANPD em prazo definido quando ocorre incidente com risco relevante aos titulares. Cumprir esse prazo requer detecção rápida, avaliação técnica do impacto e processo de resposta estruturado que precisa estar pronto antes do incidente, não depois.
Em processos administrativos e fiscalizações, a ANPD avalia se a organização adotou medidas técnicas adequadas ao risco do tratamento: Logs de acesso, relatórios de testes de segurança e registros de tratamento são as evidências que fazem diferença.
Processos de due diligence, onboarding de clientes do setor financeiro e contratos com multinacionais incluem questionários técnicos sobre segurança e privacidade: criptografia, controle de acesso, gestão de vulnerabilidades, testes de penetração. Política de privacidade não responde a essas perguntas.
Nossa atuação é exclusivamente técnica, com base nas normas ISO 27001 e ISO 27701. Não somos escritório de advocacia e não prestamos assessoria jurídica: não redigimos contratos com operadores, não definimos bases legais para tratamentos e não representamos a organização perante a ANPD. Trabalhamos lado a lado com o time jurídico do cliente ou com o escritório de advocacia parceiro, cada um no seu domínio.
Cada etapa produz entregáveis técnicos adequados a realidade do tratamento de dados pessoais na empresa. O ponto de partida é sempre o mapeamento real dos dados: sem saber o que existe e onde está, qualquer controle técnico é incompleto.
Identificação de todos os sistemas, bancos de dados, planilhas, integrações e processos que coletam, armazenam, processam ou transmitem dados pessoais. Para cada fluxo: quais dados, quem acessa, onde ficam armazenados, por quanto tempo, com quem são compartilhados e quais controles técnicos já existem. Resultado entregue ao jurídico para definição das bases legais.
Fluxo de dados · Inventário técnico · Base para o ROPAComparação entre os controles técnicos existentes e os requisitos do art. 46 da LGPD e da ISO 27701 — identificando lacunas em criptografia, controle de acesso, logs de auditoria, segregação de dados, gestão de vulnerabilidades e capacidade de resposta a incidentes. Priorização por risco: o que resolve mais exposição com menos esforço.
Art. 46 LGPD · ISO 27701 · Priorização por riscoAvaliação técnica de sistemas e processos sob o princípio de Privacy by Design: minimização de dados coletados, configurações default de privacidade, separação entre dados identificadores e operacionais, controles de retenção e descarte. Para cada sistema avaliado: especificação técnica do que precisa ser ajustado e como, para orientar a equipe de desenvolvimento ou TI do cliente.
Privacy by Design · Especificações técnicas · MinimizaçãoPara cada lacuna técnica identificada, definimos o controle necessário e como ele deve ser implementado: criptografia em repouso e em trânsito, controle de acesso por perfil, logs de acesso a dados pessoais, ferramentas de gestão de consentimento, pseudonimização e anonimização. Quando a lacuna exige solução de mercado, elaboramos a RFP para contratação e acompanhamos a avaliação das propostas.
Controles técnicos · RFP · Acompanhamento de implementaçãoElaboração do processo técnico de detecção, contenção, avaliação de impacto e registro de incidentes de privacidade. Definição dos critérios técnicos para classificação do incidente como de risco relevante. Integração com o processo de gestão de incidentes de segurança da informação quando existente.
72 horas · ANPD · Detecção e contençãoTreinamento técnico para equipes de TI, desenvolvimento e operações, com foco em boas práticas de privacidade by design, gestão de acessos a dados pessoais e reconhecimento de incidentes de privacidade. Suporte técnico estruturado ao DPO: avaliação técnica de novos sistemas e fornecedores, análise de contratos de processamento de dados sob a perspectiva técnica e acompanhamento de mudanças regulatórias.
Capacitação técnica · Suporte ao DPO · ContinuidadeIdeal para quem já tem assessoria jurídica de privacidade ou está contratando e precisa que alguém cuide dos controles técnicos com a mesma profundidade. Também para já fez a adequação jurídica e precisa agora a parte técnica.
Hospitais, clínicas, laboratórios e operadoras que tratam dados de saúde (categoria sensível com proteção reforçada na LGPD) e precisam de controles técnicos específicos: acesso restrito a prontuários, logs de acesso, criptografia e minimização de dados em sistemas de telemedicina e imagem.
Bancos, corretoras e plataformas que tratam dados financeiros, biométricos e de histórico de crédito, que precisam demonstrar controles técnicos adequados em processos de due diligence e homologação, inclusive com requisitos obrigatórios de segurança sobrepostos entre LGPD, BACEN e ANPD.
Desenvolvedoras de software e plataformas que processam dados pessoais de clientes e precisam incorporar Privacy by Design nos seus produtos como diferencial competitivo e como requisito de clientes corporativos e multinacionais que auditam os controles técnicos dos fornecedores.
Empresas com grandes bases de dados de colaboradores, clientes e parceiros, onde o mapeamento técnico de dados, a gestão de acessos e os controles de retenção e descarte são operacionalmente complexos e frequentemente negligenciados na adequação jurídica.
Instituições de ensino e plataformas educacionais que tratam dados de crianças e adolescentes, que exigem requisitos técnicos reforçados de controle de acesso, minimização de dados e segregação entre dados de menores e de adultos nos sistemas.
Organizações com cadeias de operadores e suboperadores que acessam dados pessoais, onde o risco técnico se estende além do perímetro da organização e exige especificações técnicas nos contratos e avaliação de segurança dos fornecedores.
Não terceirizamos a entrega. Os sócios com CISSP, CDPSE e certificações ISO participam diretamente de cada projeto.
Os mesmos profissionais que assinam a proposta conduzem o projeto. Você fala diretamente com quem tem a expertise e a certificação.
Não vendemos tecnologia nem somos parceiros de fabricantes. Nossas especificações são neutras — focadas no que a norma exige, não no que gera comissão.
Desde 2015, com engajamentos em 8+ setores — do mercado financeiro à saúde e infraestrutura crítica.
Integramos capacitação e cultura de segurança à orientação técnica — para que sua equipe execute com convicção, não por obrigação.
Os sócios atuam em instituições de ensino como FGV, ABNT, Instituto Mauá de Tecnologia e TIExames, garantindo conhecimento técnico atualizado e em profundidade.
Cada serviço é construído para ser compatível com ISO 27701, 42001, 22301 e frameworks NIST — evitando retrabalho desde o início.
Em conformidade com o Código de Ética ISC2, preservamos a confidencialidade dos clientes. Os casos abaixo descrevem contextos e entregas reais.
Fale diretamente com nossos sócios — CDPSE e ISO 27701 Lead Implementer. A conversa inicial é sem custo e sem compromisso, e já nos permite identificar as principais lacunas técnicas da sua organização frente à LGPD.