No meu trabalho com o Conteúdo Jurídico do Compliasset me deparo com diversos questionamentos dos clientes. Mas uma preocupação comum dos diretores e profissionais de compliance no geral é – “eu tenho a política, mas preciso de evidências robustas da sua implementação na prática“.
E, realmente, em 2026 ninguém quer apenas colecionar documentos.
O profissional de compliance precisa de tranquilidade para tomar decisões com segurança, manter a comunicação consistente entre áreas e, quando necessário, demonstrar que o controle realmente existe. O segmento financeiro não sobrevive de boa intenção e boa-fé, mas de controles eficientes.
Essa exigência tem várias origens: o amadurecimento do mercado, o aperfeiçoamento de normas de controles internos, a facilidade de se gerar evidências com a tecnologia (incluindo a IA), enfim. Precisamos entender que o compliance atual exige um comportamento coerente ao discurso.
Pensando nisso, vou organizar nesse artigo as principais dúvidas que recebo de quem atua com proteção de dados pessoais:
1. Como apresentar evidências legítimas de que a Política de LGPD está sendo implementada?
Muitas vezes essa pergunta vem depois de alguma situação difícil. Uma auditoria, uma cobrança, incidente, ofício, demanda de titular ou até due diligence de terceiro.
Então aqui vai a primeira parte da resposta: comece aos poucos, e antes do incêndio.
Revise a sua política, se certifique de que ela está publicada, verifique se ela supre os riscos e fluxos de dados pessoais mapeados pela organização. Entenda quais comandos de ação você consegue extrair dela e, em seguida, crie rotinas periódicas para garantir a sua aderência.
Por exemplo, você pode criar um evento ou uma tarefa em sua agenda de trabalho, para mensalmente testar o Canal de LGPD – ou o canal de comunicação utilizado pela sua organização para colher revogações de consentimento sobre o uso de dados pessoais.
Arquive cada teste em pastas que sejam gerenciadas estritamente por quem pode acessar o arquivo, mas que não fiquem centralizadas em um ou outro profissional, já que ele pode migrar de área ou de organização.
Se você conta com o Compliasset, por exemplo, pode se valer da ferramenta de Riscos, de alguns controles padrão sugeridos na Agenda, Canal de LGPD disponível e outras funcionalidades para facilitar essa rotina.
Mas, com ou sem um software de GRC, o principal é estabelecer a rotina e segui-la. E claro, isso demanda um grande esforço do compliance, mas também demanda o apoio da alta administração.
Até porque, falhas de controles internos podem gerar grandes impactos reputacionais e financeiros.
Pense no seguinte cenário: ocorreu uma situação que pode representar um incidente envolvendo dados pessoais. O responsável por avaliar a ocorrência entendeu que aquele incidente sequer merecia registro, interpretando que ele não poderia gerar risco ou dano relevante aos titulares dos dados.
No entanto, alguns meses depois a sua organização recebe um ofício da ANPD, exigindo informações sobre um incidente denunciado por um dos titulares potencialmente afetados. No documento, é suscitada uma violação à Resolução nº 14/24, que aprovou o Regulamento de Comunicação de Incidente de Segurança (“RCIS”).
Não há relatório do colaborador, ou qualquer situação registrada que pudesse embasar, ou não, a tomada de decisão do controlador para prosseguir com o Relatório.
Isso quando a Política exigia que qualquer situação suspeita fosse relatada pelo responsável, que deveria sugerir uma ação ao controlador por escrito – inclusive, com prazo de 12h para avaliação e resposta.
Só persiste uma breve lembrança de ter ouvido “tudo bem, não gerou risco aos titulares” em algum momento durante uma semana corrida.
Nessa hora, a evidência pesa muito. Na correria do cotidiano, alguns colaboradores não consultam as Políticas para saber o que fazer, então resta ao time de compliance a árdua missão de testar seus comandos cotidianamente.
Até porque você precisa garantir que aquilo que a empresa afirma sobre privacidade realmente se sustenta.
Quando você documenta uma base legal, registra um parecer, versiona uma política ou formaliza uma análise de risco, pode parecer apenas mais uma tarefa administrativa. Mas, na prática, você está protegendo a si e a sua empresa e criando segurança, transparência e coerência.
2. Quando o uso de IA passa a exigir governança formal no dia a dia do compliance?
Para simplificar o tema, quando falarmos em IA neste artigo, considere que estamos falando dos mais diversos tipos, e não apenas a IA Generativa.
Pensando nisso, o primeiro passo é claro nas melhores práticas de compliance atuais: não permita o uso de IA que não tenha sido contratada e disponibilizada pela organização.
Vamos pensar no exemplo de uma colaboradora que trabalha com marketing, e está registrando uma partida de futebol entre funcionários de uma gestora.
Ela tira uma foto de todos, e refaz essa foto com uma IA Gen gratuita, para gerar uma imagem divertida em cartoon. Mas, sem saber, nos Termos e Condições de Uso do fornecedor, ao qual ela concordou com um simples clique ☑️ ela autorizou o uso dos dados inseridos no prompt para aprimoramento do modelo e outras necessidades do fornecedor.
Sem perceber, essa colaboradora compartilhou os dados biométricos daqueles titulares com terceiros.
Caso tais dados vazem, a organização poderá ser responsabilizada. Isso se agrava se, em razão do vazamento, os dados forem utilizados para ilícitos como abertura de contas de pagamento digitais, por exemplo.
Então a primeira boa prática – unânime – é não permitir o uso de IA privada do colaborador.
Mas caso venha a orçar a contratação de alguma IA no ambiente corporativo, o segundo passo é realizar a due diligence necessária para garantir a segurança deste fornecedor, seguido do terceiro passo que é mapear os riscos que podem advir do uso no ambiente corporativo.
Para isso, converse com as áreas e como pretendem adotar a ferramenta: atendimento, comercial, jurídico, ouvidoria, operações, tecnologia, marketing etc. Entenda os potenciais riscos e, a partir desse entendimento, siga para o terceiro passo – estruturar uma política disciplinando esse uso e as permissões de acesso.
Até porque, quando a IA entra de forma difusa nos processos da empresa, tende a criar um tipo novo de risco: o de decisões e comunicações serem influenciadas por um processo que ninguém enxerga direito.
Um time usa para resumir demandas. Outro para escrever respostas. Outro para classificar tickets. Outro para revisar documentos. Cada uso, isoladamente, parece simples. Juntos, eles mudam a forma como a empresa decide, responde e prioriza.
Por essa razão, na elaboração da política, considere o quarto passo – a educação continuada. Os colaboradores precisam entender que a IA não faz mágica. A ferramenta ainda erra (e bastante), e não substitui a decisão humana.
Também devem ser previstas salvaguardas adicionais quando falamos do uso de IA em atividades reguladas, sobretudo envolvendo dados pessoais de clientes. Estes têm o direito de solicitar informações sobre avaliações automatizadas – a sua organização conseguiria explicar?
“Art. 20 § 1º da LGPD O controlador deverá fornecer, sempre que solicitadas, informações claras e adequadas a respeito dos critérios e dos procedimentos utilizados para a decisão automatizada, observados os segredos comercial e industrial.”
A ANPD também já vem discutindo esse ponto de forma mais direta. A Nota Técnica 27/2024, por exemplo, trata do uso de dados pessoais no desenvolvimento de modelos de IA Generativa e chama atenção para riscos e lacunas de transparência quando o tratamento não é claro.
✅ IA Corporativa aprovada após estudo e diligência
✅ Riscos e fluxos de dados mapeados
✅ Controles criados e implementados em sistema adequado
✅ Política homologada
✅ Colaboradores – sobretudo DPO – treinados
Agora sim, há uma governança mínima utilizar a IA visando os benefícios de eficiência buscados
Sei que esse tema é extremamente novo, e é necessário entender os riscos com assertividade. Então se você quiser explorar mais esse tema, converse com o nosso time! Agora o Compliasset tem um treinamento novinho sobre o uso responsável da IA.
3. Como manter o mapeamento de dados pessoais atualizado se as áreas vivem mudando os processos internos?
Para responder a essa pergunta, vamos nos voltar à Política e procedimentos internos – mudanças de processos devem ser sempre submetidas ao mapeamento dos riscos inerentes às mudanças, incluindo os riscos envolvendo dados pessoais.
Isso porque o data maping não é feito uma única vez. Ele deve ser repetido recorrentemente para garantir a consistência dos fluxos, dos acessos e das medidas de segurança da informação.
Assim, caso tenha ocorrido alguma violação de política/falha de controle, como a alteração de um processo interno sem o devido mapeamento dos riscos inerentes, o mapeamento de dados feito na recorrência seguinte irá capturar essa falha antes que ela abra margem a incidentes.
Lembrando que essa recorrência da revisão deve seguir as diretrizes e o porte da organização. Lógico que uma instituição bancária precisa robustecer esse processo quando comparada a uma gestora de recursos, por exemplo.
Mas o fluxo de dados envolve diversas áreas, o que exige a aderência dos colaboradores a essa regra.
4. Como conciliar as regras da LGPD com a obrigação regulatória de guardar documentos por um determinado período?
Essa pergunta parece ter uma resposta óbvia – bem, os órgãos reguladores me exigem a guarda de documentos por longos períodos, e a LGPD me permite tratar os dados pessoais contidos nesses documentos em razão de obrigação regulatória. Pronto. Resolvido.
Mas como você faz a guarda desses documentos?
Vamos pensar em mais uma situação hipotética. Em empresas reguladas, é comum existirem prazos longos e regras bem específicas. Um exemplo é a Resolução Conjunta nº 13/2024, publicada pelo BCB em conjunto com a CVM, que prevê, entre outros pontos, a conservação mínima de informações e documentos por dez anos em determinados contextos envolvendo investidores não residentes.
Mas suponha que uma dessas empresas deixa o dado acessível a qualquer colaborador, misturado ao que é operacional, sem diferenciação de camada e sem controle fino. Isso aumenta o risco e, paradoxalmente, aumenta também o esforço para responder quando alguém pede um recorte específico.
Seguindo a LGPD e boas práticas de segurança da informação, não se deve manter dados sem finalidade e não manter indefinidamente sem justificativa, mesmo quando houver consentimento. Não significa “apagar o quanto antes” de forma apressada e ansiosa. Significa definir prazo para exclusão com fundamento, aplicar controles durante a retenção e eliminar quando a finalidade e a obrigação se encerrarem.
O arquivo que contém dados pessoais, mas está retido para atender a exigência regulatória, não pode ser de “fácil para todo mundo”. Precisa estar íntegro, protegido, pesquisável quando necessário e com acesso bem controlado.
Quando essa arquitetura existe, conciliar retenção com proteção de dados fica bem mais natural.
E, de novo, a discussão sobre incidentes aparece como pano de fundo. Se você tem obrigação de guardar por muito tempo, você tem obrigação de proteger por muito tempo. E, se algo acontecer, você precisa conseguir explicar o que havia de controle e qual foi a resposta.
5. Qual é o papel do encarregado quando o compliance já faz muita coisa?
Me lembro que às vésperas da vigência da LGPD pairavam muitas dúvidas. A principal delas era sobre a definição que o mercado poderia adotar para o famigerado “interesse legítimo” do controlador no tratamento de dados.
Em seguida, o principal questionamento era sobre a segregação de tarefas dos agentes de tratamento e do encarregado (ou Data Protection Officer – DPO).
Mas com o passar do tempo, foram se solidificando as boas práticas de mercado, e principalmente os temas foram regulamentados pela ANPD, trazendo mais segurança jurídica.
A partir desta prerrogativa a Autarquia publicou a Resolução CD/ANPD nº 18/24 e o Guia de Atuação do Encarregado, trazendo regras e orientações práticas para auxiliar no dia a dia das organizações.
De forma ainda mais simplificada, podemos entender que o encarregado atua como orientador, facilitador e ponto de comunicação, ajudando a empresa a cumprir a LGPD, sem assumir a responsabilidade final pelo tratamento dos dados.
Assim, cabe a ele receber reclamações e dúvidas dos titulares, respondê-las e tomar providências, quando for o caso.
O encarregado também é o ponto de contato com a ANPD, devendo encaminhar a demanda da autarquia às áreas responsáveis, apoiar e orientar a empresa para atender ao solicitado e indicar um representante processual, quando não exercer esse papel.
Além desses deveres, também cabe ao encarregado orientar os colaboradores da organização, visando a conformidade com a LGPD e apoiando a governança.
Então, como você pode perceber, em nenhum momento o encarregado é quem se responsabiliza pelo tratamento dos dados pessoais em si. Esse papel é dos agentes de tratamento, devendo o controlador tomar decisões quanto ao tratamento de dados, e o operador viabilizar tal tratamento conforme orientado.
Assim o compliance pode contar com o encarregado como um apoiador da área, para orientar nas melhores práticas de mapeamento, monitoramento e mitigação de riscos envolvendo dados pessoais, bem como para procedimentos de registros de incidentes, operações e relatórios de impacto, quando necessários.
“Art. 16. Cabe, ainda, ao encarregado, nos termos do art. 10, inciso II, deste Regulamento, prestar assistência e orientação ao agente de tratamento na elaboração, definição e implementação, conforme o caso, de: IX – regras de boas práticas e de governança e de programa de governança em privacidade, nos termos do art. 50 da Lei nº 13.709, de 14 de agosto de 2018. ”
O compliance também pode contar com o encarregado para a melhor definição de regras para as políticas, processos internos e adequação à novos regramentos da ANPD que venham a ser publicados.
6. Eu consigo traduzir governança de proteção de dados para a direção?
É uma pergunta que eu sugiro que você se faça para esse ano de 2026.
Eu sei que, para diretoria e c-level, proteção de dados ainda pode soar como uma pauta de conformidade.
Só que o custo de não governar ficou cada vez mais mensurável, inclusive em termos de interrupção operacional e custo de resposta.
O relatório Cost of a Data Breach Report, por exemplo, discute aumento de custo médio global e como automação e boas práticas podem reduzir impacto.
O relatório de 2025 continua reforçando lacunas de supervisão e riscos emergentes, inclusive ligados a IA.
Na prática, quando eu penso em comunicação com a administração, eu gosto de organizar a conversa em respostas que precisam ser objetivas, e que tragam valores.
Mapeie os processos, identifique as falhas e demonstre como elas podem vir a impactar os negócios.
Organize esses fluxos e a eficiência em gráficos. Claro, um dossiê robusto pode ser relevante como um anexo à ata, mas leve também um quadro resumo, ou uma apresentação com os dados mais relevantes.
Trate sobre os crescentes números de incidentes cibernéticos que vêm expondo dados pessoais no mercado, acompanhado do crescente investimento na frente de cibersegurança por importante players do mercado. Demonstre que a sua organização não pode ficar exposta, enquanto a concorrente está fortalecendo suas proteções e aproveitando essa iniciativa para se posicionar como referência.
Ademais, caso tenha um incidente envolvendo dados pessoais, qual é a média de multa condenatória que as empresas do mesmo porte estão recebendo? Além do valor da multa em si, quanto esse prejuízo reputacional pode prejudicar as operações, e reduzir a receita?
Apresente com destaque os valores desse potencial prejuízo, para que sejam comparados ao investimento necessário para evitá-lo.
Eu aposto que o investimento parecerá pequeno quando comparado ao potencial prejuízo.
Dito isso, te desejo boa sorte! 😉
Quero te fazer um convite
Na verdade, dois.
Se você quer aprofundar a proteção de dados de forma prática, vale acompanhar os artigos e os alertas regulatórios do nosso blog.
E, se fizer sentido contar com uma ferramenta para organizar esse trabalho no dia a dia, agende uma demonstração e converse com o nosso time e saiba como adaptar o Compliasset à sua operação.
Abraços!
Raquel Moreira Oliveira
Head de Conteúdo Jurídico
Graduada em Direito e especializada em Direito Civil e Direito Societário e Mercado de Capitais. Com sólida experiência, lidera a produção de conteúdo jurídico-regulatório do Compliasset.
