Conformidade LGPD não é um estado binário. É um espectro operacional. A maioria das empresas D2C brasileiras ocupa uma posição intermediária: tem política de privacidade publicada, talvez um DPO nomeado, mas falta a infraestrutura que transforma declarações em práticas verificáveis. Para fundos PE, o checklist abaixo identifica os artefatos que importam em cada área.
1. Bases Legais e Registro de Tratamento
A LGPD exige que todo tratamento de dados pessoais esteja vinculado a uma base legal (Art. 7). Para empresas de marketing D2C, as bases mais comuns são consentimento, execução de contrato e interesse legítimo. O artefato central é o Registro de Operações de Tratamento (ROPA), que documenta cada atividade, sua finalidade, a base legal aplicada e as categorias de dados envolvidas.
O que verificar: ROPA atualizado nos últimos 6 meses. Mapeamento de finalidade-base legal para cada atividade de marketing (email, SMS, retargeting, analytics). Evidência de Relatório de Impacto à Proteção de Dados (RIPD) para tratamentos baseados em interesse legítimo. A ANPD pode exigir RIPD retroativamente, e a ausência dele enfraquece qualquer alegação de interesse legítimo.
2. Consent Architecture e CMP
A coleta de consentimento precisa ser granular, informada, livre e inequívoca (Art. 8). Na prática, isso significa que o titular precisa poder consentir separadamente para cada finalidade de tratamento. CMP (Consent Management Platform) configurada corretamente é o artefato operacional que materializa essa exigência.
O que verificar: CMP implementada em todas as propriedades digitais. Configuração de consentimento granular por finalidade (marketing, analytics, personalização). Registro timestamped de cada consentimento coletado. Integração entre CMP e stack de MarTech (CRM, ESP, ad tech) para propagação de preferências em tempo real. Tags de terceiros condicionadas ao consentimento, não ao carregamento da página.
3. Encarregado de Dados (DPO)
A indicação de encarregado é obrigatória (Art. 41). Diferente do GDPR, não há exceções por porte. O encarregado precisa ser publicamente identificado e ter canal de comunicação acessível para titulares e para a ANPD.
O que verificar: nomeação formal documentada. Publicação do nome e contato do encarregado no site e na política de privacidade. Evidência de que o encarregado participa de decisões sobre tratamento de dados. Registros de treinamento da equipe conduzido pelo DPO. Relatórios periódicos do DPO à alta gestão.
4. Direitos de Titulares e SLA de Resposta
A LGPD garante nove direitos aos titulares (Art. 18). A empresa precisa ter canal dedicado, processo documentado e capacidade operacional para atender solicitações. A ANPD espera atendimento em prazo razoável, e a regulamentação de dosimetria considera o descumprimento de direitos como agravante.
O que verificar: canal de atendimento dedicado (formulário, email, portal). SLA interno documentado para cada tipo de solicitação. Logs de solicitações dos últimos 12 meses com timestamp de recebimento e resposta. Processo de verificação de identidade do titular. Capacidade do CRM e ESP de executar exclusão granular, anonimização e portabilidade.
5. Contratos com Operadores e Transferências Internacionais
Toda relação controlador-operador precisa estar formalizada em contrato que defina escopo, finalidade e obrigações de proteção de dados (Art. 39). Transferências internacionais exigem mecanismo legal adicional (Art. 33).
O que verificar: DPAs assinados com todos os operadores de dados. Cláusulas contratuais padrão para transferências internacionais. Mapeamento de subprocessadores. Procedimentos de notificação de incidentes definidos em contrato. Due diligence de segurança dos operadores (SOC 2, ISO 27001 ou equivalente).
6. Gestão de Incidentes e Notificação
A LGPD exige comunicação de incidentes de segurança à ANPD e aos titulares afetados em prazo razoável (Art. 48). A ANPD regulamentou o processo de comunicação e definiu critérios de relevância. Não ter plano de resposta a incidentes não é apenas um gap de segurança. É um agravante em caso de sanção.
O que verificar: plano de resposta a incidentes documentado e testado. Equipe de resposta definida com papéis e responsabilidades. Procedimento de comunicação à ANPD com template pronto. Logs de testes ou simulações de incidentes. Registro de incidentes anteriores e ações corretivas.