Falar com a Zulti →
Zulti / Estratégia / Adequação à LGPD
Z Adequação à LGPD adequação · ROPA · treinamento

A empresa precisa estar em conformidade com a LGPD.

Conduzida por especialistas com certificação EXIN Data Protection Officer. ROPA no Anchor. A Zulti adequa — o DPO oficial continua sendo do cliente.

Agendar 15 min Ver as frentes
ropa · v3.2 · last sync 09:14live · agora Registro de Operações de Tratamento auditável
CONTROLADOR Cliente Atual · Empresa 180 colab.
PROGRAMA adequação LGPD · 2025-Q2
TRATAMENTOS 18 ativos · 2 em RIPD
Cadastro de clientes Art. 7º V · contrato ~12.400 5 anos pós-vínculo ✓ conforme
Folha de pagamento Art. 7º II · obrigação legal ~180 conforme CLT ✓ conforme
Score de crédito (IA) Art. 7º IX · legítimo interesse ~4.200 3 anos ⚠ RIPD em curso
Recrutamento — currículos Art. 7º VI · exercício de direitos ~2.100/ano 2 anos pós-processo ○ revisão semestral
solicitações de titulares 9/9 · tempo médio 3 dias úteis · SLA legal 15d
Anchor · ROPA estruturado no projeto, exportável a qualquer momento
modelo · projeto fechado escopo · adequação + treinamento plataforma · Anchor (ROPA)
EXIN Data Protection Officer certificação internacional · ISO 27001 implícita

Adequação feita por quem entende a função do DPO por dentro. A Zulti não atua como DPO da empresa, mas a equipe que executa a adequação tem certificação internacional EXIN em Data Protection Officer — qualificação real pra estruturar o programa com profundidade.

Por que adequar

O gatilho chega com prazo curto. Adequação prévia é a única forma de chegar pronto.

Três gatilhos disparam a urgência: ANPD (notificação ou auditoria), titular (pedido formal de acesso, retificação ou exclusão de dados, com prazo de 15 dias) ou cliente B2B exigindo DPA e evidência de conformidade pra renovar contrato. Em qualquer dos três, improvisar custa caro — multa ANPD (até 2% do faturamento, R$ 50M por infração), perda de contrato ou ressarcimento ao titular. Adequação técnica e processual antes do gatilho é o que separa empresa pronta de empresa correndo atrás. Vale pra empresa de qualquer porte sem programa LGPD estruturado — desde estrutura familiar tratando dados pessoais sem mapeamento até organização grande com baixa maturidade que recebeu notificação ANPD ou cláusula contratual.

01

Empresa fiscalizada ou notificada pela ANPD

Notificação de fiscalização, intimação preliminar, multa-aviso ou TAC (Termo de Ajustamento de Conduta). A ANPD pede mapa de tratamentos, base legal por tratamento, política vigente, evidências de cumprimento — com prazo definido. Sem adequação prévia, é correria sob pressão regulatória — pior cenário possível pra fazer adequação LGPD do zero.

02

Empresa sem processo pra atender titular

Cidadão pedindo acesso aos dados que a empresa trata sobre ele, exclusão, portabilidade ou oposição ao tratamento. Prazo legal de 15 dias (Art. 19, §1º). Sem ROPA estruturado e sem processo interno claro, cada solicitação vira maratona. A Zulti estrutura o processo de atendimento; operar o atendimento segue com o cliente (ou DPO interno dele) — não é DPO terceirizado.

03

Empresa cobrada por cliente B2B em cláusula LGPD

Cliente corporativo (banco, varejo, healthtech, plataforma SaaS) exige no contrato cláusula forte de LGPD — comprovação de ROPA, evidências de base legal, DPO formalmente designado (cliente designa o seu), plano de resposta a incidente. SLA contratual exige resposta em prazos curtos. Sem programa adequado, o contrato encolhe ou trava.

As 4 frentes da adequação

Quatro frentes que adequam a empresa à LGPD — sem assumir o papel de DPO.

Cada frente entrega uma parte da adequação. Diagnóstico mapeia tratamentos vigentes e identifica gaps contra a LGPD. Mapeamento + RIPD constrói o ROPA no Anchor e os Relatórios de Impacto pra tratamentos de risco. Base Legal + Política + DPA documenta a fundamentação jurídica por tratamento, publica a política de privacidade e formaliza contratos com terceiros. Treinamento + Conscientização capacita liderança, donos de processo e colaboradores pra operar o programa internamente. Juntas, deixam a empresa em conformidade — operacionalmente, não só no papel.

— Frente 01

Diagnóstico de tratamento

Gap analysis contra LGPD. Levantamento dos tratamentos vigentes (RH, marketing, comercial, financeiro, vídeo), bases legais aplicáveis e maturidade atual. Base pra direção do programa.

Mapa de tratamentos vigentes
Gap contra LGPD priorizado
Postura atual documentada
— Frente 02

Mapeamento + RIPD

ROPA (Registro de Operações de Tratamento) completo no Anchor. Pra tratamentos de alto risco — IA decisória, dados sensíveis, escala grande — Relatório de Impacto (RIPD) escrito.

ROPA com todos os tratamentos
RIPD pros tratamentos de risco
Fluxo de dado por tratamento
— Frente 03

Base Legal + Política + DPA

Definição da base legal (Art. 7º) por tratamento. Política de Privacidade pública atualizada. DPA (Data Processing Agreement) com terceiros que processam dados pessoais.

Base legal documentada por tratamento
Política de Privacidade pública
DPAs com fornecedores críticos
— Frente 04

Treinamento + Conscientização

Capacitação da equipe nos requisitos da LGPD e nos processos internos do programa. Liderança, donos de processo, RH, comercial, TI — cada perfil recebe treinamento alinhado ao papel que tem no programa.

Treinamento da liderança e donos de processo
Conscientização geral dos colaboradores
Material de referência interno
— Quem opera o programa depois
A Zulti adequa; o cliente opera. A Zulti entrega o programa adequado e a equipe treinada. Depois do hand-off, quem opera o programa LGPD é o cliente — atendimento a titulares, comunicação à ANPD em incidente, revisão de novos tratamentos, atualização de ROPA, designação formal do DPO interno. A Zulti não atua como DPO da empresa; o serviço é de adequação técnica e processual, não de assumir a função de encarregado de dados.
Zulti adequa · cliente opera · DPO segue sendo do cliente
Como compõe

Modalidade única: projeto fechado de adequação. Escopo, prazo e valor combinados antes.

A adequação cabe em projeto fechado — semanas, não anos. Diagnóstico, ROPA, RIPDs, base legal, política, DPA e treinamento entregues com escopo e prazo definidos. Sem mensalidade, sem renovação automática. A Zulti não atua como DPO oficial — o cliente segue tendo seu próprio (interno, contratado ou função compartilhada). Quando a empresa precisa de DPO formal, vale conversar com escritórios de advocacia ou empresas especializadas em DPO terceirizado.

— modalidade única

Projeto fechado de adequação

escopo + prazo + valor combinados antes do start

o que entra
  • Diagnóstico de tratamento contra LGPD (Art. 6º a Art. 12º)
  • ROPA completo no Anchor — todos os tratamentos mapeados
  • RIPDs pra tratamentos de alto risco (IA, sensíveis, escala)
  • Base legal documentada por tratamento (Art. 7º LGPD)
  • Política de Privacidade pública atualizada
  • DPA (Data Processing Agreement) com fornecedores críticos
  • Treinamento e conscientização de liderança, donos de processo e equipe geral
  • Hand-off documentado · sem mensalidade, sem renovação automática
faz sentido quando

Você precisa estar em conformidade com a LGPD — gatilho identificado (ANPD, titular, B2B) ou estruturação proativa — e quer adequação técnica e processual completa com a empresa autônoma pra operar depois. Sem mensalidade, sem virar cliente recorrente.

Adequação ≠ Operação ≠ DPO

A Zulti adequa. Operar e ser DPO seguem com o cliente.

Pra evitar confusão na largada: a Zulti faz adequação técnica e processual (diagnóstico, ROPA, base legal, política, DPA, treinamento). Quem opera o programa no dia a dia (atendimento a titulares, comunicação à ANPD em incidente, revisão de novos tratamentos) é o cliente. Quem é o DPO oficial da empresa é o cliente também — pode ser interno, contratado ou função compartilhada. A Zulti não preenche essa cadeira.

A Zulti faz

Adequação técnica e processual

Diagnóstico, ROPA no Anchor, RIPDs, base legal por tratamento, política de privacidade, DPA com fornecedores, treinamento e conscientização da equipe. Projeto fechado, encerra com hand-off.

Cliente opera

Programa LGPD no dia a dia

Atendimento a titulares no prazo legal de 15 dias, comunicação à ANPD em 72h em incidente, revisão de novos tratamentos, atualização de ROPA. Zulti documenta o processo; cliente executa.

Cliente designa

DPO oficial (Art. 41)

O encarregado de dados é designado formalmente pela empresa — pode ser alguém de jurídico, compliance ou TI; pode ser contratado externo (escritório de advocacia, BPO de privacidade); pode ser função compartilhada. A Zulti não é DPO de cliente.

Adequação feita sob pressão regulatória custa muito mais cara. Adequação estruturada com calendário próprio leva 10–12 semanas e cabe na rotina do time. ROPA construído depois da ANPD notificar, com prazo curto, vira plantão noturno — política improvisada, base legal frágil, RIPD montado em 48h, equipe sem treinamento. A ANPD percebe — e a multa-aviso ou TAC vem com peso maior.

Quando vale adequar

Adequação LGPD cabe em empresa sem time C-level interno — quando o volume de dado pessoal justifica. A Zulti diz na largada se cabe.

Funciona quando a empresa trata dado pessoal em escala que justifica programa formal — cliente B2B em volume, marketing recorrente, RH em crescimento, IA decisória, vídeo monitoramento. Quando o volume é mínimo, quando a operação é massivamente regulada (saúde federal, financeiro federal, telco), ou quando o pedido é só "carimbo LGPD pro site", programa formal não resolve — e a Zulti aponta o caminho certo, sem inflar escopo pra manter contrato.

Vale esse modelo

Quando a Adequação à LGPD entrega valor real.

Empresa notificada ou fiscalizada pela ANPD. A ANPD pediu evidências, abriu fiscalização preliminar, ou tem TAC em negociação. Sem programa formal pronto, é correria sob pressão regulatória — pior cenário possível pra fazer adequação LGPD do zero.
Empresa cobrada por cliente B2B em cláusula LGPD. Cliente corporativo exige ROPA, base legal documentada, DPO formalmente designado (cliente designa o seu) e SLA de atendimento ao titular — sem adequação, o contrato encolhe ou trava. E o próximo cliente do mesmo perfil vai exigir o mesmo.
Empresa lançando novo produto ou sistema que trata dado pessoal. App, plataforma SaaS, CRM novo, ferramenta de IA decisória. Privacy by Design entra na concepção — revisar requisitos antes de codar é muito mais barato que retrofit depois do go-live.
Empresa contratando terceiros que processam dado pessoal. SaaS de marketing, escritório de cobrança, BPO de RH, ferramenta de analytics. DPA (Data Processing Agreement) e controle de subcontratados ficam por sua conta — sem isso, você responde solidariamente por incidente do fornecedor.
Empresa preparando expansão pra setor mais regulado. Vai entrar em vertical com exigência LGPD forte (healthtech, fintech, edtech), abrir B2B com grandes clientes, lançar produto que processa dado pessoal em escala. Adequação prévia evita correria depois — e cliente novo já chega com programa rodando.
Talvez não basta

Quando esse modelo de adequação fica curto.

Operação de dados pessoais em escala massiva (10M+ titulares ativos). Big tech, marketplace nacional, banco digital, telco. O volume diário de solicitações de titulares + a complexidade de RIPDs em IA generalizada exige equipe interna dedicada de privacidade, não projeto pontual de adequação. A Zulti aponta o limite na largada.
Operação regulada onde APD setorial é o regulador principal. BACEN (instituições financeiras), SUSEP (seguradoras), ANS (planos de saúde), ANATEL (telcos). A ANPD coordena, mas o regulador setorial cobra em prazo diário com norma própria. Programa precisa ser dirigido por compliance setorial dedicado, não adequação LGPD genérica.
Cliente que quer Zulti operando os controles técnicos diariamente. Anonimização em pipeline de dados, criptografia em repouso, mascaramento em log, segregação por finalidade no banco. Adequação à LGPD documenta o quê; operação técnica é com MSP, Cibersegurança ou time interno — contrato e escopo separados.
Empresa que quer apenas "política de privacidade pro site". Texto de prateleira pra colocar no rodapé, copiado de outro site, sem ROPA por trás, sem base legal documentada, sem equipe treinada. A Zulti não vende isso — política sem programa rodando é maquiagem que a ANPD enxerga.
Empresa querendo DPO oficial terceirizado pela Zulti. A Zulti não atua como DPO da empresa cliente. Quando você precisa de DPO formalmente designado externo, vale conversar com escritórios de advocacia ou empresas especializadas em DPO terceirizado. A Zulti faz adequação técnica e processual; não preenche a cadeira de DPO.
A Zulti adequa e sai. Diferente de DPO terceirizado ou consultoria que mora dentro, o objetivo da Adequação à LGPD da Zulti é deixar a empresa autônoma pra operar o programa — ROPA estruturado, base legal documentada, equipe treinada, processo escrito. Depois do hand-off, o cliente segue com seu próprio DPO (interno, contratado ou função compartilhada) e sua própria operação. Quando o cenário pede governança ampla de SI integrada à LGPD, vale revisitar Segurança e Conformidade.
Perguntas frequentes

Antes de enfrentar a adequação LGPD, todo CEO pergunta o mesmo. Aqui as respostas, sem floreio.

O que a ANPD cobra, o que se resolve em meses, e o que vira operação contínua.

Como funciona o projeto fechado de Adequação à LGPD? Em quanto tempo fica pronto? +
~12 semanas, quatro frentes. Diagnóstico (semanas 1–3): gap analysis contra LGPD, levantamento dos tratamentos vigentes, postura de privacidade atual. Mapeamento + RIPD (semanas 3–7): ROPA completo no Anchor com todos os tratamentos, RIPDs nos tratamentos de alto risco (IA, sensíveis, escala). Base Legal + Política + DPA (semanas 6–10): definição de base legal por tratamento, política de privacidade pública, DPA com terceiros. Treinamento + Conscientização (semanas 10–12): capacitação da liderança, donos de processo e colaboradores em geral. Hand-off documentado no encerramento. Sem mensalidade, sem renovação automática — a empresa fica autônoma pra operar.
A Zulti atua como DPO da minha empresa? +
Não. A Zulti faz adequação técnica e processual à LGPD — diagnóstico, ROPA, RIPDs, base legal, política, DPA, treinamento. O DPO oficial da empresa segue sendo do cliente, designado conforme Art. 41 da LGPD — pode ser alguém interno (jurídico, compliance, TI), pode ser contratado externo (escritório de advocacia, BPO de privacidade), pode ser função compartilhada. Atendimento a titulares no prazo legal, comunicação à ANPD em incidente, revisão de novos tratamentos: tudo isso é operado pelo cliente depois do hand-off. A Zulti estrutura o programa; o cliente opera. Quando você precisa de DPO terceirizado, vale conversar com escritórios especializados — não é nosso escopo.
Tem mensalidade depois do projeto? Como funciona renovação? +
Não tem mensalidade, não tem renovação automática. O projeto fechado de Adequação à LGPD encerra no entregável — ROPA completo no Anchor, RIPDs montados, base legal definida, política publicada, DPA com fornecedores e treinamento aplicado. Você sai dali com o programa rodando e o contrato encerrado. Se depois você precisar de revisão pontual (novo tratamento, novo regulamento da ANPD, RIPD em sistema novo), vale contratar como projeto pontual via Outsourcing, com escopo e valor próprios — não renovação artificial do contrato de adequação.
Qual a diferença entre Adequação à LGPD e Segurança & Conformidade da Zulti? +
Gatilho e escopo diferentes. Adequação à LGPD parte do dado pessoal como objeto: ROPA, base legal, política de privacidade, RIPD, processo de atendimento a titular, treinamento da equipe. Gatilho típico: notificação da ANPD, solicitação de titular, cláusula LGPD em contrato B2B, incidente de privacidade. Segurança & Conformidade (página dedicada) parte da governança ampla: programa ISO 27001 + LGPD integrada, políticas, controles, evidências, audit-readiness. Gatilho típico: cliente Tier-1 pedindo questionário, due diligence de M&A, auditor com prazo. Os dois se cruzam mas têm pontos de partida distintos — cliente que precisa dos dois compra os dois, com escopos desenhados pra não cobrar duas vezes a mesma evidência.
O ROPA fica hospedado no Anchor. Se eu encerrar o contrato, perco tudo? Posso exportar? +
Exporta tudo. O Anchor é a plataforma de GRC da Zulti — operada por nós durante o projeto de adequação. O conteúdo (ROPA, RIPDs, base legal documentada, políticas, DPAs, material de treinamento) é seu: contratualmente, no encerramento do projeto você recebe export completo em formato aberto — PDF dos documentos + ZIP estruturado com JSON dos metadados do ROPA — pronto pra subir em qualquer outro GRC, em planilha ou drive corporativo. Depois do hand-off, o cliente decide se continua operando com o material exportado ou se contrata outra plataforma. Sem lock-in.
Para quem NÃO é

Adequação real não é checklist de site.

Honestidade comercial é o que nos sustenta há quase uma década. Em alguns cenários, outro modelo cabe melhor — listamos abertamente pra você economizar tempo de avaliação.

Você quer só política de privacidade pro rodapé do site — texto de prateleira, copiado de outro site. A Zulti não vende isso. Política sem ROPA por trás, sem base legal documentada por tratamento e sem treinamento aplicado é decoração — a ANPD percebe na primeira fiscalização e o cliente B2B percebe na due diligence.
Você quer a Zulti operando os controles técnicos no ambiente — anonimização em pipeline de dados, criptografia em repouso, mascaramento em log, segregação por finalidade no banco. Adequação à LGPD documenta o "o quê" e o "por quê"; controles técnicos são com MSP, Cibersegurança ou time interno — contrato e escopo separados.
Sua empresa opera dado pessoal em escala massiva — 10M+ titulares ativos, big tech, marketplace nacional, banco digital, telco. Projeto pontual de adequação não cobre o volume diário de solicitações + a complexidade de RIPDs em IA generalizada. Esse perfil precisa de equipe interna dedicada de privacidade.
Você está em operação regulada onde APD setorial é o regulador principal — BACEN (instituições financeiras), SUSEP (seguradoras), ANS (planos de saúde), ANATEL (telcos). A ANPD coordena, mas o regulador setorial cobra em prazo diário com norma própria. Programa precisa ser dirigido por compliance setorial dedicado.
Você quer parecer pra justificar decisão já tomada — "validação LGPD" encomendada pra cobrir escolha interna de fornecedor ou tratamento. A Zulti dá leitura honesta da postura LGPD; quando a recomendação contraria a decisão preferida do cliente, ela vai assim mesmo. Se o objetivo é referendo, esse modelo vira atrito.
Sua empresa ainda não tem patrocínio interno definido pro programa LGPD — quem responde por privacidade na diretoria, quem aprova base legal, quem libera comunicação a titular ou à ANPD. A Zulti estrutura programa que precisa de owner pra rodar; se ninguém de dentro está disponível pra patrocinar, o programa fica de pé mas não anda.
Mais da Zulti

Recursos pensados para cobrir todos os aspectos da sua TI.

Operação
Cibersegurança defesa em camadas · contínua
Serviços Gerenciados (MSP) manter TI rodando · mensal
Cloud migração · hosting · workspace
Projetos
Desenvolvimento de Plataformas plataforma sob medida · em semanas
Outsourcing por projeto projeto técnico pontual · sem MSP
Estratégia
CISO as a Service direção de segurança sob demanda
CTO as a Service direção de tecnologia sob demanda
Segurança e Conformidade maturidade de TI · ISO + PESI
Próximo passo

Conta o gatilho LGPD que apareceu (ANPD, contrato de cliente, incidente). A gente diz se faz sentido começar agora.

Conversa direta de 15 minutos. Sem pacote de prateleira, sem proposta de quarenta páginas. Quem atende é quem decide.

Envie um email [email protected]
WhatsApp direto com o responsável (19) 99889-4473
Nosso Instagram @zulti.tecnologia

Seus dados são usados só pra te responder. Detalhes na Política de Privacidade.