O que você vai ler

  1. Por que o mapa importa mais que política
  2. Controlador vs operador: a distinção que muda tudo
  3. As quatro fontes onde dado pessoal entra na sua operação
  4. Template do ROPA (a tabela que advogado e ANPD esperam)
  5. Base legal: por que cada coleta é permitida
  6. Retenção: por quanto tempo guardar cada coisa
  7. Pontos cegos que a maioria das PMEs ignora

Esse artigo nasce depois de eu fazer exatamente o que vou te ensinar. Passei uma tarde inteira mapeando os dados pessoais que a minha operação coleta. Foi desconfortável e revelador em medidas iguais. Saí com clareza que eu não tinha antes, e com uma lista de coisas que precisavam ser ajustadas. Mais útil que qualquer curso teórico de LGPD que eu já tinha lido.

O motivo: política de privacidade você pode copiar de outro site. O ROPA não. ROPA exige que você OLHE pra dentro da sua operação real, sistema por sistema, e responda perguntas concretas que não cabem em template genérico. Por isso ele é o documento mais valioso pra dono de PME que quer se proteger.

Por que o mapa importa mais que política

A maioria das empresas que faz LGPD começa pela parte errada: contrata advogado, ganha uma política de privacidade de oito páginas, cola no site e considera resolvido. Isso é teatro de compliance.

A LGPD não te protege porque você tem política bonita. Te protege quando você consegue:

  1. Saber, com precisão, que dado pessoal está dentro da sua empresa
  2. Justificar, com base legal, por que ele está lá
  3. Comprovar, com processo, o que faria se um titular pedisse "me esqueça"

Essas três coisas vêm do mapa de dados, não da política. O ROPA (Registro de Operações de Tratamento) é exatamente isso: um documento estruturado que responde "que dado tenho, onde está, por quê, por quanto tempo".

Empresa pequena não é obrigada legalmente a manter ROPA formal. Mas é obrigada a saber tudo isso. ROPA é só o formato organizado de uma obrigação que existe de qualquer jeito.

A regra simples

Se um cliente seu pedir hoje "me esqueça", você consegue encontrar e deletar tudo dele em quanto tempo? Se a resposta é "não sei" ou "alguns dias procurando", você precisa fazer o mapa.

Controlador vs operador: a distinção que muda tudo

Antes do mapa, dois conceitos que precisam estar firmes. Eles parecem chatos mas mudam contrato, mudam política, mudam quem responde por quê.

Controlador: a empresa que DECIDE o que coletar e por quê. É o dono primário da relação com o titular. A multa LGPD cai primeiro aqui.

Operador: a empresa que TRATA dado por conta e ordem de outro. Tem responsabilidades também (manter segurança, seguir contrato, notificar incidente), mas o controlador é o responsável primário perante o titular.

Por que isso importa: a maioria das agências, prestadoras de serviço B2B e SaaS é HÍBRIDA. Você é controlador de uns dados e operador de outros, ao mesmo tempo.

Exemplos práticos:

  • Sua agência tem um lead que preencheu formulário no SEU site. Você é controlador desse lead.
  • Sua agência gerencia o WhatsApp de um cliente e armazena as conversas dos pacientes dele. O cliente é controlador, você é operador.
  • Você tem um SaaS onde dentistas cadastram pacientes. O dentista é controlador, você é operador.
  • Você vende um curso pelo Hotmart. Você é controlador do aluno (Hotmart compartilha contigo). Hotmart também é controladora pelos próprios fins.

Essa separação precisa estar EXPLÍCITA no seu mapa, porque as responsabilidades, os contratos e os direitos do titular são diferentes em cada caso.

As quatro fontes onde dado pessoal entra na sua operação

Pra fazer um mapa decente, você precisa primeiro entender por onde o dado ENTRA. Toda operação de PME tem alguma combinação destas quatro:

Fonte 1: Coleta direta pública

Formulários no seu site, landing pages, cadastros, botões de WhatsApp, cookies. Pessoa preenche e o dado entra na sua base. Você é geralmente controlador.

Exemplos: formulário "Quero saber mais", popup de newsletter, cadastro pra agendar consulta, comentários em blog.

O que pergunta no ROPA: que dado coleta exatamente? Em que momento? Com qual finalidade? O cliente consente de forma clara antes de submeter?

Fonte 2: Operação de cliente (B2B)

Você presta serviço pra outra empresa, e nessa operação manipula dado dos clientes finais dela. Aqui você é operador, ela é controladora.

Exemplos: agência que faz Google Ads pra um e-commerce (manipula leads dele), prestadora que cuida do WhatsApp de um terapeuta (manipula mensagens dos pacientes), contador que processa folha de cliente (manipula dados dos funcionários do cliente).

O que pergunta no ROPA: tem contrato de operador (DPA) assinado com esse cliente? Se ele pedir auditoria, você tem o que mostrar?

Fonte 3: Integração com plataforma externa

Plataforma de pagamento, ferramenta de CRM, serviço de email, plataforma de curso. Dado vai e vem entre a sua operação e a delas via API ou webhook.

Exemplos: webhook do Hotmart te avisando de compra, integração com Asaas pra cobrança, sync de Custom Audiences pro Meta Ads, OAuth com Google Calendar.

O que pergunta no ROPA: quem é controlador, quem é operador, em cada lado da integração? Esse fornecedor está listado na sua política como subprocessador? Tem cláusula contratual de proteção de dado com ele?

Fonte 4: Tracking comportamental

Cookies, pixels, analytics, heatmaps, gravação de sessão. Coleta indireta, geralmente automatizada, sobre o comportamento do visitante. Tecnicamente é dado pessoal (LGPD considera IP e cookie identificador).

Exemplos: Google Analytics 4, Meta Pixel, Microsoft Clarity, Hotjar, GTM, qualquer coisa que faça fingerprint.

O que pergunta no ROPA: você tem Consent Mode v2 ou equivalente? O usuário pode aceitar/recusar antes do tracking começar? A política menciona cada um dos pixels que você usa?

Template do ROPA (a tabela que advogado e ANPD esperam)

Aqui está o formato que advogado, ANPD e empresa cliente esperam ver quando perguntam pelo seu ROPA. Use como template, preenche com a sua realidade.

Cada linha do ROPA descreve UM tipo de dado pessoal que a sua operação trata. Não precisa cobrir cada coluna de banco. Precisa cobrir cada CATEGORIA significativa. 

| # | Tipo de dado | Origem da coleta | Sistema (onde mora) | Base legal | Compartilhamento | Retenção | Papel meu |
|---|---|---|---|---|---|---|---|
| 1 | [exemplo: leads do funil] | [como entrou: form, WA, etc] | [CRM, planilha, sistema X] | [legítimo interesse / consentimento / contrato] | [com quem mais vai: ferramenta, parceiro] | [12 meses / contrato + 5 anos / etc] | [Controlador / Operador] |

Linhas que praticamente toda PME precisa preencher:

  • Leads do funil próprio
  • Clientes pagantes (CPF/CNPJ pra emissão de NF)
  • Visitantes do site (cookies + analytics)
  • Conversas de atendimento (WhatsApp, email, chat)
  • Currículos recebidos (se você contrata)
  • Funcionários (folha)
  • Dados de clientes-finais dos seus clientes (se você é operador)
  • Integrações com plataformas externas (Google, Meta, Hotmart, Asaas, etc)

Quantas linhas no seu ROPA? Geralmente entre 8 e 20 pra operação de PME. Se você tem menos de 5, provavelmente está esquecendo de alguma coisa. Se tem mais de 30, provavelmente está granular demais.

A LGPD tem 10 bases legais possíveis pra tratamento de dado pessoal (art. 7º). Pra PME, normalmente você vai usar quatro:

Consentimento (art. 7º, I): o titular concorda livremente, de forma específica, pra finalidade clara. Bom pra marketing direto, newsletter, cookies não-essenciais.

Execução de contrato (art. 7º, V): tratamento necessário pra cumprir contrato com o titular. Bom pra clientes pagantes, alunos de curso, dados fiscais.

Cumprimento de obrigação legal (art. 7º, II): a lei te obriga (Receita, fiscalização, etc). Bom pra CPF/CNPJ em NF, escrituração contábil.

Legítimo interesse (art. 7º, IX): tratamento necessário pra interesse legítimo seu ou do titular, desde que não prevaleça os direitos do titular. Útil pra prospecção B2B, análise de fraude, segurança operacional. Exige LIA (avaliação de impacto) documentado.

Cada linha do seu ROPA precisa apontar UMA dessas (ou outra, mais específica). "Coleto porque preciso" não é base legal.

Cuidado com legítimo interesse

A tentação é colocar "legítimo interesse" em tudo porque parece menos rígido que consentimento. Mas exige LIA escrito (estudo que prova que sua necessidade prevalece sobre o direito do titular), e o titular pode se opor a qualquer momento. Não é atalho, é base com requisitos diferentes.

Retenção: por quanto tempo guardar cada coisa

Princípio LGPD: dado pessoal deve ser tratado pelo tempo MÍNIMO necessário pra finalidade. Guardar pra sempre "por garantia" é violação.

Sugestão prática de retenção pra cada tipo:

  • Lead que nunca comprou: 12 a 24 meses depois da última interação. Depois disso, deleta ou anonimiza.
  • Cliente ativo: durante toda a relação contratual
  • Cliente inativo: 5 anos depois do fim do contrato (prazo prescricional civil)
  • Dado fiscal (NF, CPF de pagante): 5 anos (Receita Federal)
  • Conversas de atendimento: 12 meses tipicamente
  • Logs de acesso e segurança: 6 meses (Marco Civil)
  • Cookies analíticos: 13 a 26 meses (padrão GA4)
  • Currículo: 12 meses (se não contratou)

Não tem regra única. Mas tem que ter regra ESCRITA. E tem que ter PROCESSO pra cumprir (cron job, rotina manual, política de backup).

Confissão: na minha operação, quando fui mapear, descobri que nenhum sistema tinha retenção implementada. Mensagens de WhatsApp de cinco meses atrás ainda estavam lá, intactas. Esse foi um dos achados mais desconfortáveis e mais úteis. Agora tenho prazo de implementação.

Pontos cegos que a maioria das PMEs ignora

Esses são os erros que eu vi (e fiz). Anote pra checar no seu ROPA:

1. Custom Audiences sincronizadas pro Meta sem documentar

Se você manda lista de emails ou hash de telefone pro Meta Ads pra fazer público customizado, isso é transferência internacional de dado pessoal. LGPD art. 33 exige base legal específica. A maioria não documenta.

2. Backup nunca pensado como dado pessoal

Backup do seu banco contém todos os dados pessoais que o banco tinha. Onde mora esse backup? Quem acessa? Por quanto tempo guarda? Pedido de "me esqueça" exige deletar do backup também (ou ter justificativa pra reter por prazo legal).

3. Anexo de email com PII

Cliente te manda uma planilha por email com nome+CPF+email dos funcionários dele pra você fazer alguma coisa. Esse email fica no seu Gmail. Esse anexo fica no seu Drive. Em quanto tempo isso some? Quem mais na sua equipe acessa esse email?

4. Logs de aplicação que registram payload

Servidor web e aplicação que logam request body em arquivo de log. Se o request body tinha CPF, email, telefone, tudo isso está em texto puro no log. Logs ficam quanto tempo? Quem acessa?

5. Planilhas no Google Drive sem expirar

"Lista de leads 2023.xlsx" ainda está lá com 1500 contatos. Faz parte do tratamento? Tem base legal vigente? Tem retenção? Geralmente não.

6. Compartilhamento informal via WhatsApp

"Ei, manda o contato daquele cliente pra mim" no WhatsApp do time. Você acabou de transferir PII pra um terceiro (Meta/WhatsApp) sem registro. Multiplique isso por todas as vezes que aconteceu no último ano.

7. Ex-prestador ainda com acesso

Agência que cuidava do seu Google Ads há dois anos ainda tem acesso aos seus Conversion Actions porque ninguém revogou. Cada conta com acesso é uma porta. Quantas portas você tem?

Quer ajuda pra fazer seu ROPA na prática?

Se você prefere pular o trabalho de mapeamento sozinho e ter alguém implementando isso na sua operação (com agentes de IA conectados na sua stack), é exatamente pra isso que existe o Team Studio.

Conversar no WhatsApp

O que vem depois do mapa

Mapa pronto, o próximo passo é transformar os achados em ação:

  1. Contrato de operador (DPA) com cada cliente B2B onde você é operador. Próximo artigo do Aprenda.
  2. Política de privacidade revisada pra refletir o mapa real (não a versão genérica que estava lá antes).
  3. Procedimento de incidente: o que você faz se descobrir vazamento.
  4. Procedimento de titular: o que você faz quando alguém pede acesso, correção ou exclusão.
  5. Retenção implementada: cron jobs ou rotina manual deletando dado fora do prazo.
  6. Lista de subprocessadores publicada (todas as ferramentas/plataformas que você usa pra tratar dado pessoal).

Cada um desses ítens é desdobramento direto do que o mapa expõe. Sem mapa, esses outros documentos viram improviso.

Perguntas frequentes

Preciso mesmo fazer ROPA na minha PME?
A LGPD não obriga formalmente empresas pequenas a manter ROPA, mas obriga TODAS as empresas a saber o que coletam e por quê. ROPA é só o formato organizado dessa obrigação. Se você não tem o documento, vai ter que improvisar quando vier auditoria ou processo. Improvisar nesse contexto é caro. O documento custa uma tarde de trabalho.
Sou controlador ou operador?
Depende do dado. Você pode ser controlador de uns (seus leads diretos) e operador de outros (dados dos clientes dos seus clientes). A maioria das agências e prestadoras de serviço B2B é HÍBRIDO. O mapa de dados precisa separar uma coisa da outra explicitamente, porque as responsabilidades são diferentes.
Posso usar template de ROPA da internet?
Template é ponto de partida, não chegada. Cada operação coleta dados diferentes, tem fluxos diferentes, integra com fornecedores diferentes. Use template pra entender a estrutura, mas preencha com a sua realidade. Documento de outra empresa colado no seu não protege ninguém.
Quanto tempo guarda cada dado?
Princípio LGPD: o mínimo necessário pra finalidade. Lead de funil ativo que comprou: enquanto o relacionamento durar. Lead que nunca comprou: 12 a 24 meses depois da última interação. Dado fiscal (NF, CPF de cliente pagante): 5 anos por exigência da Receita. Conversa de atendimento: 12 meses normalmente. Não tem regra única, mas tem que ter definição escrita.
O que acontece se eu não tiver mapa quando vier auditoria?
ANPD pode aplicar advertência, multa de até 2% do faturamento (limitada a R$ 50 milhões por infração), publicizar a infração, bloquear ou eliminar os dados envolvidos. Cliente seu pode te processar civilmente. Empresa contratante (se você é operador) pode rescindir contrato. Ter o mapa não evita problema, mas evita que você se torne o exemplo do problema.