Conformidade12 min de leitura

15 indicadores de maturidade LGPD que todo DPO deveria acompanhar

Equipe Confidata·
Compartilhar

"O que não se mede, não se gerencia." A frase de Deming é tão válida para qualidade industrial quanto para conformidade com a LGPD. Um programa de privacidade sem indicadores é um programa que não sabe se está avançando, estagnado ou regredindo — e que não tem como demonstrar à alta direção, à ANPD ou a parceiros comerciais que funciona na prática.

Este guia apresenta os 15 indicadores de maturidade LGPD mais relevantes, organizados em quatro categorias, com referências ao marco regulatório brasileiro e às práticas internacionais consolidadas.

Os níveis de maturidade em LGPD: onde sua organização está?

Antes de medir indicadores isolados, é útil entender em qual nível de maturidade a organização se encontra. O modelo mais consolidado no Brasil — baseado no CMM (Capability Maturity Model), adaptado para proteção de dados — usa cinco níveis:

NívelNomeCaracterísticas
1InicialAções eventuais, não programadas. Conformidade depende de esforços individuais. Nenhum processo formal.
2RepetívelPráticas operacionais básicas implementadas. Conformidade possível, mas inconsistente.
3DefinidoPolíticas, normas e processos formalizados. ROPA, políticas de privacidade e RIPD existem e são seguidos.
4GerenciadoKPIs e indicadores monitorados. Decisões baseadas em dados. Auditorias internas regulares.
5OtimizadoMelhoria contínua baseada em evidências. Privacy by Design incorporado. Cultura organizacional consolidada.

Dado de referência: A pesquisa Alvarez & Marsal revelou que 61% das empresas brasileiras avaliadas têm percepção de baixa maturidade (0 a 40% dos requisitos atendidos). Um estudo de 2023 apontou que apenas 36% das organizações brasileiras se consideram totalmente aderentes à LGPD. A maioria está nos níveis 1 e 2.

Chegar ao nível 4 — gerenciado — requer justamente a implementação dos indicadores apresentados neste guia.

Por que medir maturidade? A base legal e a lógica regulatória

O Art. 50 da LGPD exige que o programa de governança em privacidade seja "atualizado constantemente com base em informações obtidas a partir de monitoramento contínuo e avaliações periódicas" (Art. 50, §2°, I, h). Sem métricas, esse monitoramento contínuo é impossível.

Além disso, a Resolução CD/ANPD Nº 4/2023 (dosimetria de sanções) prevê redução de 20% no valor da multa para organizações que demonstrem "implementação de política de boas práticas e de governança ou adoção reiterada de mecanismos e procedimentos internos capazes de minimizar danos". Indicadores documentados e acompanhados são a evidência mais clara dessa "adoção reiterada".

Os 15 indicadores — organizados por categoria

Categoria A: Indicadores de Governança (5 indicadores)

Medem a estrutura e a documentação do programa de privacidade.

Indicador 1 — Cobertura do ROPA

O que mede: Percentual de atividades de tratamento de dados pessoais mapeadas e com base legal documentada, sobre o total estimado de atividades existentes na organização.

Como medir: (Atividades no ROPA com base legal registrada ÷ Total de atividades de tratamento identificadas) × 100

Meta: 100% — não há conformidade aceitável com ROPA incompleto.

Base legal: Art. 37 da LGPD — registro obrigatório das operações de tratamento.

Referência: A ausência ou incompletude do ROPA foi infração identificada nos processos sancionatórios contra a Telekall e a SEEDF.

Indicador 2 — Atualização do ROPA

O que mede: Data da última revisão completa do inventário de dados pessoais.

Como medir: Data da última revisão vs. política interna de revisão (recomendado: revisão completa anual; revisão pontual sempre que houver novo tratamento ou mudança relevante).

Meta: Revisão completa há no máximo 12 meses; revisões pontuais documentadas sempre que novos tratamentos foram iniciados.

Relevância prática: ROPA desatualizado é, para a ANPD, quase tão problemático quanto ROPA inexistente — não reflete a realidade do tratamento.

Indicador 3 — Cobertura de contratos com operadores (DPAs)

O que mede: Percentual de fornecedores que tratam dados pessoais em nome da organização que possuem DPA assinado e vigente.

Como medir: (Fornecedores com DPA vigente ÷ Total de fornecedores com acesso a dados pessoais) × 100

Meta: 100% para fornecedores de alto risco (dados sensíveis, dados em larga escala); mínimo 80% para médio e baixo risco.

Base legal: Art. 39 (operador deve seguir instruções do controlador) + Art. 42 (responsabilidade solidária).

Indicador 4 — Cobertura de RIPDs para atividades de alto risco

O que mede: Percentual de atividades de tratamento classificadas como "alto risco" (conforme critérios da Resolução CD/ANPD Nº 2/2022) que possuem RIPD elaborado.

Como medir: (Atividades de alto risco com RIPD ÷ Total de atividades de alto risco identificadas) × 100

Meta: 100% para atividades com dados sensíveis, dados de crianças, decisões automatizadas ou tecnologias emergentes.

Base legal: Art. 38 da LGPD.

Indicador 5 — Pendências de conformidade abertas

O que mede: Número de não-conformidades identificadas em auditorias internas ou externas que ainda não foram resolvidas, segmentadas por criticidade (alta, média, baixa).

Como medir: Contagem direta de itens abertos no plano de ação da auditoria, com prazo original de resolução.

Meta: Zero pendências de alta criticidade; máximo 5 de média criticidade; prazo médio de resolução < 30 dias para alta e < 90 dias para média.

Relevância prática: Este indicador revela se o programa de conformidade é funcional ou apenas documental.

Categoria B: Indicadores Operacionais (5 indicadores)

Medem o funcionamento diário do programa de privacidade.

Indicador 6 — Taxa de atendimento a titulares no prazo

O que mede: Percentual de solicitações de titulares (acesso, correção, eliminação, portabilidade, revogação de consentimento, etc.) respondidas dentro do prazo legal.

Como medir: (Solicitações respondidas no prazo ÷ Total de solicitações recebidas) × 100

Meta: 100%

Base legal: Art. 19 da LGPD define prazos: imediatamente para resposta simplificada; até 15 dias para resposta completa sobre existência e acesso a dados. Para os demais direitos, boa prática é usar os mesmos 15 dias como referência.

Dado preocupante: Um canal de atendimento que não responde no prazo foi exatamente o que motivou a notificação de 20 grandes empresas pela ANPD em dezembro de 2024.

Indicador 7 — Volume de solicitações de titulares por tipo

O que mede: Distribuição das solicitações recebidas por tipo de direito exercido (acesso, correção, eliminação, portabilidade, oposição, informação sobre compartilhamento).

Como medir: Classificação e contagem por categoria a cada ciclo (mensal ou trimestral).

Para que serve: Picos em determinados tipos de solicitação indicam problemas específicos — pico em "eliminação" pode indicar que titulares estão frustrados com a impossibilidade de sair das listas de marketing; pico em "acesso" pode indicar desconfiança sobre o uso dos dados.

Meta: Não há meta de volume — o objetivo é a tendência. Volume crescente sem crescimento proporcional da operação pode indicar problema sistêmico.

Indicador 8 — Número de incidentes de segurança por trimestre

O que mede: Total de incidentes de segurança que envolveram dados pessoais, independentemente de terem sido comunicados à ANPD.

Como medir: Contagem de incidentes registrados no sistema de gestão de incidentes (obrigação de registro: todos os incidentes, por 5 anos — Resolução Nº 15/2024).

Meta: Redução trimestre a trimestre. Zero incidentes é improvável; zero incidentes não registrados é a meta real.

Subcategoria importante: Separar incidentes por causa (erro humano, falha técnica, ataque externo) — cada causa tem resposta diferente.

Indicador 9 — Tempo de notificação à ANPD (quando aplicável)

O que mede: Tempo decorrido entre o conhecimento do incidente e o envio da comunicação à ANPD, nos casos que exigiram notificação (Resolução CD/ANPD Nº 15/2024).

Meta: Menor que 3 dias úteis (prazo legal). Para grandes organizações, meta interna de 48 horas para comunicação preliminar.

Relevância sancionatória: O atraso na notificação foi infração em 7 dos 9 primeiros processos sancionatórios da ANPD. O INSS comunicou os titulares 8 meses após o incidente — o que foi tratado como agravante.

Indicador 10 — Prazo médio de resolução de incidentes

O que mede: Tempo médio entre a detecção de um incidente e a sua resolução completa (contenção + remediação + documentação).

Como medir: Média do tempo de resolução de todos os incidentes no período.

Meta: Varia por tipo e gravidade. Incidentes críticos: resolução em menos de 72 horas; médios: menos de 7 dias; baixos: menos de 30 dias.

Para que serve: Identifica gargalos no processo de resposta e mede a eficácia das melhorias implementadas após incidentes anteriores.

Categoria C: Indicadores Técnicos (2 indicadores)

Medem a implementação de controles de segurança para proteção de dados pessoais.

Indicador 11 — Cobertura de controles de segurança em sistemas com dados pessoais

O que mede: Percentual de sistemas que processam dados pessoais que possuem os controles mínimos implementados: criptografia em repouso e em trânsito, controle de acesso baseado em função (RBAC), log de auditoria e backup testado.

Como medir: Inventário de sistemas cruzado com checklist de controles por sistema. (Sistemas com todos os controles ÷ Total de sistemas com dados pessoais) × 100

Meta: 100% para sistemas com dados sensíveis; 90%+ para demais sistemas.

Base legal: Art. 46 da LGPD — medidas técnicas e administrativas aptas a proteger dados.

Indicador 12 — Percentual de novos projetos com revisão de privacidade prévia

O que mede: Percentual de novos produtos, sistemas ou processos que passaram por avaliação de privacidade (Privacy by Design) antes de serem lançados ou implantados.

Como medir: (Novos projetos com revisão de privacidade antes do lançamento ÷ Total de novos projetos lançados) × 100

Meta: 100% para projetos que envolvam tratamento de dados pessoais.

Referência: Privacy by Design é mencionado implicitamente no Art. 46, §2º da LGPD e é um dos requisitos do Mapa de Temas Prioritários 2026-2027.

Categoria D: Indicadores de Cultura (3 indicadores)

Medem se a privacidade está sendo internalizada pelas pessoas e não apenas documentada nos sistemas.

Indicador 13 — Taxa de conclusão de treinamentos em proteção de dados

O que mede: Percentual de colaboradores que completaram todos os treinamentos obrigatórios em proteção de dados dentro do prazo.

Como medir: (Colaboradores com treinamentos concluídos ÷ Total de colaboradores elegíveis) × 100

Meta: 95%+ (considerando ausências temporárias e novos ingressantes em onboarding).

Base legal: Art. 41, §2°, III (encarregado orienta funcionários) + Art. 50 (ações educativas no programa de governança).

Indicador 14 — Taxa de cliques em simulações de phishing

O que mede: Percentual de colaboradores que clicaram em e-mails de phishing simulado nas campanhas periódicas.

Como medir: (Colaboradores que clicaram no e-mail simulado ÷ Total de colaboradores na simulação) × 100

Meta: Redução contínua. Taxa inicial típica no mercado: 20-30%. Meta de médio prazo: abaixo de 5%.

Por que importa: 80% dos vazamentos de dados envolvem erro humano (Verizon DBIR 2024). Phishing é o vetor mais comum. Organizações com programa de simulação reduzem cliques em até 50% em 12 meses.

Indicador 15 — Índice de reporte interno de incidentes

O que mede: Número de incidentes e suspeitas de incidentes reportados pelos colaboradores ao canal interno (em relação ao total de incidentes identificados por qualquer meio).

Como medir: (Incidentes identificados por reporte dos colaboradores ÷ Total de incidentes identificados) × 100

Meta: Aumento contínuo. Um índice alto indica que os colaboradores conhecem o canal, sentem que podem reportar sem medo e entendem o que constitui um incidente.

Interpretação correta: Aumento no reporte interno é sinal positivo de cultura — não de mais problemas. Organizações maduras têm mais incidentes reportados internamente porque constroem ambientes de segurança psicológica para reportar.

Como estruturar o dashboard de conformidade do DPO

Um dashboard eficaz tem três camadas:

Camada executiva (para alta direção — mensal/trimestral):

  • Índice geral de maturidade (score 1-5 ou 0-100)
  • Status de conformidade por categoria (governança, operacional, técnico, cultura)
  • Alertas críticos ativos
  • Evolução vs. período anterior

Camada operacional (para o DPO — semanal):

  • SLA de atendimento a titulares (% no prazo)
  • Incidentes: abertos / em análise / resolvidos
  • Treinamentos: cobertura por departamento
  • Pendências de conformidade por criticidade

Camada de governança (para o comitê de privacidade — trimestral):

  • Status do ROPA e próximas revisões
  • DPAs vigentes vs. pendentes
  • RIPDs elaborados vs. necessários
  • Planos de ação abertos de auditorias

Princípios fundamentais para o dashboard:

  • Cada indicador tem responsável e periodicidade de atualização definidos
  • Permite comparação entre períodos (tendência é mais informativa que valor pontual)
  • Reflete a complexidade real da organização — não use modelos genéricos sem adaptação
  • É apresentado regularmente à alta gestão (requisito implícito do Art. 50 e explícito da Resolução Nº 18/2024, que exige que o Encarregado atue como canal e preste contas)

Benchmarks de maturidade no Brasil

Os dados disponíveis no mercado brasileiro são:

  • 61% das empresas avaliadas pela Alvarez & Marsal têm baixa maturidade (0-40% dos requisitos atendidos)
  • 36% das organizações se consideram totalmente aderentes (IT Trends Snapshot, 2023)
  • 20% das empresas estão completamente adequadas; 43% ainda em implementação (Estudo Daryus, 200 empresas)
  • 77% dos pequenos empreendedores não tomaram nenhuma providência concreta apesar de conhecerem a LGPD (Sebrae, 2025)

A leitura prática: estar no nível 3 (processos definidos e documentados) já coloca a organização no quartil superior do mercado brasileiro. Chegar ao nível 4 (gerenciado, com KPIs) é exceção — e exatamente o diferencial que a ANPD reconhece como "boas práticas" na dosimetria de sanções.

Conclusão

Os 15 indicadores apresentados neste guia não são escolha arbitrária — são derivados do que a LGPD exige (Arts. 37, 38, 41, 46, 50), do que a ANPD verificou em seus processos sancionatórios e do que a Resolução Nº 4/2023 reconhece como atenuante.

Um DPO que acompanha esses indicadores tem visibilidade real sobre o estado do programa, argumento concreto para pedir recursos à alta direção e evidência documentada para apresentar à ANPD em caso de fiscalização.

Comece pelos cinco de governança — são os que a ANPD verifica primeiro. Adicione os operacionais e evolua para os de cultura à medida que o programa amadurece.

O Confidata centraliza os indicadores de maturidade LGPD em dashboards integrados, conectando inventário de dados, gestão de incidentes, atendimento a titulares e registros de treinamento em um único painel de conformidade.

Compartilhar
#maturidade LGPD#KPIs privacidade#indicadores conformidade#dashboard DPO#métricas LGPD#programa de governança

Artigos relacionados

Ciclo PDCA aplicado à conformidade LGPD: melhoria contínua em privacidadeConformidade · 12 minFramework de maturidade LGPD: os 5 níveis de conformidadeConformidade · 15 minComo estruturar um comitê de privacidade e proteção de dadosConformidade · 11 minPrograma de Governança em Privacidade — Art. 50 da LGPD na PráticaConformidade · 15 min

Quer ir além? Conheça o Confidata

Sistema completo de gestão de conformidade LGPD com IA integrada para acelerar seu programa de privacidade.

© 2026 Confidata — Todos os direitos reservados|Privacidade|Cookies
Falar com especialista