As 18 documentações obrigatórias que todo programa LGPD precisa ter

Conformidade com a LGPD não é apenas um estado — é uma prova. A Autoridade Nacional de Proteção de Dados (ANPD) não aceita afirmações de conformidade como evidência. Aceita documentação.

O princípio da accountability (Art. 6º, X da LGPD) exige que o controlador demonstre a adoção de medidas eficazes e capazes de comprovar o cumprimento das normas. Em uma investigação da ANPD, em um processo judicial ou em uma due diligence comercial, o que conta é o que está registrado — não o que foi feito sem registro.

Este guia apresenta as 18 documentações que compõem um programa de conformidade LGPD completo, organizadas por sua obrigatoriedade jurídica.

Grupo 1: Exigidas diretamente pela LGPD

Estes documentos têm base legal expressa na Lei nº 13.709/2018. Sua ausência configura descumprimento direto da norma.

1. Inventário de Atividades de Tratamento — ROPA (Art. 37)

O Art. 37 da LGPD determina que controladores e operadores mantenham registro das atividades de tratamento de dados pessoais. Trata-se do documento central de qualquer programa LGPD — o mapeamento sistemático de o que se trata, para que, com que base legal, por quanto tempo e quem tem acesso.

O que deve conter:

Nome e descrição de cada atividade de tratamento
Finalidade e base legal de cada atividade
Categorias de dados pessoais tratados (e se há dados sensíveis)
Categorias de titulares (clientes, funcionários, prestadores etc.)
Prazo de retenção e critério para definição do prazo
Destinatários (internos e externos, incluindo operadores)
Transferências internacionais, quando aplicável
Medidas de segurança aplicadas

Frequência de atualização: contínua — deve refletir as atividades reais no momento da consulta.

2. Relatório de Impacto à Proteção de Dados Pessoais — RIPD (Art. 38)

Obrigatório para atividades de tratamento que possam gerar riscos às liberdades civis e aos direitos fundamentais dos titulares. O Art. 38 da LGPD determina sua elaboração e prevê que a ANPD pode exigir sua apresentação.

Quando é obrigatório:

Tratamento de dados sensíveis em larga escala
Monitoramento sistemático de titulares
Tratamento de dados de crianças e adolescentes
Qualquer tratamento com potencial de impacto significativo sobre os titulares

O que deve conter:

Descrição do tratamento e sua finalidade
Necessidade e proporcionalidade do tratamento em relação à finalidade
Avaliação dos riscos identificados (probabilidade × impacto)
Medidas mitigadoras propostas para cada risco
Avaliação residual após as medidas

3. Aviso de Privacidade e Política de Privacidade (Art. 9º)

O Art. 9º da LGPD garante ao titular o direito à informação, exigindo que o controlador preste informações claras e adequadas sobre o tratamento. O Aviso de Privacidade (comunicado externo aos titulares) e a Política de Privacidade (documento completo e detalhado) são os instrumentos que materializam essa obrigação.

O que deve conter (Art. 9º):

Finalidade específica do tratamento
Forma e duração do tratamento
Identificação do controlador e do encarregado (com dados de contato)
Informações sobre o compartilhamento de dados
Responsabilidades dos agentes de tratamento
Direitos dos titulares e como exercê-los

4. Ato de Nomeação do Encarregado (Art. 41)

O Art. 41 exige a indicação de um encarregado de proteção de dados (DPO). A nomeação deve ser formal e documentada — um simples e-mail ou designação verbal não constitui evidência suficiente.

O que deve conter:

Identificação do encarregado (nome ou, se externo, CNPJ/identificação da pessoa jurídica)
Poderes e atribuições conferidos
Dados de contato que serão divulgados publicamente
Data de início da vigência

O Art. 41, §1º exige que os dados de contato do encarregado sejam divulgados publicamente — tipicamente no site da organização e no aviso de privacidade.

Exceção para pequenos agentes: A Resolução CD/ANPD Nº 2/2022 faculta a dispensa da indicação formal de encarregado para agentes de tratamento de pequeno porte (microempresas, empresas de pequeno porte, startups, pessoas físicas e entidades sem fins lucrativos), desde que o tratamento de dados realizado não seja de alto risco. Para agentes de pequeno porte com tratamento de dados sensíveis, dados de crianças ou monitoramento sistemático, a obrigação permanece.

5. Registros de Consentimento (Art. 8º, §2º)

O Art. 8º, §2º da LGPD estabelece que o ônus da prova do consentimento válido é do controlador. Isso significa que, para toda atividade baseada em consentimento, a organização deve ser capaz de demonstrar quando, como, por quem e para quê o consentimento foi coletado.

O que deve conter (por titular e por finalidade):

Data e hora da coleta do consentimento
Versão do aviso de privacidade vigente no momento
Canal e método de coleta (formulário digital, papel, gravação)
Finalidade(s) autorizadas
Histórico de alterações e revogações

6. Contratos com Operadores — DPAs (Art. 39)

O Art. 39 da LGPD estabelece que o operador deve tratar dados pessoais conforme as instruções do controlador, e que o controlador é responsável por garantir o cumprimento. O instrumento que materializa essa responsabilidade é o contrato de processamento de dados — denominado na prática como DPA (Data Processing Agreement).

É obrigatório para: todo fornecedor que trate dados pessoais em nome da organização (provedores de nuvem, plataformas de CRM, bureaus de crédito, sistemas de folha de pagamento, consultorias com acesso a dados etc.).

O que deve conter:

Descrição dos dados tratados e das atividades realizadas
Finalidade e instrução do controlador ao operador
Obrigações de segurança e confidencialidade
Condições para subcontratação
Procedimentos em caso de incidente
Obrigações ao término do contrato (devolução ou eliminação dos dados)

7. Registros de Incidentes de Segurança (Art. 48)

O Art. 48 da LGPD exige a comunicação de incidentes que possam acarretar risco ou dano relevante aos titulares. Para demonstrar que a organização avaliou corretamente quais incidentes exigiram comunicação — e por quê —, o registro sistemático de todos os incidentes é imprescindível, inclusive os que não atingiram o limiar de notificação obrigatória.

O que deve conter:

Data e hora do descobrimento do incidente
Descrição do incidente (natureza, sistemas afetados, dados comprometidos)
Categorias e volume estimado de titulares afetados
Medidas imediatas adotadas
Conclusão sobre necessidade de comunicação à ANPD e aos titulares
Resultado da investigação de causa raiz

8. Comunicações à ANPD e aos Titulares (Art. 48 + Resolução CD/ANPD Nº 15/2024)

Quando o incidente atinge o limiar de comunicação obrigatória, as notificações enviadas à ANPD e aos titulares se tornam documentos do programa de conformidade. A Resolução CD/ANPD Nº 15/2024 define o prazo de 3 dias úteis para a notificação preliminar à ANPD e o prazo de 20 dias corridos para o relatório complementar.

O que arquivar:

Cópia de todas as comunicações enviadas à ANPD
Cópia das comunicações aos titulares afetados (ou justificativa para comunicação coletiva)
Evidência da data/hora de envio de cada comunicação

Grupo 2: Exigidas por regulamentos da ANPD

9. Política de Segurança da Informação (Art. 46 + Resolução CD/ANPD Nº 4/2023)

O Art. 46 da LGPD exige medidas técnicas e administrativas aptas a proteger os dados pessoais. A Resolução CD/ANPD Nº 4/2023 (dosimetria de sanções) elenca a "adoção de política de boas práticas e governança" como critério atenuante — e a ausência de política de segurança como agravante implícito.

O que deve conter:

Classificação de dados por nível de sensibilidade
Controles de acesso e autenticação exigidos por nível
Requisitos de criptografia (em repouso e em trânsito)
Gestão de vulnerabilidades e patches
Processo de revisão periódica
Responsabilidades por nível hierárquico

10. Documentação do Processo de Atendimento a Titulares (Art. 18 + Art. 19)

O Art. 18 garante 9 direitos aos titulares (confirmação de existência, acesso, correção, anonimização/bloqueio/eliminação, portabilidade, eliminação por revogação de consentimento, informação sobre compartilhamento, informação sobre possibilidade de não consentir, revogação de consentimento). O Art. 19 estabelece os prazos: imediatamente para confirmação simplificada; até 15 dias para resposta completa.

O que deve conter:

Canal(is) de recebimento de solicitações
Fluxo interno de triagem e processamento
Responsáveis por cada etapa
Prazos internos de cada etapa
Modelo de resposta para cada tipo de solicitação
Procedimento para casos complexos

11. Registro de Solicitações de Titulares

Além do processo documentado, as solicitações recebidas e respondidas devem ser registradas individualmente para demonstrar o cumprimento dos prazos e a qualidade das respostas.

O que registrar (por solicitação):

Data de recebimento e canal
Tipo de solicitação (acesso, eliminação, portabilidade etc.)
Resposta fornecida e data
Eventuais motivos de recusa (com fundamento legal)

Grupo 3: Necessárias para accountability (Art. 6º, X)

O princípio da accountability exige que o controlador demonstre proativamente a conformidade. Estes documentos são essenciais para essa demonstração, mesmo que a lei não os mencione nominalmente.

12. Tabela de Temporalidade de Dados

Define, para cada categoria de dado tratado, o prazo de retenção, a base para esse prazo e o procedimento de eliminação após o prazo. Materializa o cumprimento do princípio da necessidade (Art. 6º, III) e dos Arts. 15 e 16 da LGPD.

O que deve conter:

Tipo/categoria de dado
Prazo de retenção e seu fundamento (legal ou funcional)
Gatilho que inicia a contagem do prazo
Método de eliminação após o prazo
Responsável pela execução do descarte

13. Registros de Treinamento em Proteção de Dados

Colaboradores treinados que não sabem o que fazer com uma solicitação de titular ou com um incidente criam risco operacional real. O registro de treinamentos demonstra à ANPD que a organização investe em capacitação — um dos critérios atenuantes da Resolução Nº 4/2023.

O que registrar:

Data(s) do treinamento
Conteúdo abordado
Lista de participantes com assinatura (digital ou física)
Responsável pela condução do treinamento

14. Política de Resposta a Incidentes

A existência de um processo documentado de resposta a incidentes — com papéis, responsabilidades e prazos definidos — demonstra preparação e diligência. Sua ausência, em caso de incidente, agrava a avaliação da ANPD sobre a negligência do controlador.

O que deve conter:

Definição de critérios para classificação de incidentes
Equipe de resposta e responsabilidades
Procedimentos de contenção e investigação
Critérios para avaliação do limiar de notificação (Resolução 15/2024)
Processo de comunicação (interna, à ANPD, aos titulares)
Procedimento pós-incidente (aprendizados, atualizações)

15. Avaliação de Legítimo Interesse — LIA

Para toda atividade baseada em legítimo interesse (Art. 7º, IX) ou legítimo interesse do controlador para dados não sensíveis, a organização deve ter realizado e documentado o teste de balanceamento entre o interesse do controlador e os direitos dos titulares. A ANPD pode exigir a apresentação dessa avaliação.

Estrutura do LIA:

Identificação do interesse legítimo invocado
Necessidade e proporcionalidade do tratamento
Balanceamento: impacto sobre direitos dos titulares vs. interesse do controlador
Medidas de salvaguarda adotadas para mitigar o impacto
Conclusão: o tratamento supera o teste de balanceamento?

16. Documentação de Transferências Internacionais (Arts. 33 a 36)

Toda transferência de dados pessoais para fora do Brasil deve ter fundamento em uma das hipóteses do Art. 33 da LGPD (nível de proteção adequado reconhecido pela ANPD, garantias contratuais, cláusulas específicas, normas corporativas vinculantes etc.). Cada transferência deve ser documentada com sua base e as salvaguardas aplicadas.

O que documentar:

Destino da transferência (país e empresa receptora)
Categorias de dados e finalidade da transferência
Base legal utilizada (Art. 33, I a IX)
Cláusulas contratuais ou normas corporativas utilizadas
Avaliação do nível de proteção do país de destino

17. Cláusulas de Proteção de Dados em Contratos com Controladores Conjuntos (Art. 26)

Quando duas ou mais organizações definem conjuntamente as finalidades e os meios de tratamento de dados, são consideradas controladores conjuntos (Art. 26). O instrumento que define as responsabilidades de cada parte é um requisito de accountability.

O que definir:

Responsabilidades de cada controlador em cada etapa do tratamento
Quem atende as solicitações de titulares e em quais casos
Como incidentes são geridos e comunicados
Ponto de contato para titulares

18. Programa Geral de Proteção de Dados (Política Mestre)

O documento "chapéu" do programa de conformidade: descreve os princípios gerais adotados pela organização para o tratamento de dados pessoais, os papéis e responsabilidades do programa, a estrutura de governança e a referência para todos os demais documentos.

Por que é essencial: em uma investigação da ANPD ou em uma due diligence, este é o primeiro documento solicitado. Sua existência demonstra que a organização tem um programa estruturado, não uma coleção de documentos isolados.

O que deve conter:

Escopo e propósito do programa
Princípios orientadores (alinhados ao Art. 6º da LGPD)
Estrutura de governança (DPO, comitê de privacidade, responsáveis)
Referência aos demais documentos do programa
Processo de revisão periódica

Consolidação: as 18 documentações por grupo

#	Documento	Base legal	Obrigatoriedade
1	ROPA — Inventário de Atividades de Tratamento	Art. 37 LGPD	Direta
2	RIPD	Art. 38 LGPD	Direta (quando aplicável)
3	Aviso/Política de Privacidade	Art. 9º LGPD	Direta
4	Ato de Nomeação do Encarregado	Art. 41 LGPD + Res. 2/2022	Direta (exceção: pequenos agentes s/ alto risco)
5	Registros de Consentimento	Art. 8º, §2º LGPD	Direta
6	Contratos com Operadores (DPAs)	Art. 39 LGPD	Direta
7	Registros de Incidentes	Art. 48 LGPD	Direta
8	Comunicações à ANPD e Titulares	Art. 48 + Res. 15/2024	Direta + regulamento
9	Política de Segurança da Informação	Art. 46 + Res. 4/2023	Direta + regulamento
10	Processo de Atendimento a Titulares	Arts. 18-19 LGPD	Direta
11	Registro de Solicitações de Titulares	Arts. 18-19 LGPD	Direta
12	Tabela de Temporalidade	Arts. 15-16 + Art. 6º, III	Accountability
13	Registros de Treinamento	Art. 6º, X + Res. 4/2023	Accountability
14	Política de Resposta a Incidentes	Art. 48 + Art. 6º, X	Accountability
15	Avaliação de Legítimo Interesse (LIA)	Art. 10 LGPD	Accountability
16	Documentação de Transferências Internacionais	Arts. 33-36 LGPD	Direta (quando aplicável)
17	Contratos com Controladores Conjuntos	Art. 26 LGPD	Direta (quando aplicável)
18	Programa Geral de Proteção de Dados	Art. 6º, X LGPD	Accountability

Erros comuns na documentação LGPD

Erro	Risco	Correção
ROPA genérico, copiado de template, sem refletir a realidade	Inválido para fins de prova; pode ser pior do que não ter	Mapeamento real com responsáveis de cada área
DPAs com fornecedores desatualizados ou sem cláusulas LGPD	Responsabilidade solidária do controlador por falhas do operador	Revisão anual de todos os contratos com operadores
Aviso de privacidade genérico não refletindo práticas reais	Desinformação ao titular; pode configurar prática enganosa	Aviso deve descrever as práticas reais, não as idealizadas
Nomeação do DPO sem divulgação pública	Descumprimento do Art. 41, §1º	Publicar dados de contato no site e no aviso de privacidade
Registros de consentimento sem data e versão do aviso vigente	Ônus da prova não cumprido	Registrar metadados completos: data, hora, versão, canal
Política de segurança sem responsáveis definidos	Documento ornamental sem operacionalidade	Incluir matriz de responsabilidades clara

Conclusão

Dezoito documentos parecem muitos — mas cada um resolve um problema real: sem ROPA, a organização não sabe o que trata; sem DPAs, não controla quem processa seus dados; sem registros de consentimento, não pode provar o que afirma; sem política de resposta a incidentes, improvisa na pior hora possível.

A questão não é acumular documentos por acúmulo. É ter, para cada obrigação legal, a evidência correspondente que demonstra seu cumprimento. É isso que a ANPD avalia, e é isso que diferencia um programa de conformidade real de uma conformidade de fachada.

A Confidata centraliza a gestão de todas as documentações essenciais do programa LGPD — ROPA, RIPD, registros de consentimento, incidentes e atendimento a titulares — em uma plataforma estruturada e auditável. Conheça como nossa plataforma organiza sua documentação de conformidade.

As 18 documentações obrigatórias que todo programa LGPD precisa ter

Grupo 1: Exigidas diretamente pela LGPD

1. Inventário de Atividades de Tratamento — ROPA (Art. 37)

2. Relatório de Impacto à Proteção de Dados Pessoais — RIPD (Art. 38)

3. Aviso de Privacidade e Política de Privacidade (Art. 9º)

4. Ato de Nomeação do Encarregado (Art. 41)

5. Registros de Consentimento (Art. 8º, §2º)

6. Contratos com Operadores — DPAs (Art. 39)

7. Registros de Incidentes de Segurança (Art. 48)

8. Comunicações à ANPD e aos Titulares (Art. 48 + Resolução CD/ANPD Nº 15/2024)

Grupo 2: Exigidas por regulamentos da ANPD

9. Política de Segurança da Informação (Art. 46 + Resolução CD/ANPD Nº 4/2023)

10. Documentação do Processo de Atendimento a Titulares (Art. 18 + Art. 19)

11. Registro de Solicitações de Titulares

Grupo 3: Necessárias para accountability (Art. 6º, X)

12. Tabela de Temporalidade de Dados

13. Registros de Treinamento em Proteção de Dados

14. Política de Resposta a Incidentes

15. Avaliação de Legítimo Interesse — LIA

16. Documentação de Transferências Internacionais (Arts. 33 a 36)

17. Cláusulas de Proteção de Dados em Contratos com Controladores Conjuntos (Art. 26)

18. Programa Geral de Proteção de Dados (Política Mestre)

Consolidação: as 18 documentações por grupo

Erros comuns na documentação LGPD

Conclusão

Artigos relacionados

Quer ir além? Conheça o Confidata