Framework de maturidade LGPD: os 5 níveis de conformidade
Estar "em conformidade com a LGPD" não é um estado binário — é um espectro. Uma organização pode ter política de privacidade publicada e DPO nomeado, mas sem ROPA atualizado nem canal de atendimento a titulares que funcione. Outra pode ter processo formal de RIPD, mas sem treinamento regular da equipe. Ambas são "conformes" em algum grau — mas com maturidades radicalmente diferentes.
Frameworks de maturidade existem para tornar esse espectro mensurável, comparável e acionável. Este guia apresenta o modelo de 5 níveis adotado pelo Governo Digital brasileiro, sua conexão com o Art. 50 da LGPD (Programa de Governança em Privacidade) e como integrá-lo com referências internacionais como ISO 27701 e o NIST Privacy Framework.
Por que maturidade — e não apenas conformidade
A pergunta "estamos em conformidade?" tem uma resposta jurídica e uma resposta de gestão. A resposta jurídica é binária: violou ou não violou. A resposta de gestão é contínua: quão robusta, sistemática e sustentável é a sua proteção de dados?
Organizações com baixa maturidade estão "conformes" hoje por sorte ou por esforço pontual. Organizações com alta maturidade estão conformes por design — processos repetíveis, documentados, medidos e melhorados continuamente.
O Art. 52, §1°, VIII da LGPD reconhece isso explicitamente: a adoção de boas práticas de governança é um fator de atenuação de sanções. Organizações com Programa de Governança em Privacidade (PGP) formalizado enfrentam penalidades menores em processos administrativos — mesmo quando ocorrem incidentes.
A maturidade também responde a uma realidade comercial: investidores, grandes clientes e parceiros corporativos cada vez mais exigem evidências de maturidade em privacidade antes de fechar contratos. Um relatório de maturidade LGPD é uma vantagem competitiva concreta.
O modelo de 5 níveis do Governo Digital
O Governo Digital brasileiro (SGDP — Secretaria de Governo Digital) desenvolveu e publicou uma ferramenta de avaliação de maturidade LGPD com 113 questões distribuídas em 6 dimensões. O modelo usa 5 níveis progressivos:
Nível 1 — Inicial
Característica central: Ações reativas, sem sistematização.
A organização reconhece que a LGPD existe, mas ainda não estruturou um programa de conformidade. As ações ocorrem em resposta a incidentes ou solicitações externas — não por iniciativa própria ou por processo definido.
Indicadores típicos:
- Sem DPO/Encarregado formalmente designado (ou designado "de papel", sem atribuições reais)
- Sem ROPA — nenhum registro formal das atividades de tratamento
- Políticas de privacidade copiadas de modelos genéricos, sem refletir a realidade da organização
- Sem treinamento de equipe em proteção de dados
- Incidentes tratados caso a caso, sem processo de resposta documentado
O risco: A maioria dos casos de sanção aplicados pela ANPD envolve organizações no Nível 1. A ausência de estrutura básica (ROPA, DPO, canal do titular) é o conjunto de infrações mais frequente nos processos administrativos de 2023 e 2024.
Nível 2 — Básico
Característica central: Conformidade documental mínima estabelecida.
A organização deu os primeiros passos formais: nomeou o encarregado, criou uma política de privacidade, publicou o canal de atendimento a titulares. Os documentos existem, mas não são integrados à operação — são peças estáticas que não refletem processos reais.
Indicadores típicos:
- DPO designado com contato publicado no site
- Política de privacidade publicada (mas possivelmente desatualizada ou genérica)
- ROPA iniciado — mas incompleto, com muitas atividades não mapeadas
- Canal do titular operacional, mas sem processo formal de atendimento
- Sem revisão periódica dos documentos
- Bases legais identificadas de forma superficial (sem raciocínio jurídico documentado)
A armadilha: O Nível 2 é perigoso porque cria uma falsa sensação de segurança. A organização "tem os documentos" mas não está protegida operacionalmente.
Nível 3 — Intermediário
Característica central: Processos definidos, documentados e integrados à operação.
O programa de conformidade deixa de ser uma coleção de documentos e passa a ser um conjunto de processos. O ROPA reflete a realidade operacional. As bases legais são documentadas com raciocínio jurídico. Os titulares são atendidos dentro dos prazos. Há treinamento periódico.
Indicadores típicos:
- ROPA completo e atualizado regularmente (processo de revisão anual + gatilhos de atualização)
- Bases legais documentadas por atividade, com raciocínio jurídico formal
- RIPD elaborado para tratamentos de alto risco (dados sensíveis, decisões automatizadas, crianças)
- Canal do titular com protocolo formal, SLA documentado e log de atendimentos
- DPAs (Data Processing Agreements) com todos os fornecedores que acessam dados pessoais
- Processo de gestão de incidentes documentado (com prazo de notificação à ANPD em 3 dias úteis)
- Treinamento periódico da equipe (ao menos anual)
- Aviso de cookies funcionando com opt-in real (não apenas banner informativo)
O avanço: A maioria das médias empresas com programa de conformidade estruturado está no Nível 3. É o nível mínimo que demonstra accountability real em caso de fiscalização.
Nível 4 — Em aprimoramento
Característica central: Processos medidos, monitorados e integrados à estratégia de negócio.
A privacidade deixa de ser responsabilidade exclusiva do DPO e passa a ser parte da governança corporativa. Métricas são coletadas, revisadas periodicamente e usadas para tomada de decisão. O Privacy by Design (Art. 46, §2° da LGPD) é aplicado sistematicamente em novos projetos.
Indicadores típicos:
- KPIs de privacidade definidos e monitorados (tempo de atendimento a titulares, % de fornecedores com DPA, # de RIPDs elaborados, # de incidentes por trimestre)
- Privacy by Design como parte formal do processo de desenvolvimento de produtos e sistemas
- Comitê de privacidade ativo com participação de C-Level e áreas de negócio
- Auditoria interna periódica de conformidade LGPD
- Gestão de riscos de privacidade integrada ao sistema geral de gestão de riscos corporativos
- Programa formal de treinamento por papel (treinamento diferenciado para TI, RH, Marketing, Jurídico)
- Processo de due diligence de privacidade para novos fornecedores e M&A
O diferencial: Organizações no Nível 4 raramente são pegas de surpresa por uma fiscalização. Têm evidências documentadas de governança proativa — o argumento de boa-fé mais sólido em um processo administrativo.
Nível 5 — Aprimorado
Característica central: Melhoria contínua sistemática e liderança em privacidade como vantagem competitiva.
O programa de privacidade é maduro, certificado e em constante evolução. A organização não apenas segue regulamentações — contribui para o debate público (respostas a consultas públicas da ANPD, participação em grupos de trabalho setoriais). A privacidade é um diferencial de mercado explicitamente comunicado.
Indicadores típicos:
- Certificação ISO 27701 (Sistema de Gestão de Privacidade da Informação) obtida e mantida
- Relatório de transparência publicado voluntariamente (uso de dados, incidentes, atendimento a titulares)
- Participação ativa em regulamentação setorial (contribuição a consultas públicas da ANPD)
- Programa de privacidade documentado formalmente como PGP (Art. 50, §2° da LGPD)
- Revisões externas periódicas (auditoria de terceira parte)
- Integração com frameworks internacionais (NIST Privacy Framework, GDPR para transferências internacionais)
- Privacidade como critério explícito em avaliação de fornecedores e parceiros estratégicos
A realidade: O Nível 5 é aspiracional para a maioria das organizações. No Governo Federal, pesquisa do SERPRO indica que apenas cerca de 3% das organizações federais atingiram o nível "Avançado" de maturidade LGPD. No setor privado, os números são comparáveis.
As 6 dimensões do modelo de avaliação
Independentemente do nível atual, a avaliação de maturidade deve cobrir 6 dimensões — cada uma contribui para o nível geral:
| Dimensão | O que avalia |
|---|---|
| Governança | DPO, comitê de privacidade, política interna, responsabilidades definidas |
| Inventário e mapeamento | ROPA, data flow mapping, bases legais, prazos de retenção |
| Direitos dos titulares | Canal, processo de atendimento, prazos, log de DSARs |
| Segurança da informação | Controles técnicos, gestão de incidentes, RIPD, criptografia |
| Terceiros e fornecedores | Due diligence, DPAs, transferências internacionais |
| Treinamento e cultura | Frequência, cobertura por área, evidências, conscientização |
Uma organização pode ter dimensões com níveis diferentes — por exemplo, segurança da informação no Nível 4 (área de TI madura) enquanto treinamento e cultura está no Nível 2 (RH ainda não estruturou programa). O nível geral é determinado pela dimensão mais fraca que representa risco crítico.
O Programa de Governança em Privacidade (PGP) — Art. 50 da LGPD
O Art. 50 da LGPD autoriza controladores e operadores a formular regras de boas práticas e de governança que estabeleçam condições de organização, regime de funcionamento, procedimentos incluindo reclamações e petições de titulares, normas de segurança, padrões técnicos, auditorias e políticas de resolução de conflitos.
O §2° do Art. 50 define os elementos que o PGP deve conter:
- Demonstração do comprometimento do controlador em adotar processos e políticas internas
- Aplicabilidade a todo o conjunto de dados pessoais que o controlador detém
- Adaptação à estrutura, escala e volume de operações do controlador
- Estabelecimento de políticas e salvaguardas adequadas baseadas em processo de avaliação sistemática de impactos e riscos à privacidade
- Medidas abrangentes para a privacidade, incluindo mecanismos de supervisão internos e externos
- Planos de resposta a incidentes
- Atualização periódica baseada em informações obtidas por monitoramento contínuo e avaliações periódicas
Por que o PGP importa para a dosimetria: O Art. 52, §1°, VIII estabelece que a ANPD considerará, na aplicação de sanções, a adoção reiterada e demonstrada de mecanismos e procedimentos internos capazes de minimizar o dano, voltados ao tratamento seguro e adequado de dados. Um PGP formalizado é a evidência mais robusta desse critério.
Importante: O PGP não precisa ser enviado à ANPD preventivamente. Ele deve existir, estar atualizado e estar disponível para apresentação imediata quando solicitado em processo administrativo.
ISO 27701 — O padrão internacional certificável
A ISO/IEC 27701:2019 (Security techniques — Extension to ISO/IEC 27001 and ISO/IEC 27002 for privacy information management) é o padrão internacional para Sistemas de Gestão de Privacidade da Informação (SGPI).
Pré-requisito crítico: A ISO 27701 não é independente — é uma extensão da ISO/IEC 27001 (segurança da informação). A organização deve ter a ISO 27001 implementada antes de implementar a 27701. Não há certificação 27701 sem 27001.
O que a ISO 27701 cobre:
- Requisitos para controladores de dados pessoais (mapeando diretamente para o Art. 37 e Art. 50 da LGPD)
- Requisitos para operadores de dados pessoais
- Orientações para implementação (Anexos B e C)
- Referências cruzadas com GDPR (Apêndice D) — útil para organizações que também precisam de conformidade europeia
Relação com a LGPD: A ANPD reconhece a ISO 27701 como referência de boas práticas, mas não a exige formalmente. A certificação é voluntária e funciona como evidência de governança madura — relevante tanto para o PGP quanto para due diligence de clientes internacionais.
Custo-benefício: A certificação 27701 é recomendada para organizações que:
- Já possuem ISO 27001 implementada
- Tratam grande volume de dados pessoais ou dados sensíveis
- Têm clientes internacionais que exigem demonstração de conformidade com GDPR
- Passam por auditorias frequentes de privacidade por clientes corporativos
Para PMEs sem ISO 27001, o esforço de implementação simultânea de 27001 + 27701 pode não ser proporcional — o foco deve ser primeiro no PGP da LGPD.
NIST Privacy Framework — Referência metodológica americana
O NIST Privacy Framework (versão 1.0, publicado em janeiro de 2020) é um framework voluntário americano publicado pelo National Institute of Standards and Technology. Diferente da ISO 27701, o NIST Privacy Framework não é certificável — é uma ferramenta de planejamento e comunicação.
O NIST LGPD Crosswalk — mapeamento oficial entre o NIST Privacy Framework e a LGPD — foi publicado em 28 de janeiro de 2021, permitindo usar o framework americano como ferramenta de implementação da lei brasileira.
As 5 funções do NIST Privacy Framework:
| Função | Descrição | Conexão LGPD |
|---|---|---|
| Identify-P | Identificar riscos de privacidade para indivíduos | Mapeamento de dados, ROPA |
| Govern-P | Desenvolver e implementar políticas de privacidade | PGP, políticas internas |
| Control-P | Dar aos titulares controle sobre seus dados | Art. 18 (direitos dos titulares) |
| Communicate-P | Comunicar práticas de privacidade | Art. 9 (transparência), aviso de privacidade |
| Protect-P | Implementar salvaguardas para dados pessoais | Art. 46-49 (segurança) |
Utilidade prática: O NIST Privacy Framework é especialmente útil para organizações que:
- Já usam o NIST Cybersecurity Framework (CSF) para segurança da informação — a linguagem é consistente
- Precisam de uma ferramenta de comunicação de privacidade para lideranças técnicas
- Buscam estrutura metodológica para o RIPD e avaliação de riscos
Como realizar a auto-avaliação de maturidade
Passo 1 — Coletar evidências por dimensão
Para cada uma das 6 dimensões, liste as evidências que a organização possui:
| Evidência | Existe? | Atualizada? | Integrada à operação? |
|---|---|---|---|
| DPO formalmente designado | ✅/❌ | ✅/❌ | ✅/❌ |
| ROPA completo | ✅/❌ | ✅/❌ | ✅/❌ |
| Bases legais documentadas | ✅/❌ | ✅/❌ | ✅/❌ |
| Canal do titular ativo | ✅/❌ | ✅/❌ | ✅/❌ |
| DPAs com fornecedores | ✅/❌ | ✅/❌ | ✅/❌ |
| RIPD para tratamentos de alto risco | ✅/❌ | ✅/❌ | ✅/❌ |
| Treinamento periódico | ✅/❌ | ✅/❌ | ✅/❌ |
| Processo de gestão de incidentes | ✅/❌ | ✅/❌ | ✅/❌ |
| PGP formalizado | ✅/❌ | ✅/❌ | ✅/❌ |
Passo 2 — Classificar por nível
Com base nas evidências:
- Nível 1: Maioria dos itens com ❌ na primeira coluna
- Nível 2: Maioria dos itens existe (✅), mas não está atualizada ou integrada
- Nível 3: Maioria existe e está atualizada; integração à operação ainda inconsistente
- Nível 4: Tudo existe, atualizado e integrado; métricas e monitoramento presentes
- Nível 5: Nível 4 + certificações externas e melhoria contínua documentada
Passo 3 — Identificar as lacunas prioritárias
Foque nas dimensões com maior risco regulatório:
- Canal do titular inoperante → Prioridade máxima (causa mais frequente de denúncias à ANPD)
- ROPA inexistente ou desatualizado → Prioridade alta (primeiro documento solicitado em fiscalizações)
- Sem DPA com fornecedores que acessam dados → Prioridade alta (responsabilidade solidária)
- Sem processo de notificação de incidentes → Prioridade alta (prazo de 3 dias úteis à ANPD)
- Sem RIPD para tratamentos de alto risco → Prioridade média (obrigatório para legítimo interesse e quando ANPD solicitar)
Passo 4 — Construir o roadmap de evolução
Maturidade não se constrói em um projeto único. O roadmap realista para uma organização de médio porte:
| Trimestre | Objetivo | Saída esperada |
|---|---|---|
| T1 | Nível 1 → 2 | DPO designado, canal do titular ativo, ROPA iniciado |
| T2-T3 | Nível 2 → 3 | ROPA completo, bases legais documentadas, DPAs com fornecedores, primeiro RIPD |
| T4-T5 | Consolidação Nível 3 | Treinamento equipe, processo de incidentes testado, política interna publicada |
| T6-T8 | Nível 3 → 4 | KPIs definidos, Privacy by Design em projetos, comitê ativo, PGP formalizado |
| T9+ | Nível 4 → 5 | Auditoria externa, ISO 27701 (se aplicável), relatório de transparência |
O impacto da Lei 15.352/2026 na maturidade
A transformação da ANPD em agência reguladora plena pela Lei 15.352/2026 (sancionada em 25 de fevereiro de 2026) terá impacto direto na pressão por maturidade:
- Mais recursos humanos e técnicos para fiscalização — o ritmo de processos administrativos deve aumentar
- Regulamentação mais detalhada — resoluções mais prescritivas para setores específicos (saúde, financeiro, educação) estão na agenda regulatória
- Cooperação internacional — acordos com autoridades europeias e americanas podem ampliar o escopo das investigações para empresas com operações internacionais
- Incentivos à autorregulação — a ANPD tem sinalizado interesse em reconhecer programas setoriais de autorregulação (art. 50, §3°), o que pressiona associações de classe a criar padrões setoriais de maturidade
Implicação prática: Organizações que em 2024 e 2025 se contentavam com o Nível 2 sentirão pressão crescente para alcançar o Nível 3 mínimo até 2027. O custo de adequação sobe exponencialmente quando feito em resposta a uma notificação — e não por iniciativa própria.
Checklist de maturidade — autodiagnóstico rápido
Governança
- DPO/Encarregado formalmente designado e com contato publicado no site?
- Comitê ou grupo de trabalho de privacidade ativo?
- Alta direção tem ciência e endossa o programa de privacidade?
Inventário e mapeamento
- ROPA completo cobrindo todas as áreas (RH, Marketing, TI, Financeiro, Operações)?
- Bases legais documentadas com raciocínio jurídico por atividade?
- ROPA atualizado nos últimos 12 meses?
- RIPD elaborado para tratamentos com legítimo interesse e alto risco?
Direitos dos titulares
- Canal de atendimento ao titular ativo e identificado no site?
- Processo documentado para cada tipo de pedido (acesso, eliminação, correção, etc.)?
- Log de DSARs mantido como evidência?
- Pedidos respondidos dentro de 15 dias corridos?
Segurança e incidentes
- Medidas técnicas de segurança documentadas?
- Processo formal de resposta a incidentes testado?
- Prazo de 3 dias úteis para notificação à ANPD documentado em procedimento?
Terceiros e fornecedores
- DPA com todos os fornecedores que acessam dados pessoais?
- Due diligence de privacidade em novos fornecedores?
- Transferências internacionais identificadas com salvaguardas (Res. CD/ANPD nº 19/2024)?
Treinamento e cultura
- Treinamento de equipe realizado nos últimos 12 meses?
- Treinamento diferenciado por área (TI, RH, Marketing, Jurídico)?
- Processo para reportar incidentes suspeitos definido e comunicado?
PGP e melhoria contínua
- Programa de Governança em Privacidade (PGP) formalizado conforme Art. 50?
- Revisão periódica do programa documentada?
- Métricas de conformidade coletadas e reportadas à liderança?
Conclusão
Maturidade LGPD não é destino — é trajetória. A organização que constrói seu programa de conformidade progressivamente, documentando cada passo, coleta um ativo de longo prazo: a capacidade de demonstrar accountability em qualquer momento, para qualquer stakeholder — seja a ANPD em uma fiscalização, seja um grande cliente em due diligence ou um investidor avaliando risco regulatório.
O caminho prático começa sempre pelo mesmo lugar: saber onde você está. Uma auto-avaliação honesta das 6 dimensões revela as lacunas prioritárias — e lacunas com cronograma de fechamento são argumentos de boa-fé que a ANPD reconhece.
Comece pelo Nível 2. Consolide. Avance para o 3. O Nível 5 não é exigido por lei — mas a distância do Nível 1 para o Nível 3 pode ser a diferença entre uma advertência com prazo de adequação e um processo administrativo com publicização da infração.
O Confidata oferece um módulo de avaliação de maturidade LGPD baseado nas 6 dimensões e nos 5 níveis do Governo Digital, com geração automática de relatório de lacunas, roadmap de adequação priorizado por risco e integração com todos os demais módulos de conformidade.
Artigos relacionados
Quer ir além? Conheça o Confidata
Sistema completo de gestão de conformidade LGPD com IA integrada para acelerar seu programa de privacidade.