ALC | LGPD em Sistemas
PDF gratuito →
Referência técnica

LGPD por tipo de sistema: obrigações técnicas específicas

Cada tipo de sistema processa dados pessoais de forma diferente — com bases legais, riscos e controles específicos. Este guia mapeia as obrigações LGPD por plataforma.

Por Anderson Chipak · ALC · Atualizado abr/2026

ERP

ERP (Oracle, SAP, TOTVS)

Dados pessoais processados

  • → Funcionários (folha, ponto, benefícios)
  • → Clientes e fornecedores (PF)
  • → Dados bancários
  • → CPF/CNPJ em transações

Bases legais aplicáveis

  • → Contrato (funcionários)
  • → Obrigação legal (fiscal, trabalhista)
  • → Legítimo interesse (fornecedores PF)

Controles obrigatórios

  • → Criptografia em repouso (dados bancários)
  • → Acesso por função (salário só RH)
  • → Log de acesso a dados sensíveis
  • → Retenção definida por tipo de dado
CRM

CRM (Salesforce, HubSpot, RD Station)

Dados pessoais processados

  • → Nome, email, telefone
  • → Histórico de interações
  • → Score e classificação
  • → Dados comportamentais (cliques, visitas)

Bases legais aplicáveis

  • → Consentimento (leads marketing)
  • → Contrato (clientes)
  • → Legítimo interesse (prospecção B2B)

Controles obrigatórios

  • → Opt-out funcional (exclusão real)
  • → Exportação para portabilidade
  • → DPA com o fornecedor SaaS
  • → Retenção: excluir leads inativos 2 anos
API

APIs (REST, GraphQL, webhooks)

Dados pessoais processados

  • → Dados em trânsito entre sistemas
  • → IPs e identificadores de usuário
  • → Payloads com dados de clientes

Riscos específicos

  • → Dados fluindo para sistemas de terceiros
  • → Logs de API retendo dados pessoais
  • → Autenticação fraca (vazamento)

Controles obrigatórios

  • → TLS 1.2+ em todas as chamadas
  • → Autenticação com tokens de curta duração
  • → Logs sem dados pessoais em claro
  • → DPA com cada destinatário de dados
IA

IA / Machine Learning (modelos preditivos, LLMs)

Dados pessoais processados

  • → Dados de treino com histórico de clientes
  • → Inferências sobre comportamento
  • → Prompts com dados corporativos

Artigos LGPD críticos

  • → Art. 20: decisões automatizadas
  • → Art. 11: dados sensíveis em treino
  • → Art. 6: finalidade específica

Controles obrigatórios

  • → Audit log de decisões automatizadas
  • → Procedimento de revisão humana
  • → Dados de treino anonimizados ou com base legal
  • → LLM externo: não enviar dados pessoais sem DPA
DB

Banco de dados (PostgreSQL, SQL Server, Oracle DB)

Obrigações técnicas

  • → Criptografia em repouso (TDE)
  • → Acesso restrito ao nível de tabela/coluna
  • → Audit log de SELECT em tabelas sensíveis

Risco LGPD específico

  • → DBA com acesso irrestrito a todos os dados
  • → Dumps de produção em dev (dados reais)
  • → Backup sem criptografia

Controles obrigatórios

  • → Mascaramento de dados em dev/QA
  • → DBA com MFA + log de ações
  • → Backup criptografado
  • → Política de retenção por campo/tabela
SaaS

SaaS (qualquer plataforma de terceiro com dados pessoais)

Responsabilidade LGPD

  • → Controlador: sua empresa
  • → Operador: o fornecedor SaaS
  • → DPA obrigatório com cada operador

O que verificar no contrato

  • → DPA com cláusulas de suboperadores
  • → Localização dos dados (data center BR?)
  • → Notificação de incidente em 72h

Controles obrigatórios

  • → Inventário de todos os SaaS com dados pessoais
  • → DPA assinado com cada fornecedor
  • → Processo de offboarding (exclusão de dados)

PDF: LGPD em 12 tipos de sistema

Guia completo com todos os 12 tipos de sistema, bases legais, dados processados e controles obrigatórios. Download gratuito.

Baixar PDF gratuito →

Por Anderson Chipak — auditor de sistemas críticos · ALC