Leonardo Farias LGPD em Compras: A onda disruptiva que vem atingindo as organizações
Assim como, no passado, os profissionais dessa área foram desafiados por temas como Segurança do Trabalho, Certificações da Qualidade (como a NBR ISO/IEC 9001), Sistemas de Gestão Ambiental, Conteúdo Local e ESG (Environmental, Social and Corporate Governance), hoje é a LGPD que exige atenção, especialização e ação.
Por que a LGPD em Compras é relevante?
A área de Compras funciona como uma porta de entrada para uma quantidade massiva de dados pessoais. A depender do tipo de organização, esses dados podem superar até mesmo os fluxos internos de Recursos Humanos ou Vendas, especialmente quando falamos de fornecedores pessoas físicas, autônomos, representantes legais, dados bancários e contatos. Portanto, é impensável que essa área fique alheia aos processos de conformidade com a LGPD.
LGPD protege dados pessoais, mas e os dados estratégicos?
É essencial compreender que a LGPD protege apenas os dados pessoais, incluindo os sensíveis. Dados estratégicos, como balanços financeiros, patentes ou documentos sigilosos que não envolvem diretamente dados pessoais, não estão sob o guarda-chuva da LGPD.
Em caso de vazamentos desses dados, outros dispositivos legais podem ser acionados, mas não a LGPD. É um erro comum achar que toda informação deve seguir os mesmos protocolos de proteção de dados pessoais.
Dois princípios fundamentais para Compras
Princípio da Minimização de Dados
Esse princípio recomenda que apenas os dados pessoais estritamente necessários sejam coletados, usados, armazenados e compartilhados. Para Compras, isso significa rever fichas cadastrais, portais de onboarding de fornecedores e processos internos, limitando o acesso à informação por função e necessidade.
Boas práticas de minimização:
- Limitar o tratamento a dados essenciais para a função;
- Descartar dados após o uso legal;
- Reduzir o número de colaboradores com acesso irrestrito a DP;
- Preferir opções que evitem a identificação do titular.
Princípio da Limitação de uso, retenção e divulgação
Esse princípio impõe limites sobre quanto tempo e para que finalidade os dados pessoais podem ser mantidos. Após o cumprimento da finalidade, os dados devem ser descartados ou anonimizados, conforme exigência legal.
Na prática, o que isso exige de Compras:
- Avaliação crítica do ciclo de vida dos dados pessoais recebidos;
- Definição clara de prazos de retenção;
- Procedimentos seguros de eliminação ou anonimização.
Sanções e riscos para quem ignora a LGPD
Mesmo que a ANPD (Autoridade Nacional de Proteção de Dados) só tenha começado a aplicar sanções administrativas a partir de agosto de 2021, qualquer pessoa que se sinta lesada pode acionar a Justiça comum. Além disso, órgãos como o PROCON, o MJ e o Ministério Público podem aplicar penalidades.
Organizações estão sujeitas a dois tipos de sanção:
- Administrativa (via ANPD);
- Judicial (via ações cíveis, inclusive com base no Código de Defesa do Consumidor).
Fornecedores também são responsáveis
A conformidade com a LGPD em Compras exige uma rede de fornecedores igualmente atentos à legislação. Não basta ajustar os processos internos: é preciso garantir que terceiros também estejam em conformidade.
Um exemplo marcante foi a licitação da PETROBRAS para contratar consultoria especializada em conformidade com LGPD, incluindo mapeamento de dados, avaliação de riscos e recomendações de roadmap. Esse movimento reforça a tendência de grandes corporações exigirem conformidade também de seus fornecedores.
Governança e boas práticas não são opcionais
A palavra \”governança\” aparece oito vezes no texto legal da LGPD; \”boas práticas\”, dez vezes. Isso evidencia a exigência de um modelo de gestão estruturado, multidisciplinar e com participação efetiva da área de Compras. Não é papel exclusivo do jurídico ou da TI.
A experiência de órgãos públicos como o STJ e o TJ-RS, que sofreram ataques de ransomware, mostram que a excelência jurídica e tecnológica, isoladas, não são suficientes. A resposta efetiva à LGPD exige integração entre as áreas, cultura organizacional e compromisso com a privacidade como valor.
Considerações finais: a LGPD é para todos
Pequenas empresas que ignoram a LGPD por julgarem-se irrelevantes correm risco. Mesmo uma empresa de pequeno porte pode sofrer ações judiciais ou ser alvo de fiscalização por não tratar dados corretamente. E, diferentemente das grandes, elas muitas vezes não têm recursos para resistir às penalidades.
Para o setor de Compras, isso representa tanto um alerta quanto uma oportunidade. Profissionais que se atualizam, compreendem os impactos da LGPD e sabem aplicar boas práticas serão protagonistas na adequação das empresas, elevando sua relevância estratégica.
Referências Bibliográficas
- ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. ABNT NBR ISO/IEC 29100
- ABNT NBR 27701: Extensão da ISO/IEC 27001 para privacidade
- BRASIL. Lei no 13.709/2018 – Acesse aqui
Leonardo is a Brazilian Chemical Engineer and Digital Marketing Specialist with a sales and digital marketing management background and a proven record of team building, Process Improvement, and creativity. He has extensive experience in customer engagement through platforms such as Google Ads, Facebook, YouTube, and Instagram.
