Certificação LGPD existe? O que é obrigatório de verdade

Pesquise "certificação LGPD" no Google e você encontra de tudo: exame internacional, selo por assinatura mensal, curso gratuito com certificado e consultoria prometendo deixar sua empresa "100% certificada". Cada um vende um papel diferente. E quase ninguém responde a pergunta que importa: algum desses papéis é exigido por lei?

A resposta curta: não. Não existe certificação LGPD oficial, e nenhuma empresa é obrigada a ter selo ou certificado para estar em dia com a Lei Geral de Proteção de Dados. O que a lei cobra é outra coisa, e custa bem menos do que o mercado da confusão quer te fazer pagar.

Neste artigo, você vai entender o que a ANPD diz oficialmente sobre selos, o que cada tipo de certificado vale de verdade e a lista completa do que é obrigatório para sua empresa. Se quiser ver o processo completo depois, temos um guia de como adequar sua empresa à LGPD passo a passo.

Existe certificação LGPD oficial?

Não. Não existe certificação LGPD oficial nem selo obrigatório de conformidade. A ANPD, a Autoridade Nacional de Proteção de Dados, não emite nem reconhece certificados de adequação à lei. O que a LGPD exige é que a empresa cumpra obrigações concretas, como base legal, transparência e segurança, e consiga comprovar isso.

Essa não é uma interpretação: é a posição oficial do órgão que fiscaliza a lei. Em nota de esclarecimento publicada em 2023, a ANPD afirmou que "atualmente não credencia ou reconhece entidades ou empresas para a emissão de selos que possam atestar a adequação à LGPD". Em outras palavras: qualquer selo de conformidade vendido hoje no Brasil é uma iniciativa privada, sem chancela do governo.

De onde veio, então, a expectativa de que existiria um "certificado LGPD"? Em parte, da Europa. O GDPR, a lei europeia que inspirou a nossa, prevê expressamente mecanismos de certificação, com organismos acreditados pelas autoridades. A LGPD seguiu outro caminho: o artigo 50 fala em regras de boas práticas e governança que "poderão ser reconhecidas" pela autoridade nacional, mas esse reconhecimento nunca foi regulamentado. E o tema nem aparece entre as prioridades da agenda regulatória atual da ANPD.

Ou seja: se alguém te prometer "certificação oficial", desconfie. Enquanto isso, vale mais saber onde sua empresa realmente está: faça o diagnóstico da sua empresa e descubra em poucos minutos o que já está em dia e o que falta.

Os 4 tipos de "certificação LGPD" que o mercado vende

A confusão existe porque quatro produtos muito diferentes circulam com o mesmo nome. Antes de gastar um real, identifique qual deles está na sua frente:

Repare no padrão: nenhuma das quatro opções substitui a adequação da empresa. Algumas ajudam de verdade, como capacitar o time ou estruturar a segurança da informação. Outras entregam apenas a sensação de dever cumprido.

A pergunta certa, portanto, não é "qual certificado comprar". É "o que a lei exige de mim e como eu comprovo que estou cumprindo". Vamos responder as duas partes nas próximas seções.

Selo LGPD: o que a ANPD diz sobre essa promessa

Renata é dona de um e-commerce de cosméticos em Curitiba. Em março, recebeu um e-mail oferecendo um "selo LGPD" por R$250 mensais: bastava assinar, responder um formulário e estampar o selo no site. Quase fechou. Antes, pesquisou a posição da ANPD e descobriu que o selo não teria valor algum numa fiscalização. O dinheiro foi para o que faltava de verdade: organizar as bases legais e o canal de atendimento aos clientes.

O caso dela ilustra o alerta oficial. Na mesma nota de 2023, a ANPD esclareceu que esses instrumentos, quando oferecidos por entidades privadas, "não constituem garantia oficial de conformidade à legislação". O selo pode até ter algum efeito de marketing, mas não impede fiscalização, não reduz multa e não convence a autoridade de nada.

Há um risco extra que pouca gente comenta. Se a empresa exibe um selo de "100% adequada" e segue irregular, o selo pode se voltar contra ela: vira evidência de promessa enganosa ao consumidor. O papel que deveria proteger acaba criando um passivo novo.

E os fatos confirmam a lógica. Nenhuma sanção da ANPD até hoje envolveu "falta de certificado", porque certificado não é obrigação legal. As punições reais atingiram quem não tinha base legal, encarregado ou resposta decente a incidentes, como mostram os casos de empresas multadas pela LGPD. Quem investiu só no selo continuou exposto exatamente onde a fiscalização olha.

Selo privado pode fazer sentido em um único cenário: depois da adequação real, como sinal extra de confiança para clientes. Como atalho, nunca.

O que é obrigatório de verdade na LGPD

Já que certificação não é exigida, o que a Lei 13.709/2018 cobra de uma empresa? Estas são as obrigações que valem para o dia a dia de qualquer negócio que trata dados pessoais:

1. Ter base legal para cada uso de dados (art. 7º). Todo dado pessoal que você coleta precisa de uma justificativa prevista na lei. Nosso guia de bases legais da LGPD explica como escolher a certa em cada situação.
2. Ser transparente com os titulares (art. 9º). O cliente tem direito de saber o que você coleta, para quê e com quem compartilha. Na prática, isso vira sua Política de Privacidade.
3. Atender os direitos dos titulares (art. 18). Pedidos de acesso, correção e exclusão de dados precisam de resposta. Sua empresa deve manter um canal para receber essas solicitações.
4. Manter o registro das operações de tratamento (art. 37). É o inventário do que sua empresa faz com dados pessoais. O registro de tratamento de dados é obrigatório para empresas de todos os portes, com formato simplificado para as menores.
5. Indicar um encarregado de dados (art. 41). Empresas de pequeno porte podem ser dispensadas de indicar a pessoa, mas o canal de comunicação continua obrigatório. Veja as regras no guia do encarregado de dados (DPO).
6. Adotar medidas de segurança (art. 46). Proporcionais ao seu porte: controle de acesso, senhas fortes, backup e cuidado com quem vê o quê.
7. Comunicar incidentes relevantes (art. 48). Vazou dado com risco aos titulares? A ANPD e os afetados precisam ser comunicados em até 3 dias úteis. O passo a passo está no guia sobre vazamento de dados na LGPD.
8. Elaborar o RIPD quando exigido (art. 38). O Relatório de Impacto à Proteção de Dados é necessário em tratamentos de maior risco ou quando a ANPD solicitar.

Releia a lista. Nenhum item é "contratar certificação" ou "exibir selo". É exatamente isso que um fiscal da ANPD verifica, e é nisso que seu tempo e orçamento devem ser investidos primeiro.

ISO 27001 e ISO 27701: a certificação séria que existe (e quando faz sentido)

Existe, sim, um caminho de certificação reconhecido mundialmente, só que ele não se chama "certificação LGPD". São as normas ISO/IEC 27001, de gestão de segurança da informação, e ISO/IEC 27701, de gestão de privacidade. Nelas, um organismo de certificação independente audita seus processos e emite um certificado com validade de 3 anos, mantido com auditorias periódicas.

Uma novidade importante: desde a revisão de 2025, a ISO/IEC 27701 virou norma independente. Antes, ela funcionava como extensão da 27001, o que obrigava a empresa a certificar segurança da informação primeiro. Agora dá para buscar a certificação de privacidade de forma autônoma.

Aqui vale honestidade: para a maioria das pequenas empresas brasileiras, certificar ISO não é prioridade. O processo envolve consultoria, auditoria e manutenção anual, um investimento que em geral só se justifica com exigência contratual, como fornecer para grandes empresas ou tratar dados em grande escala.

E mesmo quem certifica não ganha imunidade. A ISO demonstra boas práticas de gestão, o que pesa a favor numa fiscalização, mas não transforma a empresa em "certificada pela LGPD". A lei brasileira continua cobrando as obrigações da seção anterior, com ou sem ISO na parede.

Certificação LGPD para profissionais: o que vale para quem trabalha com privacidade

Até aqui falamos da empresa. Mas boa parte de quem busca "certificação LGPD" quer outra coisa: se qualificar para trabalhar com proteção de dados ou preparar alguém do time para cuidar do assunto. Para pessoas, as certificações existem de verdade, e algumas são bem respeitadas:

• CDPO/BR, da IAPP. A certificação internacional de DPO baseada na LGPD é a referência mais forte do mercado para quem atua como encarregado de dados.
• EXIN Privacy & Data Protection. Exames de fundamentos e prática com trilha específica baseada na LGPD, comuns em vagas de privacidade.
• Certiprof LGPDF. Certificação de fundamentos que já teve campanhas de exame gratuito, boa porta de entrada para iniciantes.

Se o objetivo é só capacitar a equipe, dá para começar sem gastar nada. A Escola Virtual do Governo oferece curso gratuito de introdução à LGPD com certificado de conclusão, e o Sebrae mantém trilhas voltadas para pequenos negócios. Foi o caminho de Ana, assistente administrativa de uma clínica odontológica em Goiânia: ela fez o curso do Gov.br em uma semana e hoje toca o checklist de adequação da clínica com segurança.

Dois cuidados para não cair em pegadinha. Primeiro: certificado de conclusão de curso não é certificação profissional, e nenhum dos dois comprova conformidade da empresa. Segundo: a própria ANPD esclareceu que não existe registro obrigatório de encarregado nem exigência de certificação para exercer a função. Quem diz que "DPO precisa de registro" está vendendo algo que a lei não pede.

Como comprovar a adequação à LGPD sem certificado

Se não há certificado oficial, o que mostrar quando alguém pedir prova de conformidade? Documentação. É ela que convence a ANPD numa fiscalização e os clientes numa negociação.

Carlos, sócio de uma agência de marketing em Recife, viveu isso na prática. Um cliente grande enviou um questionário de proteção de dados com 40 perguntas antes de renovar o contrato. Nenhuma pedia selo ou certificado. Pediam o registro de tratamento, a indicação do encarregado, a política de privacidade e o procedimento de resposta a incidentes. Com a documentação organizada, a renovação saiu em uma semana.

O pacote de evidências que resolve a maioria das situações é este:

• Registro das operações de tratamento atualizado
• Bases legais definidas e documentadas para cada finalidade
• Política de Privacidade publicada no site
• Encarregado ou canal de contato divulgado
• Histórico de atendimento a pedidos de titulares
• Plano de resposta a incidentes e registros de treinamento da equipe
• RIPD, quando a operação envolver maior risco

Montar esse pacote do zero parece trabalhoso, mas não precisa ser. O checklist de conformidade LGPD do DataSafu organiza essas entregas em sequência lógica e mostra seu progresso item a item, com os documentos gerados pela própria plataforma.

Perguntas frequentes sobre certificação LGPD

Certificação LGPD é obrigatória?

Não. Nenhuma empresa é obrigada a ter certificação, selo ou certificado de LGPD. A lei exige o cumprimento de obrigações concretas, como base legal, transparência, atendimento aos titulares, registro de tratamento, segurança e comunicação de incidentes. A ANPD não emite nem reconhece selos de conformidade.

A LGPD é obrigatória para todas as empresas?

Sim. A LGPD vale desde 2020 para empresas de todos os portes e setores, inclusive microempresas e MEIs que tratam dados pessoais. O que muda conforme o porte são flexibilizações pontuais, como o registro simplificado e a dispensa de indicar encarregado para agentes de pequeno porte.

Quem pode emitir certificado LGPD?

Para empresas, ninguém emite certificado com valor oficial: a ANPD não credencia entidades para isso. O que existe é certificação de normas ISO por organismos independentes, certificações profissionais de entidades como IAPP e EXIN, e certificados de conclusão de cursos. Cada um tem seu papel, e nenhum substitui a adequação.

Como conseguir uma certificação LGPD gratuita?

Existem cursos gratuitos com certificado de conclusão, como o da Escola Virtual do Governo e os do Sebrae. Algumas entidades, como a Certiprof, já ofereceram exames de fundamentos sem custo em campanhas pontuais. Vale para capacitar pessoas. Não confunda com adequação da empresa, que não se resolve com certificado.

Qual a validade de uma certificação LGPD?

Depende do papel. Certificações ISO valem 3 anos, com auditorias de manutenção no período. Certificações profissionais seguem as regras de renovação de cada emissor. Selos privados valem o que o contrato de quem vende disser, sem efeito oficial. Já a conformidade real não tem validade: é prática contínua.

Selo LGPD vale a pena?

Como atalho, não: a ANPD não reconhece selos, e exibir um sem estar adequado pode virar problema com consumidores. Depois da adequação real, um selo pode funcionar como reforço de confiança na comunicação com clientes. Primeiro a casa em ordem, depois a vitrine.

Menos papel, mais proteção

Recapitulando: certificação LGPD oficial não existe, selo privado não tem valor perante a ANPD, ISO é séria mas voluntária, e certificações profissionais qualificam pessoas, não empresas. O que a lei cobra da sua empresa é a adequação em si: base legal, transparência, direitos dos titulares, registro, encarregado ou canal, segurança e resposta a incidentes.

A boa notícia é que esse caminho cabe no orçamento de uma pequena empresa, sem consultoria de R$30 mil e sem comprar papel que não protege. Com método e as ferramentas certas, a adequação sai do papel em semanas, não em meses.

Comece agora: faça o diagnóstico da sua empresa no DataSafu e veja em poucos minutos quais obrigações da LGPD você já cumpre e onde estão seus riscos. Sem juridiquês e sem papel de parede: um retrato honesto vale mais do que qualquer certificação LGPD que tentarem te vender.