LGPD para Empresas: O Que Você Precisa Fazer Agora

A Lei Geral de Proteção de Dados (LGPD — Lei nº 13.709/2018) está em vigor desde setembro de 2020, com sanções aplicáveis desde agosto de 2021. Apesar disso, pesquisa do Sebrae aponta que a maioria das pequenas e médias empresas brasileiras ainda não está em conformidade. Se a sua empresa processa dados pessoais de clientes, funcionários ou parceiros — e toda empresa faz — este guia é para você.

O que é a LGPD e por que sua empresa precisa se adequar

A LGPD estabelece regras sobre como dados pessoais de indivíduos (chamados de “titulares”) devem ser coletados, armazenados, tratados e eliminados por empresas e organizações (chamados de “controladores” e “operadores”).

Dados pessoais são qualquer informação que identifique ou possa identificar uma pessoa: nome, CPF, endereço, e-mail, telefone, IP, localização, dados de saúde, entre outros.

Por que adequar?

Multas: A ANPD pode aplicar multas de até R$ 50 milhões por infração ou até 2% do faturamento da empresa no Brasil. Para PMEs, há proporcionalidade, mas a exposição é real.

Reputação: Vazamentos de dados geram danos reputacionais graves. Um incidente midiático pode custar mais que qualquer multa.

Exigência de parceiros: Grandes empresas e o governo federal já exigem atestados de conformidade de fornecedores e parceiros.

Concorrência: Adequação à LGPD se torna diferencial competitivo — especialmente em contratos B2B.

As bases legais: você precisa ter uma razão para tratar dados

A LGPD não proíbe o tratamento de dados — ela exige que haja uma base legal para isso. As 10 bases legais são definidas no Art. 7º da lei. As mais comuns para empresas são:

Base legal	Quando usar
Consentimento	Quando o titular autoriza livremente e de forma específica
Contrato	Necessário para execução de contrato com o titular
Obrigação legal	Cumprimento de lei ou regulação (ex: dados trabalhistas)
Legítimo interesse	Interesses legítimos do controlador que não sobrepõem direitos do titular
Proteção do crédito	Atividades de análise de crédito

Importante: consentimento não é a única base legal. Em muitos casos, outras bases (como execução de contrato) são mais adequadas e não exigem gestão de consentimento.

O que sua empresa precisa fazer na prática

1. Mapeamento de dados (Data Mapping)

O primeiro passo é entender quais dados você trata, de quem, para que fins, onde estão armazenados e por quanto tempo.

Crie uma planilha (ou use uma ferramenta) com:

Categoria de dado (nome, CPF, e-mail, etc.)
Titular (cliente, funcionário, fornecedor)
Finalidade (cadastro, marketing, folha de pagamento)
Base legal (contrato, consentimento, obrigação legal)
Armazenamento (sistema CRM, Excel, e-mail, papel)
Prazo de retenção (quanto tempo guardar)
Compartilhamento (quem mais tem acesso: contador, marketing terceirizado)

2. Política de privacidade

Toda empresa deve ter uma política de privacidade pública, clara e em português descrevendo:

Quais dados são coletados
Para que fins
Com quem são compartilhados
Por quanto tempo são guardados
Como o titular pode exercer seus direitos

Se você tem um site, a política deve ser acessível em link no rodapé.

3. Gestão de consentimento (quando aplicável)

Para dados coletados com base em consentimento (ex: newsletter, cookies de marketing):

O consentimento deve ser livre, específico, informado e inequívoco
Deve ser tão fácil revogar quanto conceder
Deve ser registrado (quando, como, o que foi consentido)
Pop-up com pré-marcação não é consentimento válido

4. Contratos com operadores de dados

Todo fornecedor que acessa dados pessoais seus (contador, empresa de TI, plataforma de e-mail marketing, CRM em nuvem) é um operador e deve ter contrato com cláusulas de proteção de dados.

Revise contratos existentes e adicione DPA (Data Processing Agreement) quando necessário.

5. Indicação de Encarregado (DPO)

A LGPD exige a indicação de um Encarregado de Proteção de Dados (DPO — Data Protection Officer). Para PMEs, pode ser:

Funcionário interno designado
Empresa terceirizada de DPO (DPO as a Service)
Em alguns casos, o próprio dono da empresa

O encarregado deve ser publicamente identificado no site da empresa.

6. Procedimento para resposta a direitos dos titulares

Os titulares têm 9 direitos assegurados pela LGPD, incluindo:

Acesso aos seus dados
Correção de dados incorretos
Eliminação de dados
Portabilidade
Revogação do consentimento

Você precisa ter um processo para responder a essas solicitações em até 15 dias.

7. Plano de resposta a incidentes

Em caso de violação de dados (vazamento, acesso não autorizado), a LGPD exige:

Notificação à ANPD em prazo razoável (ANPD orientou 72 horas para incidentes graves)
Comunicação aos titulares afetados
Documentação do incidente e medidas tomadas

Tenha um plano pronto antes do incidente acontecer.

Por onde começar: roteiro para PMEs

Semana 1 — Diagnóstico

Liste todos os sistemas que guardam dados pessoais (CRM, ERP, planilhas, e-mails, câmeras)
Identifique quem na empresa acessa esses dados
Verifique seus contratos com fornecedores de TI e cloud

Semana 2 — Mapeamento

Crie a planilha de mapeamento de dados com as categorias acima
Identifique as bases legais para cada fluxo de dados
Documente os prazos de retenção de cada tipo de dado

Semana 3 — Documentação

Elabore ou revise a política de privacidade
Crie o aviso de cookies para o site
Prepare modelo de solicitação de direitos do titular

Semana 4 — Implementação

Indique formalmente o encarregado de dados
Adicione cláusulas de proteção de dados em contratos com fornecedores
Treine a equipe sobre as regras básicas da LGPD
Implemente gestão de consentimento no site

Multas e sanções: o que a ANPD já aplicou

A ANPD aplicou as primeiras sanções em 2023, e o volume de processos cresce rapidamente. As penalidades previstas incluem:

Advertência com prazo para correção
Multa simples de até 2% do faturamento (máximo R$ 50 mi por infração)
Multa diária enquanto a infração persistir
Publicização da infração — extremamente danosa à reputação
Bloqueio ou eliminação dos dados relacionados à infração
Suspensão das operações de tratamento
Proibição parcial ou total de atividades relacionadas ao tratamento

Para PMEs, a ANPD usa proporcionalidade, mas isso não significa imunidade — significa que multas serão proporcionais ao tamanho e capacidade da empresa.

Ferramentas gratuitas para ajudar na adequação

ANPD — Guia Orientativo: guias específicos por setor disponíveis no site da ANPD
Serpro — Plataforma de Privacidade: ferramenta gratuita para mapeamento de dados
OneTrust Free Tier: versão gratuita para gestão básica de consentimento
Privacy Tools Brasil: plataforma brasileira com templates de documentos

Perguntas frequentes sobre LGPD

MEI e microempresa precisam se adequar à LGPD? Sim, se processam dados pessoais de clientes ou funcionários. A lei não tem exclusão para tamanho de empresa. A diferença é proporcionalidade nas sanções.

LGPD se aplica a dados de funcionários? Sim. Dados de candidatos, funcionários e ex-funcionários são cobertos pela lei.

Posso guardar dados de clientes indefinidamente? Não. Dados devem ser eliminados quando não há mais finalidade legítima para mantê-los, salvo obrigação legal (ex: dados fiscais por 5 anos, trabalhistas por 5 anos).

A LGPD se aplica se eu só vendo para empresas (B2B)? Depende. Se você coleta dados dos funcionários das empresas clientes (ex: nome do comprador, e-mail do responsável), sim, a LGPD se aplica.

Quanto custa me adequar à LGPD? Para PMEs, o custo de adequação básica pode variar de gratuito (usando templates e esforço interno) a R$ 3.000-15.000 para consultoria especializada. DPO as a Service parte de cerca de R$ 500/mês.

Conformidade com a LGPD não é burocracia — é proteção da sua empresa e dos seus clientes. Comece com o mapeamento de dados e avance por etapas. O importante é dar o primeiro passo e documentar o progresso. Em caso de investigação, demonstrar comprometimento com a adequação conta a seu favor.

Alertas de Segurança

Sem spam. Cancele quando quiser. Ao se inscrever você concorda com nossa política de privacidade.