Artigos | Postado no dia: 24 junho, 2025

Obrigações da LGPD para pequenas e médias empresas

A entrada em vigor da Lei Geral de Proteção de Dados, conhecida como LGPD, trouxe profundas mudanças na forma como empresas devem lidar com dados pessoais no Brasil.

Embora muitas pequenas e médias empresas (PMEs) acreditem que a lei se aplica apenas a grandes corporações, essa percepção está incorreta. A LGPD se aplica a qualquer empresa, independentemente do porte, que realize o tratamento de dados pessoais no território nacional — inclusive microempresas e MEIs.

Mas, afinal, quais são as obrigações para adequação à LGPD em pequenas e médias empresas? Como essas organizações podem estruturar suas operações para estarem em conformidade sem comprometer sua sustentabilidade financeira?

Este artigo responde essas perguntas com base nas práticas jurídicas brasileiras, de forma didática, acessível e direta.

A LGPD também é para você: entendendo o alcance da lei

Primeiramente, é fundamental entender que a LGPD não faz distinção de porte empresarial. Isso significa que todas as empresas que coletam, armazenam, utilizam ou compartilham dados pessoais precisam respeitar os princípios, direitos e obrigações previstos na legislação.

Portanto, se sua empresa solicita nome, CPF, e-mail, endereço, dados bancários ou até mesmo um simples formulário de contato em seu site, já está tratando dados pessoais e, portanto, precisa se adequar à LGPD.

Antes de partir para as obrigações práticas, é essencial conhecer a estrutura de obrigações previstas na LGPD, e, sobretudo, seus pilares e fundamentos:

A LGPD traz expressamente seus fundamentos como: o respeito à privacidade, a autodeterminação informativa, a liberdade de expressão, de informação, de comunicação e de opinião, a inviolabilidade da intimidade, da honra e da imagem, o desenvolvimento econômico e tecnológico e a inovação, a livre iniciativa, a livre concorrência, a defesa do consumidor, os direitos humanos, o livre desenvolvimento da personalidade, a dignidade e o exercício da cidadania pelas pessoas naturais.

Ainda que haja uma flexibilização para adequação das PME’s, todo tratamento de dados deverá observar os princípios da lei, e, portanto, todo o processo de adequação deverá atender a boa fé e aos pontos abaixo:

  1. Finalidade: O tratamento dos dados deve ter propósitos legítimos, específicos, explícitos e informados ao titular, sem que haja tratamento posterior incompatível com essas finalidades.
  2. Adequação: A compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento.
  3. Necessidade: A coleta e o uso dos dados devem ser limitados ao mínimo indispensável para a realização das finalidades, evitando excessos.
  4. Livre Acesso: Os titulares têm o direito de consultar de forma facilitada e gratuita todas as informações sobre o tratamento de seus dados.
  5. Qualidade dos Dados: Garantia de que os dados estejam exatos, claros, relevantes e atualizados, conforme a necessidade e a finalidade do tratamento.
  6. Transparência: Fornecimento de informações claras, precisas e facilmente acessíveis sobre como os dados são tratados e por quem.
  7. Segurança: Adoção de medidas técnicas e administrativas para proteger os dados pessoais contra acessos não autorizados, perdas ou alterações.
  8. Prevenção: Implementação de ações para prevenir a ocorrência de danos em virtude do tratamento de dados.
  9. Não Discriminação: Impossibilidade de realizar o tratamento de dados para fins discriminatórios ilícitos ou abusivos.
  10. Responsabilização e Prestação de Contas: Demonstração, pelo agente de tratamento, da adoção de medidas eficazes para comprovar a observância e o cumprimento das normas de proteção de dado

A lei também traz os seguintes conceitos:

  • Dado pessoal: qualquer informação que identifique ou possa identificar uma pessoa física (como nome, RG, CPF, IP, localização etc.).
  • Dado sensível: dados sobre origem racial, religião, opinião política, saúde, vida sexual, dados genéticos ou biométricos.
  • Titular de dados: é a pessoa a quem os dados se referem.
  • Tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;
  • Controlador: quem decide sobre o tratamento dos dados (normalmente, a própria empresa).
  • Operador: quem realiza o tratamento dos dados em nome do controlador (como um sistema terceirizado).
  • Encarregado de Dados (DPO): pessoa indicada pela empresa para atuar como canal de comunicação com os titulares e com a ANPD.

Com esses conceitos em mente, fica mais claro o que precisa ser implementado na prática.

Processo de adequação à LGPD em PMEs

Embora a LGPD seja igual para todos, a Autoridade Nacional de Proteção de Dados (ANPD) publicou a Resolução CD/ANPD nº 2/2022, que estabelece normas simplificadas para agentes de tratamento de pequeno porte, como microempresas, empresas de pequeno porte, startups e organizações sem fins lucrativos.

Com base nessa regulamentação, podemos listar algumas etapas para o processo de adequação  obrigações para pequenas e médias empresas:

Mapeamento dos dados pessoais

O primeiro passo é mapear todos os processos de tratamento de dados e identificar quais os dados que a empresa coleta, armazena, compartilha e elimina e seu ciclo de vida. Isso inclui:

  • Identificar quais são os titulares (pessoas) que fornecem seus dados para empresa (clientes, empregados, fornecedores, parceiros, visitantes de site, candidatos, etc.)
  • Identificar os processos de tratamento de dados pessoais realizados pela empresa, analisando as atividades internas ou externas, os dados envolvidos, a finalidade, a necessidade e o ciclo de vida (coleta, armazenamento, uso, compartilhamento e descarte).
  • Mapear quais dados são compartilhados com terceiros e a motivação do compartilhamento
  • Apontar quais são as medidas preventivas e de segurança que já são adotadas pela empresa.

Esse levantamento deve identificar todas as atividades da empresa que envolvem o tratamento de dados pessoais e quais são as informações dos titulares de dados que são processadas pela empresa, sua finalidade, por qual motivo, onde são armazenados e por quanto tempo ficam retidos.

Com a conclusão do mapeamento será possível a empresa ter uma visão clara sobre todo o seu processo de tratamento de dados. poderá tomar decisões e implementar medidas necessárias ao processo de adequação à lei.

Definição da base legal para o tratamento dos dados

A LGPD estabelece base legais para tratamento de dados pessoais (10 hipóteses legais) e sensíveis (8 hipóteses legais) (art. 7º e 11º para que o tratamento de dados seja considerado lícito. As mais comuns para PMEs são:

  • Consentimento do titular;
  • Cumprimento de obrigação legal ou regulatória;
  • Execução de contrato;
  • Legítimo interesse.
  • Exercício regular de direitos em processo judicial

É fundamental que a empresa consiga justificar cada coleta de dado com base em uma hipótese legal listada nos arts. 7º e 11º.

O uso indiscriminado do consentimento pode ser um erro. Muitas vezes a execução de contrato ou o cumprimento de obrigação legal são mais apropriados a depender do tratamento de dados realizados.

Ponto importante – existem bases legais que não podem ser utilizadas em tratamento de dados sensíveis, por isso, fiquem atentos para o tipo de dado tratado para a definição da base legal.

Elaboração de políticas

A empresa deve elaborar e divulgar uma Política de Privacidade clara e acessível. Este documento deve informar aos titulares:

  • Quais dados são coletados;
  • Por que esses dados são necessários;
  • Como os dados são armazenados e protegidos;
  • Com quem os dados são compartilhados;
  • Como o titular pode exercer seus direitos.

A política deve estar disponível no site, redes sociais ou por meio físico, conforme o canal de relacionamento da empresa com seus públicos.

A empresa deverá estar atenta para criação de outras políticas e documentos, como por exemplo: política de segurança, política de resposta a incidentes de segurança, termos de consentimento, termos de uso, termos de confidencialidade, política de atendimento aos titulares de dados, entre outras.

Essas políticas, adaptadas à complexidade e operação da PME, fortalecem a proteção de dados e asseguram conformidade com a LGPD sem onerar os processos internos.

Tratamento seguro dos dados

Mesmo com recursos limitados, é dever da PME garantir medidas de segurança da informação, de acordo com o nível de risco à privacidade dos titulares de dados e a realidade da empresa:

Podemos citar algumas medidas de segurança:

  • Uso de senhas fortes;
  • Controle de acesso aos sistemas;
  • Backup regular dos dados;
  • Antivirus e firewall atualizados;
  • Proteção contra acessos autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.

Além disso, colaboradores devem ser orientados sobre boas práticas e condutas éticas no tratamento de dados.

Atendimento aos direitos dos titulares

A LGPD garante diversos direitos aos titulares, como:

  • Confirmação da existência do tratamento;
  • Acesso aos dados;
  • Correção de dados incompletos ou desatualizados;
  • Revogação do consentimento;
  • Exclusão de dados desnecessários.

A empresa precisa criar um canal de atendimento ao titular para receber e responder essas solicitações dentro de um prazo razoável (normalmente, até 30 dias a depender do caso concreto).

Registro das atividades de tratamento

O cumprimento do Registro de Atividades de Tratamento (ROPA) poderá ser cumprido de forma simplificada e a ANPD fornece modelo para uso das empresas.

Comunicação de incidentes de segurança

Caso ocorra um vazamento de dados, a PME deve comunicar à ANPD em 6 dias úteis e aos titulares. A Resolução da ANPD autoriza um procedimento simplificado para pequenos agentes, mas a comunicação é obrigatória.

De acordo com as resoluções da ANPD, o controlador poderá realizar a complementação das informações enviadas, se necessário, dentro do prazo de 20 dias úteis, contados da data da comunicação inicial. Esse prazo será dobrado para agentes de pequeno porte, totalizando 40 dias úteis.

Quais são as penalidades para quem descumpre a LGPD?

O descumprimento da LGPD pode gerar diversas sanções administrativas, como:

  • Advertência;
  • Multas de até 2% do faturamento, limitadas a R$ 50 milhões por infração;
  • Publicação da infração;
  • Bloqueio ou eliminação dos dados pessoais envolvidos.

Mais do que isso, a imagem da empresa pode ser gravemente comprometida em caso de vazamento ou uso indevido de dados. E o risco de ações judiciais por parte dos titulares também é real.

Pequenas e médias empresas são obrigadas a nomear um DPO?

De forma geral, pequenas e médias empresas não são obrigadas a nomear um DPO (Encarregado pelo Tratamento de Dados Pessoais).

A Resolução CD/ANPD nº 2/2022, que regulamenta o tratamento de dados por agentes de pequeno porte, prevê expressamente a dispensa dessa exigência, desde que a empresa não realize operações de alto risco aos direitos dos titulares.

Essa exceção é um dos principais pontos do regime jurídico simplificado previsto para PMEs, startups, microempresas e outras organizações de menor porte.

No entanto, mesmo dispensadas da nomeação formal do DPO, essas empresas devem manter um canal de comunicação ativo e eficaz com os titulares de dados, possibilitando o atendimento de solicitações, esclarecimentos e exercício dos direitos previstos na LGPD.

Vale lembrar que, caso a empresa trate dados sensíveis, em larga escala, ou de crianças e adolescentes, ou adote práticas com alto potencial de impacto nos direitos fundamentais dos titulares, ela poderá ser obrigada a cumprir todas as regras da LGPD, incluindo a nomeação de um encarregado.

Por fim, ainda que não seja obrigatório, nomear um responsável interno ou terceirizado para tratar das questões relacionadas à proteção de dados pode ser uma boa prática, demonstrando comprometimento com a conformidade e prevenindo riscos jurídicos.

Como começar a adequação à LGPD de forma simples e prática?

A seguir, um passo a passo prático para pequenas e médias empresas darem os primeiros passos:

  1. Levante todos os dados que sua empresa coleta.
  2. Revise contratos e formulários, adaptando-os à LGPD.
  3. Elabore sua política de privacidade e disponibilize-a ao público.
  4. Treine seus colaboradores sobre boas práticas de proteção de dados.
  5. Implemente medidas básicas de segurança da informação.
  6. Crie um canal para atendimento aos titulares de dados.
  7. Registre as atividades de tratamento.
  8. Nomeie um encarregado pelo tratamento de dados (DPO).
  9. Monitore os riscos e mantenha os documentos organizados.
  10. Busque assessoria jurídica quando necessário — principalmente em situações mais complexas.

Vale a pena para pequenas empresas investir na LGPD?

Definitivamente, sim. A adequação à LGPD não é apenas uma obrigação legal. Trata-se de um diferencial competitivo, que demonstra compromisso com a ética, a transparência e a proteção dos dados dos seus clientes e colaboradores.

Além disso, empresas que estiverem em conformidade com a LGPD terão mais facilidade para fechar parcerias comerciais, participar de licitações, manter relacionamento com grandes clientes e evitar passivos jurídicos e multas.

Conclusão

A adequação à LGPD pode parecer um desafio para pequenas e médias empresas, mas é perfeitamente viável quando se compreendem suas obrigações e se adotam medidas práticas.

Com a regulamentação da ANPD, ficou mais claro que é possível cumprir a legislação de forma proporcional à realidade desses negócios, sem burocracias excessivas.

Mapeamento de dados, políticas de privacidade, canal de atendimento ao titular e cuidados básicos com segurança da informação já representam um grande passo rumo à conformidade.

Mais do que evitar sanções, estar em conformidade com a LGPD é uma forma de construir confiança com clientes, parceiros e o mercado. A proteção de dados deixou de ser apenas uma exigência legal para se tornar um diferencial competitivo.

Este texto tem caráter puramente informativo e é fundamental que você consulte um advogado devidamente qualificado para obter orientações e direcionamentos precisos, adequados à sua situação específica. Caso tenha dúvidas, não hesite em nos contatar. Estamos à disposição para ajudá-lo.

FAQ – Adequação à LGPD para pequenas e médias empresas

  1. Pequenas empresas precisam seguir a LGPD?
    Sim. Todas as empresas que tratam dados pessoais no Brasil, independentemente do tamanho, devem cumprir a LGPD.
  2. PMEs são obrigadas a nomear um encarregado (DPO)?
    Pequenas e médias empresas geralmente não são obrigadas a nomear um DPO, exceto se realizarem tratamento de alto risco ou dados sensíveis.
  3. Como minha empresa pode criar uma política de privacidade?
    A política deve ser clara, informar quais dados são coletados, para que são usados, como são protegidos e como o titular pode exercer seus direitos.
  4. Quais dados minha empresa pode coletar legalmente?
    Somente dados pessoais necessários para a finalidade legítima da empresa, com base em uma base legal prevista na LGPD.
  5. Como atender aos direitos dos titulares?
    Disponibilize um canal de comunicação para receber solicitações de acesso, correção, exclusão ou revogação de consentimento dos titulares.
  6. O que fazer em caso de vazamento de dados?
    Acionar a equipe de segurança para implementação das medidas previstas na política de incidentes, promover a análise de risco e impacto para determinar se o incidente poderá impactar direitos dos titulares, elaboração de relatórios, comunicar a ANPD e titulares, quando o incidente puder acarretar risco ou dano relevante aos titulares, implementar medidas de remediação e recuperação, reavaliar processos, realizar o monitoramento e medidas e melhoria contínua.
  7. Minha PME precisa registrar as atividades de tratamento de dados?
    Sim, a ANPD regulamentou uma forma simplificada para o registro de atividades para PME.
  8. Quais penalidades minha empresa pode sofrer por não cumprir a LGPD?
    Multas, advertências, suspensão do tratamento de dados e danos à reputação podem ser aplicados pela ANPD.
  9. Existe suporte para pequenas empresas na LGPD?
    Sim. Pequenas empresas podem se organizar por meio de entidades representativas para facilitar o atendimento à LGPD.
  10. Onde encontrar ajuda jurídica para adequação à LGPD?
    Escritórios de advocacia especializados em proteção de dados, consultorias jurídicas e a própria ANPD disponibilizam materiais e orientações.

Voltar

Busca

Categorias

Posts recentes