LGPD

LGPD na prática para PMEs.

Publicado em 18 de abril de 2026 · 8 min de leitura

A LGPD (Lei 13.709/2018) assusta muita gente pelos valores máximos de multa (2% do faturamento, limitado a R$ 50 milhões), mas a realidade da fiscalização da ANPD para empresas pequenas e médias é bem diferente. Esse texto é o que você precisa saber para dormir tranquilo sem contratar um DPO full-time.

O que a ANPD realmente fiscaliza

Analisando as autuações publicadas em 2024–2026, a ANPD concentra fiscalização em PMEs nestes pontos:

  1. Vazamento de dados — quase sempre por senha fraca ou servidor exposto. Multa média: R$ 20–50 mil + TAC.
  2. Marketing agressivo sem consentimento — envio massivo de SMS/WhatsApp sem opt-in, especialmente usando base "comprada" de terceiros.
  3. Falta de resposta aos titulares — quando alguém solicita acesso/exclusão dos dados e a empresa ignora ou demora. A reclamação direta à ANPD é trivial (formulário online).
  4. Ausência do encarregado (DPO) — não precisa ser funcionário exclusivo, pode ser terceirizado ou mesmo o dono; mas precisa existir e estar publicado.

As 7 ações que tiram você da zona de risco este mês

Ação 1 — Nomear um DPO e publicar contato

Pode ser o dono, o sócio administrativo, um funcionário de TI, ou um advogado externo. O importante é ter um e-mail dedicado (ex: dpo@sua-empresa.com.br) respondido em até 15 dias corridos. Publique na sua política de privacidade e no site.

Ação 2 — Escrever uma política de privacidade

Não precisa ser um documento de 40 páginas. Precisa responder:

  • Que dados você coleta (cadastro, uso, técnicos)?
  • Para qual finalidade?
  • Com quem compartilha (operadores, parceiros)?
  • Por quanto tempo guarda?
  • Como o titular exerce direitos?

Veja a nossa política como referência — é um template aplicável a qualquer SaaS/empresa de serviço.

Ação 3 — Mapear onde estão os dados pessoais

Na prática: liste todos os sistemas que sua empresa usa e o que cada um coleta. ERP tem CPF de cliente? O CRM guarda telefone e endereço? A folha processa dados de saúde (atestados)? Escreva isso numa tabela simples (até planilha basta). Isso é o Registro de Operações de Tratamento (ROT), artigo 37 da LGPD.

Ação 4 — Obter consentimento quando aplicável

Nem toda coleta precisa de consentimento. As bases legais mais usadas em PME são:

  • Execução de contrato: para tratar dados de clientes/funcionários (você não precisa perguntar "posso salvar seu CPF?" — precisa desses dados pra emitir NF e pagar salário);
  • Obrigação legal: para dados fiscais e trabalhistas (SEFAZ, eSocial, FGTS);
  • Legítimo interesse: segurança, prevenção a fraude, melhoria de produto;
  • Consentimento: marketing opcional, pesquisas, cookies não essenciais.

Só precisa de consentimento explícito para a última categoria. E consentimento precisa ser inequívoco (checkbox não pré-marcado) e revogável (opt-out simples).

Ação 5 — Controlar acessos internos

Quem da sua empresa pode ver CPF de cliente? Senha de banco? Salário dos outros funcionários? Princípio do menor privilégio: cada pessoa só tem acesso ao que precisa para o trabalho dela.

Sistemas com controle de papel (como o Automatiza) resolvem isso nativamente — você marca um funcionário como "Vendas" e ele não vê folha, nem extrato, nem relatório executivo.

Ação 6 — Ter plano de resposta a incidente

Incidente é qualquer evento que possa causar risco aos titulares: vazamento, acesso indevido, perda. Preparar antes:

  • Quem recebe a notificação inicial (DPO + TI + jurídico)?
  • Como contém (trocar senhas, revogar acessos, isolar servidor)?
  • Quem notifica a ANPD (via formulário gov.br)?
  • Qual a comunicação aos titulares afetados?

Prazo para comunicar a ANPD após conhecimento: 72h. Seguir resolução CD/ANPD 15/2024.

Ação 7 — Auditar subprocessadores

Toda empresa que trata dados por você (hospedagem, e-mail, CRM, ERP, WhatsApp) é um operador. Você precisa de contrato formal (DPA — Data Processing Agreement) com cada um. Os grandes provedores (AWS, Google, Microsoft, Cloudflare) já oferecem DPA padrão para assinar online.

O que NÃO é obrigação (apesar do mito)

  • ❌ Ter certificação ISO 27701 — é útil, mas não obrigatório.
  • ❌ Criptografar 100% de tudo — o princípio é "adequado ao risco". Dados muito sensíveis (saúde, financeiro) exigem; nome e e-mail comum, não necessariamente.
  • ❌ Armazenar tudo no Brasil — a LGPD permite transferência internacional mediante cláusulas contratuais padrão.
  • ❌ Contratar DPO full-time dedicado — pode ser acumulado com outra função, desde que sem conflito de interesse.

Custo real de não cumprir

Multa máxima é R$ 50 milhões, mas a fiscalização começa bem antes. O percurso típico para PMEs é:

  1. Reclamação de titular via formulário ANPD;
  2. Solicitação de esclarecimento pela ANPD (prazo de 15 dias);
  3. Se não responder adequadamente: advertência;
  4. Em caso de reincidência ou gravidade: multa (em geral R$ 5–50 mil para PME);
  5. Em vazamento doloso com danos: pode chegar aos milhões.

Conversar sobre LGPD no meu negócio →