LGPD para pequenas empresas: o que você precisa fazer
A LGPD (Lei Geral de Proteção de Dados Pessoais) entrou em vigor em 2020 e se aplica a todas as empresas que coletam ou tratam dados pessoais no Brasil — incluindo MEIs, microempresas e empresas de pequeno porte. A boa notícia é que a ANPD criou regras simplificadas para pequenos negócios.
O que é a LGPD
A Lei 13.709/2018 (LGPD) regula como empresas e organizações coletam, armazenam, processam e compartilham dados pessoais de pessoas físicas. Dados pessoais incluem qualquer informação que identifique ou possa identificar uma pessoa:
- Nome, CPF, RG, endereço
- E-mail, telefone
- Dados bancários
- Dados de saúde
- Dados de localização (GPS, IP)
- Cookies e histórico de navegação
A LGPD se aplica a pequenas empresas?
Sim. A LGPD se aplica a qualquer pessoa física ou jurídica que trate dados pessoais, independentemente do porte. Se a sua empresa coleta e-mails de clientes, cadastra CPFs em notas fiscais ou mantém uma lista de contatos, ela está sujeita à LGPD.
No entanto, a ANPD (Autoridade Nacional de Proteção de Dados) reconheceu que pequenas empresas têm menos recursos e publicou a Resolução CD/ANPD nº 2/2022, que simplifica diversas obrigações para:
- Microempreendedores Individuais (MEI)
- Microempresas (ME)
- Empresas de Pequeno Porte (EPP)
- Startups (conforme definição do Marco Legal das Startups)
O que muda com o tratamento simplificado
| Obrigação | Regra geral | Regra simplificada (MEI, ME, EPP) |
|---|---|---|
| Encarregado de dados (DPO) | Obrigatório | Não obrigatório (mas recomendado) |
| Registro de tratamento de dados | Detalhado | Simplificado |
| Comunicação de incidentes | Em prazo definido pela ANPD | Formato simplificado |
| Política de privacidade | Obrigatória | Obrigatória (pode ser simplificada) |
| Prazo para atender solicitações do titular | 15 dias | 15 dias (em dobro para questões complexas) |
| Canal de comunicação com titulares | Dedicado | Pode ser e-mail ou formulário simples |
A simplificação não dispensa a empresa de cumprir os princípios da LGPD — apenas facilita o processo de adequação.
Passos essenciais para adequação
1. Mapeie os dados pessoais que você coleta
Faça um inventário de todos os dados pessoais que sua empresa trata:
- Dados de clientes (nome, CPF, e-mail, telefone, endereço)
- Dados de funcionários (documentos, dados bancários, saúde)
- Dados de fornecedores e parceiros
- Dados coletados pelo site (cookies, formulários, e-mail marketing)
2. Defina a base legal para cada tratamento
A LGPD exige que todo tratamento de dados tenha uma base legal. As mais comuns para pequenas empresas são:
| Base legal | Quando usar |
|---|---|
| Consentimento | Envio de newsletter, e-mail marketing |
| Execução de contrato | Cadastro de cliente para prestação de serviço |
| Obrigação legal | Emissão de nota fiscal (CPF obrigatório) |
| Legítimo interesse | Comunicações sobre produtos/serviços já contratados |
| Proteção ao crédito | Análise de crédito de clientes |
3. Crie uma política de privacidade
Toda empresa com presença digital deve ter uma política de privacidade acessível, informando:
- Quais dados são coletados e por quê
- Como os dados são armazenados e protegidos
- Com quem os dados são compartilhados
- Quais são os direitos do titular
- Como exercer esses direitos (canal de contato)
A política pode ser simples e direta — o importante é que seja clara e verdadeira.
4. Implemente medidas de segurança
Mesmo pequenas empresas devem adotar medidas básicas de proteção:
- Senhas fortes em todos os sistemas
- Antivírus e firewall atualizados
- Backup regular dos dados
- Controle de acesso — cada funcionário acessa apenas os dados necessários
- Criptografia em comunicações sensíveis (e-mail, WhatsApp Business)
- Atualização de software — manter sistemas operacionais e aplicativos atualizados
5. Prepare-se para atender solicitações dos titulares
Os titulares dos dados (clientes, funcionários) têm direito a:
- Confirmar se seus dados são tratados
- Acessar seus dados
- Corrigir dados incompletos ou desatualizados
- Solicitar a eliminação de dados desnecessários
- Revogar o consentimento
- Solicitar a portabilidade dos dados
Sua empresa deve ter um canal simples (e-mail ou formulário) para receber e responder essas solicitações em até 15 dias.
6. Gerencie o consentimento para marketing
Se você envia e-mails promocionais, mensagens no WhatsApp ou utiliza listas de contatos para marketing:
- Obtenha consentimento explícito antes de enviar
- Mantenha registro de quando e como o consentimento foi dado
- Ofereça opção de descadastramento (unsubscribe) em todas as comunicações
- Não compartilhe listas de contatos com terceiros sem consentimento
O encarregado de dados (DPO)
Embora não seja obrigatório para pequenas empresas, é recomendável designar uma pessoa responsável por:
- Orientar funcionários sobre proteção de dados
- Receber reclamações de titulares
- Comunicar-se com a ANPD quando necessário
- Monitorar o cumprimento da LGPD na empresa
Pode ser o próprio empresário, um funcionário designado ou um serviço terceirizado.
Penalidades por descumprimento
A ANPD pode aplicar as seguintes sanções:
| Sanção | Detalhes |
|---|---|
| Advertência | Com prazo para correção |
| Multa simples | Até 2% do faturamento anual, limitada a R$ 50 milhões por infração |
| Multa diária | Até o limite de R$ 50 milhões |
| Publicização da infração | Divulgação pública do descumprimento |
| Bloqueio dos dados | Suspensão do tratamento dos dados |
| Eliminação dos dados | Obrigação de excluir os dados pessoais |
Para pequenas empresas, as penalidades tendem a ser proporcionais ao porte. Porém, a publicização da infração pode causar dano reputacional significativo.
Erros comuns de pequenas empresas
- Acreditar que a LGPD não se aplica — se você coleta dados pessoais, a lei se aplica
- Não ter política de privacidade no site — é obrigatória e deve ser facilmente acessível
- Enviar e-mails sem consentimento — compra de listas de e-mail é prática ilegal
- Guardar dados desnecessários — colete apenas o mínimo necessário para a finalidade
- Não treinar funcionários — quem lida com dados precisa conhecer as regras básicas
Na SedeFiscal, tratamos os dados dos nossos clientes em conformidade com a LGPD e orientamos empresários sobre a importância da proteção de dados desde o início das operações. Um endereço fiscal profissional em Porto Alegre, aliado a boas práticas de privacidade, fortalece a credibilidade da empresa perante clientes e parceiros.
A adequação à LGPD não precisa ser complexa para pequenas empresas. Comece pelos passos essenciais, documente seus processos e evolua a maturidade de proteção de dados conforme a empresa cresce.
Precisa de endereço fiscal para sua empresa?
Planos a partir de R$ 19,90/mês com gestão de correspondências inclusa.
Conhecer Planos