LGPD se aplica à minha pequena empresa?
Sim. A Lei Geral de Proteção de Dados (Lei nº 13.709/2018) se aplica a qualquer pessoa física ou jurídica que colete, processe ou armazene dados pessoais de pessoas naturais no Brasil — independentemente do porte.Se você tem um cadastro de clientes, usa e-mail marketing, processa folha de pagamento ou registra dados em sistemas de gestão, a LGPD se aplica à sua empresa.
A boa notícia: a lei diferencia entre controladores (quem decide o que fazer com os dados) e operadores (quem processa por conta do controlador), e há flexibilidade na aplicação para microempresas e startups em estágio inicial — mas a isenção é limitada, não total.
O que é dado pessoal?
Dado pessoal é qualquer informação que identifique ou possa identificar uma pessoa:
- Nome, CPF, RG, e-mail, telefone
- Endereço, IP, localização GPS
- Dados biométricos (impressão digital, face)
- Dados de saúde, financeiros, comportamentais
- Dados de menores de 18 anos (tratamento especial, com consentimento dos responsáveis) Dado sensível (requer cuidado extra): origem racial, religião, opinião política, saúde, vida sexual, dado genético ou biométrico.
- Consentimento: usuário autoriza explicitamente (newsletter, marketing)
- Execução de contrato: dados necessários para prestar o serviço (endereço para entrega, CPF para NF)
- Obrigação legal: dados que a lei exige guardar (folha de pagamento, dados fiscais)
- Legítimo interesse: fins legítimos do negócio (prevenção de fraude, segurança)
- Advertência
- Multa de até 2% do faturamento, limitada a R$ 50 milhões por infração
- Bloqueio ou eliminação dos dados
- Publicização da infração (dano reputacional)
- Inventariar todos os dados pessoais processados
- Identificar base legal para cada tratamento
- Redigir Política de Privacidade e publicar no site
- Implementar banner de cookies Mês 2 — Controles técnicos
- Revisar acessos: quem tem acesso a quais sistemas?
- Implementar MFA em todos os sistemas críticos
- Verificar se backups existem e são testados
- Assinar DPAs com fornecedores de tecnologia Mês 3 — Governança
- Nomear DPO (interno ou externo)
- Criar canal para atendimento de titulares
- Treinar a equipe em boas práticas de segurança
- Documentar o plano de resposta a incidentes
As 10 obrigações práticas da LGPD
1. Mapeamento de dados (Data Mapping)
Saber quais dados você coleta, por quê, onde ficam, quem acessa e por quanto tempo.Ferramentas simples: uma planilha com colunas tipo de dado / finalidade / sistema onde fica / quem acessa / prazo de retenção.
2. Base legal para o tratamento
Toda coleta de dado precisa de uma base legal. As mais usadas por PMEs:3. Política de Privacidade
Documento público no site explicando: quais dados coleta, para que, com quem compartilha, por quanto tempo guarda, como o titular pode exercer seus direitos.Não precisa ser longa. Precisa ser clara e honesta.
4. Aviso de cookies
Se o site usa cookies (Google Analytics, pixels de remarketing, etc.), precisa de banner de consentimento de cookies.5. Canal para direitos dos titulares
Os titulares têm direitos: acessar seus dados, corrigir, excluir, revogar consentimento, saber com quem foi compartilhado.Você precisa ter um canal (e-mail funciona) para receber e responder essas solicitações em 15 dias.
6. DPO (Encarregado de Dados)
Obrigatório para empresas que processam dados em larga escala ou dados sensíveis. Para pequenas empresas que processam dados operacionais normais, pode ser uma pessoa interna ou um DPO externo (as-a-service).7. Contratos com operadores
Toda empresa que processa seus dados (fornecedor de nuvem, sistema de ERP, plataforma de e-mail marketing) precisa de contrato com cláusulas de proteção de dados (DPA — Data Processing Agreement).Na prática: AWS, Google, Microsoft, Totvs, etc. já têm DPAs padrão. Você só precisa assinar/aceitar.
8. Política de segurança da informação
Controles mínimos: antivírus, MFA para acesso a sistemas críticos, backup testado, acesso por privilégio mínimo (funcionário acessa só o que precisa para o trabalho).9. Plano de resposta a incidentes
O que fazer se houver vazamento? A LGPD exige notificação à ANPD em 72 horas para incidentes que possam causar risco aos titulares.Ter um plano básico (quem decide, quem notifica, como preservar evidências) já coloca a empresa em conformidade.
10. Treinamento da equipe
A maioria dos incidentes começa com erro humano: clique em phishing, senha fraca, dispositivo perdido. Treinamento anual de conscientização é obrigatório para qualquer programa sério de compliance.O que pode gerar multa?
A ANPD (Autoridade Nacional de Proteção de Dados) pode aplicar:
Mas na prática, em 2024–2025, a ANPD priorizou empresas de médio e grande porte nas investigações formais. PMEs foram mais impactadas por ações civis movidas por titulares prejudicados (vazamento de dados que gerou fraude, por exemplo).
Roteiro de adequação para PMEs em 90 dias
Mês 1 — Mapear e documentarLGPD não é só compliance — é vantagem competitiva
Empresas que tratam dados com responsabilidade ganham confiança do cliente. Em setores como saúde, financeiro e educação, a conformidade com LGPD já é critério eliminatório em licitações e contratos B2B.
Além disso, os controles implementados para LGPD (MFA, privilégio mínimo, backup, treinamento) reduzem diretamente o risco de ransomware e outros ataques — o ROI vai além do compliance.
A Nexus Tecnologia apoia pequenas e médias empresas na adequação à LGPD: mapeamento de dados, implementação de controles técnicos (DLP, MFA, monitoramento de acessos) e documentação de conformidade.