Pular para o conteúdo
Direito Digital

LGPD para pequenas empresas: por onde começar?

A Lei Geral de Proteção de Dados aplica-se a empresas de qualquer porte. Para pequenos negócios, o caminho começa com mapeamento, base legal e política de privacidade alinhadas à operação real.

BS Bruno Schafer OAB/SC 76.045

A Lei Geral de Proteção de Dados (Lei 13.709/2018) entrou em vigor em 2020 e se aplica a qualquer organização que trate dados pessoais no Brasil, independentemente do porte. Pequenas empresas, MEIs e profissionais autônomos estão dentro do escopo, embora a ANPD reconheça regimes mais simplificados para pequenos agentes de tratamento (Resolução CD/ANPD nº 2/2022).

O que muda na prática para a pequena empresa?

A LGPD não exige nem grandes investimentos nem times dedicados de compliance. Exige, sim, decisões estruturadas sobre como a empresa lida com os dados pessoais que coleta, armazena, compartilha e descarta. Para um pequeno negócio, isso costuma envolver quatro frentes principais:

  1. Mapeamento dos dados pessoais que entram e saem da operação.
  2. Definição da base legal para cada tratamento.
  3. Comunicação com os titulares dos dados (clientes, funcionários, fornecedores).
  4. Resposta organizada a incidentes caso ocorra vazamento ou exposição.

O que precisa ser mapeado?

O ponto de partida é entender quais dados pessoais a empresa trata. Isso inclui:

  • Dados de clientes: nome, CPF, e-mail, telefone, endereço, dados de pagamento;
  • Dados de funcionários: documentos, histórico, dados bancários, dependentes;
  • Dados de fornecedores e parceiros, quando há pessoas físicas envolvidas;
  • Dados em ferramentas de marketing e comunicação: leads de site, listas de e-mail, métricas de redes sociais;
  • Dados sensíveis, quando aplicável (saúde, biometria, religião, etnia, opinião política).

A pergunta a responder é: para cada conjunto de dados, onde fica armazenado, com quem é compartilhado e por quanto tempo é retido. O mapeamento não precisa ser sofisticado, uma planilha simples já atende.

Quais são as bases legais?

A LGPD prevê dez bases legais (artigo 7º). Para pequenas empresas, as mais usadas costumam ser:

  • Execução de contrato (vender um produto, prestar um serviço): a base mais comum e robusta;
  • Cumprimento de obrigação legal ou regulatória: emissão de nota fiscal, retenção de dados trabalhistas, registros do Banco Central;
  • Legítimo interesse: análise de crédito, prevenção de fraude, comunicação com clientes ativos sobre produtos similares;
  • Consentimento: para finalidades secundárias como newsletter, marketing direto ou compartilhamento com parceiros.

Cada operação de tratamento precisa estar amparada por uma base legal específica. O consentimento, embora seja a base mais conhecida, é frequentemente a menos adequada, exige formalidades, é revogável a qualquer tempo e nem sempre se aplica.

Política de privacidade, o documento prático

A política de privacidade do site não é um documento decorativo. Ela é o instrumento principal de transparência exigido pela LGPD (artigo 9º). Para funcionar, precisa:

  • Refletir a operação real da empresa, não um modelo genérico copiado de outro site;
  • Listar quais dados são coletados, com qual finalidade e por quanto tempo;
  • Identificar com quais terceiros os dados são compartilhados (Google Analytics, Mailchimp, gateway de pagamento, hospedagem em nuvem);
  • Informar como o titular pode exercer seus direitos (acesso, correção, exclusão, portabilidade);
  • Apontar um canal de contato para questões de privacidade.

E se houver um incidente de segurança?

Em caso de vazamento, exposição ou acesso não autorizado a dados, a LGPD impõe duas obrigações:

  • Comunicar a ANPD em prazo razoável, em formulário próprio da agência;
  • Comunicar os titulares afetados quando o incidente puder gerar risco ou dano relevante.

A ausência de comunicação ou a comunicação inadequada pode gerar sanção administrativa. Por isso, ter um plano de resposta a incidentes, mesmo simplificado, é parte essencial do programa de adequação.

E o tal “DPO”? É obrigatório?

A LGPD obriga a indicação de um encarregado de dados (DPO, na sigla em inglês). Para pequenos agentes de tratamento, a Resolução CD/ANPD 2/2022 dispensou a obrigatoriedade de DPO formal, desde que a empresa disponibilize um canal de comunicação com o titular dos dados.

Para empresas com tratamento de baixo risco e pequeno volume, isso pode ser apenas um e-mail dedicado e a indicação de uma pessoa responsável. Não exige contratação externa específica.

O que considerar antes de buscar orientação jurídica

  1. Comece pelo mapeamento: sem entender os dados que sua empresa trata, qualquer adequação fica genérica;
  2. Reveja a política de privacidade real do seu site, não copie modelo;
  3. Documente as decisões: qual base legal para cada tratamento, com qual prazo de retenção;
  4. Pense na gestão de fornecedores: parceiros que tratam dados em seu nome devem ter contratos com cláusulas de proteção de dados.

Próximos passos

Se sua empresa busca estruturar a adequação à LGPD com critério, sem contratar pacotes genéricos, fale com o escritório para uma avaliação inicial do tratamento de dados que você realiza e do caminho mais proporcional ao porte do negócio.

Conteúdo meramente informativo. Não substitui consulta jurídica individualizada.

Próximo passo

Tem dúvidas sobre o tema deste artigo?

Cada caso é único e exige análise individualizada. Fale com o escritório para entender como o tema se aplica à sua situação.

Fale com o escritório Conhecer área de Direito Digital