Av. do Oratório, 291 - Conjunto 706 - Vila Independencia, São Paulo - SP

[email protected]

(11) 2692-3211

Área do cliente
Abra sua empresa
Retornar
Retornar
  • 09/06/2026
  • 12:00
  • admin

LGPD para pequenas empresas: o que é obrigatório, quais são as multas e como se adequar

Você guarda o cadastro de clientes em uma planilha, usa WhatsApp para atender e armazena os documentos de contratação dos funcionários em um HD externo. Nada disso parece tecnologia sofisticada. Mas tudo isso envolve dados pessoais e coloca a sua empresa no escopo da LGPD.

A Lei Geral de Proteção de Dados (Lei 13.709/2018) se aplica a qualquer empresa que colete, armazene, use ou compartilhe informações de pessoas físicas, independentemente do porte ou do setor. Uma clínica com três médicos, uma loja com oito funcionários, um escritório de consultoria com dez clientes: todas estão sob as regras da lei. E em 2026 o risco de ignorar isso ficou mais concreto. A Autoridade Nacional de Proteção de Dados foi transformada em agência reguladora, com poder real de investigar, autuar e multar.

Levantamento do IBM Security mostra que o custo médio de uma violação de dados no Brasil subiu para R$ 7,19 milhões em 2025. Para uma PME, uma multa na casa dos R$ 50.000 já pode comprometer o caixa de vários meses. E a primeira autuação pública da ANPD foi aplicada a uma microempresa, o que prova que porte não é proteção.

Se a sua empresa nunca fez uma revisão de como trata os dados dos clientes e colaboradores, o que se segue mostra o que é obrigatório, o que é flexível para pequenos negócios e o que você pode implementar agora sem custo expressivo.

O que é dado pessoal para a LGPD: mais do que você pensa

Muitos empresários acreditam que “dado pessoal” significa CPF ou RG. A lei vai bem além disso. Para a LGPD, dado pessoal é qualquer informação que permita identificar uma pessoa física, direta ou indiretamente.

Na prática, isso inclui:

  • Nome completo, e-mail, telefone e endereço de clientes
  • Dados de funcionários: salário, histórico de saúde, dados bancários, biometria
  • Histórico de compras e preferências de consumo
  • IP de acesso ao site da empresa
  • Fotos de clientes ou colaboradores
  • Localização via GPS em aplicativos ou sistemas de entrega
  • Prontuários e fichas de atendimento em clínicas e consultórios

Dados sensíveis — como informações de saúde, origem racial, convicção religiosa e dados biométricos — recebem proteção adicional na lei e exigem bases legais específicas para o tratamento. Para uma clínica médica, dentista, psicológica ou qualquer prestador de serviços de saúde, esse ponto merece atenção redobrada.

Em termos práticos: se a sua empresa tem um cadastro de clientes, usa e-mail marketing, tem folha de pagamento, instalou câmeras na loja ou coleta qualquer informação antes de prestar um serviço, você já está tratando dados pessoais. O enquadramento na LGPD é automático. Não depende de escolha, de registro nem de faturamento mínimo.

O risco para os negócios que ignoram esse ponto não é apenas a multa da ANPD. Clientes que tiverem seus dados vazados ou usados sem autorização podem buscar reparação na Justiça, e o Judiciário brasileiro tem se mostrado cada vez mais sensível a essas demandas.

O que mudou em 2026: a ANPD virou agência reguladora de fato

Durante anos, a ANPD operou com estrutura limitada e postura predominantemente educativa. Empresas que ignoravam a LGPD corriam risco teórico, não imediato. Esse cenário mudou formalmente em fevereiro de 2026.

A Lei 15.352/2026, sancionada em 25 de fevereiro, transformou a Autoridade Nacional de Proteção de Dados em uma agência reguladora com natureza de autarquia especial: o mesmo status institucional da Anvisa, da Anatel e da CVM. A mudança é estrutural:

  • A ANPD passa a ter autonomia funcional, técnica, decisória, administrativa e financeira
  • A lei criou 200 cargos de especialistas em proteção de dados a serem preenchidos por concurso público, ampliando a capacidade operacional de fiscalização
  • A agência pode investigar, autuar e punir infrações sem depender de aprovação ministerial
  • A postura deixa de ser predominantemente orientativa e passa a ser também sancionadora

A mudança ocorreu em paralelo à entrada em vigor do ECA Digital (Lei 15.211/2025), que impôs obrigações adicionais a plataformas e serviços digitais que tratam dados de crianças e adolescentes. O conjunto das duas legislações representa um salto regulatório relevante: proteção de dados deixou de ser recomendação e se tornou obrigação com fiscalização estruturada e permanente.

Para pequenas e médias empresas, o recado é direto: a janela de tolerância implícita que existia nos primeiros anos de vigência da LGPD se estreitou de forma significativa. Quem ainda não se adequou opera com risco jurídico concreto.

Quanto custa não cumprir a LGPD: as sanções que se aplicam ao seu porte

O artigo 52 da LGPD prevê um conjunto de sanções que a ANPD pode aplicar, em gradação conforme a gravidade da infração e as circunstâncias do caso. Conhecer os valores reais é o primeiro passo para dimensionar o risco da inação.

Tipo de sançãoValor ou impactoQuando se aplica
AdvertênciaSem valor monetário — exige prazo para correçãoInfração de baixa gravidade, primeira ocorrência com boa-fé
Multa simplesAté 2% do faturamento anual no Brasil, limitada a R$ 50 milhões por infraçãoTratamento irregular, ausência de base legal, descumprimento de direitos do titular
Multa diáriaAté R$ 50.000 por dia de descumprimentoQuando a empresa não toma medidas corretivas dentro do prazo estipulado
Bloqueio dos dadosSuspensão do tratamento até regularizaçãoInfração grave ou risco imediato aos titulares
Eliminação dos dadosExclusão compulsória das basesColeta sem base legal ou armazenamento indevido
Publicização da infraçãoDivulgação pública do caso pela ANPDInfrações graves — dano reputacional adicional à multa

Para entender a escala real do risco, dois exemplos concretos:

Clínica odontológica com faturamento de R$ 600 mil/ano: um vazamento de dados de pacientes sem comunicação à ANPD dentro de 72 horas pode resultar em multa de até 2% do faturamento anual, ou seja, até R$ 12.000 por infração. Se a clínica não tomar medidas corretivas após notificação, a multa diária de R$ 50.000 pode tornar o cenário inviável em semanas. O bloqueio dos dados clínicos, nesse caso, pode paralisar a operação.

Prestadora de serviços com faturamento de R$ 2,4 milhões/ano: tratamento de dados de clientes sem base legal documentada, especialmente quando envolve compartilhamento com parceiros sem autorização, pode resultar em multa de até R$ 48.000 por infração. Além do valor monetário, a publicização do caso pela ANPD pode custar contratos com grandes clientes que exigem conformidade da cadeia de fornecedores.

Como funciona o processo na prática: a ANPD notifica a empresa sobre a infração identificada e concede prazo para defesa e adequação. A advertência é a primeira resposta habitual para pequenas empresas de boa-fé. O risco de multa cresce com a reincidência, a má-fé comprovada e o dano efetivo aos titulares de dados. Para micro e pequenas empresas, a ANPD pode reduzir os valores de multa considerando o porte da organização — mas essa redução é analisada caso a caso, após o processo administrativo.

O que a LGPD exige de pequenas empresas na prática

A lei estabelece obrigações para todo agente de tratamento de dados, independentemente do porte. O que muda para micro e pequenas empresas é o grau de formalidade exigido, não a obrigação em si.

As cinco obrigações fundamentais que se aplicam a qualquer empresa:

  • Base legal para o tratamento: toda coleta de dado pessoal precisa de uma justificativa prevista em lei. O artigo 7.º da LGPD lista dez hipóteses. As mais comuns para pequenas empresas são consentimento, execução de contrato e cumprimento de obrigação legal. Tratar dados sem base legal documentada é a infração mais frequente em auditorias.
  • Mapeamento de dados: inventário de quais dados são coletados, com qual finalidade, onde ficam armazenados, por quanto tempo e quem tem acesso. É o documento base de qualquer adequação.
  • Política de privacidade: documento claro e acessível informando ao cliente ou funcionário como seus dados são tratados. Deve conter: o que coleta, por que coleta, com quem compartilha e como o titular pode exercer seus direitos.
  • Canal para o titular exercer seus direitos: o cliente ou funcionário tem o direito de acessar, corrigir, excluir ou portar seus dados. A empresa precisa de um canal para receber e responder essas solicitações.
  • Medidas de segurança técnica e administrativa: proteção dos dados contra acessos não autorizados, vazamentos e perdas. Não exige infraestrutura sofisticada — controle de acesso, senhas fortes e backup regular já representam conformidade básica.

Para empresas com funcionários, as mesmas obrigações se aplicam aos dados trabalhistas: folha de pagamento, carteira de trabalho, dados bancários, atestados médicos e informações do eSocial são todos dados pessoais protegidos pela lei. Ignorar essa frente é tão arriscado quanto ignorar os dados de clientes.

As flexibilizações para MEI, microempresa e empresa de pequeno porte

A Resolução CD/ANPD n.º 2/2022 criou um regime diferenciado para os chamados agentes de tratamento de pequeno porte, que inclui MEIs, microempresas, empresas de pequeno porte e startups. A flexibilização é real, mas não é isenção.

ObrigaçãoRegra geralFlexibilização para MEI, ME e EPP
Encarregado de Dados (DPO)Indicação obrigatória com publicação pública do contatoDispensado. Obrigatório manter canal de contato para os titulares
Mapeamento de dadosDocumentação detalhada com todos os fluxos de tratamentoPode usar modelo simplificado disponibilizado gratuitamente pela ANPD
Registro de operações de tratamentoObrigatório para tratamento em larga escalaDispensado quando não há tratamento em larga escala nem de dados sensíveis
Prazo de resposta ao titular15 dias corridosPode ser estendido com justificativa em casos de alta complexidade
Comunicação de incidentesANPD e titulares afetados em até 72 horasPrazos e forma mais flexíveis para pequeno porte, mantida a obrigação de comunicar

A dispensa do DPO tem impacto financeiro direto. Um profissional com qualificação em proteção de dados cobra, em média, entre R$ 3.000 e R$ 8.000 mensais como consultor externo. Para uma empresa de pequeno porte, esse custo seria desproporcional, e a resolução da ANPD reconheceu isso.

A postura da ANPD diante de pequenas empresas ainda é prioritariamente orientativa antes de sancionadora. O órgão prefere advertir e conceder prazo para adequação, não multar diretamente na primeira fiscalização. Essa leniência tem limites: vazamentos que causem dano comprovado a titulares, compartilhamento ilegal de bases de dados e reincidência após advertência podem resultar em sanção mesmo para negócios de pequeno porte.

A manutenção de registros básicos, mesmo que simplificados, é o que distingue uma empresa que demonstra boa-fé de uma que simplesmente ignorou a lei. Essa distinção é determinante no processo administrativo da ANPD e pode ser a diferença entre advertência e multa.

Como se adequar em seis passos sem precisar de consultoria cara

A adequação à LGPD não precisa começar por um projeto de conformidade de 60 dias com equipe jurídica dedicada. Para uma pequena empresa, o ponto de partida é mais objetivo — e resolve a maior parte do risco com custo próximo de zero.

  1. Faça o inventário de dados. Liste em uma planilha todos os dados pessoais que sua empresa coleta: de clientes (nome, CPF, e-mail, telefone, histórico de compras), de funcionários (dados pessoais, bancários, de saúde) e de fornecedores. Para cada tipo de dado, registre: por que coleta, onde armazena, por quanto tempo guarda e quem tem acesso. Esse documento é o seu mapa de conformidade e o ponto de partida para todos os passos seguintes.
  2. Identifique a base legal para cada tratamento. Para o cadastro de clientes, a base é normalmente o contrato ou o consentimento. Para dados de funcionários, a obrigação legal (eSocial, folha de pagamento, CTPS). Para leads de marketing, o consentimento explícito. Tratamento sem base legal documentada é a infração mais comum encontrada em auditorias da ANPD, e a mais fácil de corrigir antecipadamente.
  3. Crie ou atualize a política de privacidade. Se você tem site, o documento precisa estar visível e acessível. Se não tem site, um texto claro nos contratos ou no cadastro do cliente já atende para a maioria dos casos. A ANPD disponibiliza modelos gratuitos para pequenos negócios. O documento precisa informar: o que coleta, por que coleta, com quem compartilha e como o titular pode exercer seus direitos.
  4. Crie um canal para solicitações dos titulares. Um endereço como [email protected] é suficiente. O que importa é que o cliente ou funcionário tenha um caminho claro para pedir acesso, correção ou exclusão dos próprios dados, e que você saiba como responder dentro de prazo razoável.
  5. Implemente medidas básicas de segurança. Senhas únicas e fortes para cada sistema, sem reutilização. Acesso restrito: só quem precisa acessa cada tipo de dado. Backup regular dos arquivos que contêm dados pessoais. Antivírus ativo e atualizado. Essas medidas eliminam a maior parte do risco de vazamento por descuido, que é a causa mais comum de incidentes em pequenas empresas.
  6. Oriente a equipe. Treinamento não precisa ser um curso formal. Uma reunião de 30 minutos explicando o que é dado pessoal, quais dados a empresa coleta e o que pode ou não ser feito com essas informações já reduz significativamente o risco de incidente por erro humano. Um colaborador que envia a planilha de clientes para o e-mail errado pode gerar um incidente que exige comunicação à ANPD.

Empresas que completam esses seis passos estão em conformidade básica com a LGPD e com a Resolução CD/ANPD n.º 2/2022. Não elimina todo o risco, mas demonstra boa-fé, reduz a exposição a sanções e, em caso de autuação, é o argumento mais consistente para obter advertência em vez de multa.

Quando o básico não é suficiente

Os seis passos acima são adequados para a maioria das pequenas empresas com operações típicas. Há situações em que o nível de risco ou a natureza dos dados exige um tratamento mais estruturado:

  • Clínicas, consultórios e laboratórios: dados de saúde são dados sensíveis e exigem consentimento explícito, armazenamento mais seguro e documentação específica. O enquadramento em saúde eleva o risco regulatório de forma relevante.
  • Empresas que vendem para outras empresas: contratos com grandes clientes e órgãos públicos já exigem, cada vez mais, cláusulas de proteção de dados e comprovação de adequação. Não ter conformidade pode inviabilizar negócios.
  • E-commerce e negócios com operação digital: coleta em escala maior, cookies, integração com plataformas de pagamento e marketing digital exigem política de privacidade mais detalhada e controle de consentimento.
  • Empresas que tratam dados de crianças e adolescentes: o ECA Digital (Lei 15.211/2025), vigente desde março de 2026, impõe obrigações adicionais para quem trata dados de menores, com fiscalização direta da ANPD.

Nesses cenários, o custo de uma adequação incompleta tende a superar, em muito, o custo de fazer o processo certo desde o início. As regras variam conforme o setor, o tipo de dado tratado e o porte do negócio — e a análise do caso específico é o que garante que a adequação resolve o problema real, não apenas cria aparência de conformidade.

Se você quer entender quais obrigações da LGPD se aplicam à sua empresa e como estruturar a adequação de forma proporcional ao seu porte, os especialistas da L+ Contabilidade podem ajudar nessa análise. O ponto de partida é identificar o que a sua operação realmente requer — sem excesso e sem lacuna.

Artigos relacionados

Explore conteúdos feitos por especialistas para acelerar a sua história de sucesso.

 

  • Todas as postagens
  • RH e folha
  • Tributação e impostos
    •   Back
Ver todos os artigos

Há 3 décadas transformando
números em histórias!

Soluções

Departamentos

Empresa

Siga-nos

L+ Contabilidade é o nome fantasia da L+ CONTABILIDADE S/S, empresa registrada no Brasil sob o CNPJ nº 55.144.019/0001-01, especializada em serviços contábeis, consultoria fiscal e certificação digital ICP‑Brasil. Atuamos com responsabilidade técnica e respaldo legal, oferecendo soluções seguras e inteligentes para a gestão de empresas e profissionais autônomos em todo o país.


Além disso, dispomos de nosso próprio emissor de nota fiscal, proporcionando mais agilidade, autonomia e integração na rotina fiscal dos nossos clientes. Nosso foco está na conformidade, na inovação e no crescimento sustentável dos negócios que atendemos.


Endereço: Av. do Oratório, 291 – Conjunto 706 – Vila Independencia, São Paulo – SP, 03221-000


© L+ Contabilidade. Todos os direitos reservados.