Você guarda o cadastro de clientes em uma planilha, usa WhatsApp para atender e armazena os documentos de contratação dos funcionários em um HD externo. Nada disso parece tecnologia sofisticada. Mas tudo isso envolve dados pessoais e coloca a sua empresa no escopo da LGPD.
A Lei Geral de Proteção de Dados (Lei 13.709/2018) se aplica a qualquer empresa que colete, armazene, use ou compartilhe informações de pessoas físicas, independentemente do porte ou do setor. Uma clínica com três médicos, uma loja com oito funcionários, um escritório de consultoria com dez clientes: todas estão sob as regras da lei. E em 2026 o risco de ignorar isso ficou mais concreto. A Autoridade Nacional de Proteção de Dados foi transformada em agência reguladora, com poder real de investigar, autuar e multar.
Levantamento do IBM Security mostra que o custo médio de uma violação de dados no Brasil subiu para R$ 7,19 milhões em 2025. Para uma PME, uma multa na casa dos R$ 50.000 já pode comprometer o caixa de vários meses. E a primeira autuação pública da ANPD foi aplicada a uma microempresa, o que prova que porte não é proteção.
Se a sua empresa nunca fez uma revisão de como trata os dados dos clientes e colaboradores, o que se segue mostra o que é obrigatório, o que é flexível para pequenos negócios e o que você pode implementar agora sem custo expressivo.
O que é dado pessoal para a LGPD: mais do que você pensa
Muitos empresários acreditam que “dado pessoal” significa CPF ou RG. A lei vai bem além disso. Para a LGPD, dado pessoal é qualquer informação que permita identificar uma pessoa física, direta ou indiretamente.
Na prática, isso inclui:
- Nome completo, e-mail, telefone e endereço de clientes
- Dados de funcionários: salário, histórico de saúde, dados bancários, biometria
- Histórico de compras e preferências de consumo
- IP de acesso ao site da empresa
- Fotos de clientes ou colaboradores
- Localização via GPS em aplicativos ou sistemas de entrega
- Prontuários e fichas de atendimento em clínicas e consultórios
Dados sensíveis — como informações de saúde, origem racial, convicção religiosa e dados biométricos — recebem proteção adicional na lei e exigem bases legais específicas para o tratamento. Para uma clínica médica, dentista, psicológica ou qualquer prestador de serviços de saúde, esse ponto merece atenção redobrada.
Em termos práticos: se a sua empresa tem um cadastro de clientes, usa e-mail marketing, tem folha de pagamento, instalou câmeras na loja ou coleta qualquer informação antes de prestar um serviço, você já está tratando dados pessoais. O enquadramento na LGPD é automático. Não depende de escolha, de registro nem de faturamento mínimo.
O risco para os negócios que ignoram esse ponto não é apenas a multa da ANPD. Clientes que tiverem seus dados vazados ou usados sem autorização podem buscar reparação na Justiça, e o Judiciário brasileiro tem se mostrado cada vez mais sensível a essas demandas.
O que mudou em 2026: a ANPD virou agência reguladora de fato
Durante anos, a ANPD operou com estrutura limitada e postura predominantemente educativa. Empresas que ignoravam a LGPD corriam risco teórico, não imediato. Esse cenário mudou formalmente em fevereiro de 2026.
A Lei 15.352/2026, sancionada em 25 de fevereiro, transformou a Autoridade Nacional de Proteção de Dados em uma agência reguladora com natureza de autarquia especial: o mesmo status institucional da Anvisa, da Anatel e da CVM. A mudança é estrutural:
- A ANPD passa a ter autonomia funcional, técnica, decisória, administrativa e financeira
- A lei criou 200 cargos de especialistas em proteção de dados a serem preenchidos por concurso público, ampliando a capacidade operacional de fiscalização
- A agência pode investigar, autuar e punir infrações sem depender de aprovação ministerial
- A postura deixa de ser predominantemente orientativa e passa a ser também sancionadora
A mudança ocorreu em paralelo à entrada em vigor do ECA Digital (Lei 15.211/2025), que impôs obrigações adicionais a plataformas e serviços digitais que tratam dados de crianças e adolescentes. O conjunto das duas legislações representa um salto regulatório relevante: proteção de dados deixou de ser recomendação e se tornou obrigação com fiscalização estruturada e permanente.
Para pequenas e médias empresas, o recado é direto: a janela de tolerância implícita que existia nos primeiros anos de vigência da LGPD se estreitou de forma significativa. Quem ainda não se adequou opera com risco jurídico concreto.
Quanto custa não cumprir a LGPD: as sanções que se aplicam ao seu porte
O artigo 52 da LGPD prevê um conjunto de sanções que a ANPD pode aplicar, em gradação conforme a gravidade da infração e as circunstâncias do caso. Conhecer os valores reais é o primeiro passo para dimensionar o risco da inação.
| Tipo de sanção | Valor ou impacto | Quando se aplica |
|---|---|---|
| Advertência | Sem valor monetário — exige prazo para correção | Infração de baixa gravidade, primeira ocorrência com boa-fé |
| Multa simples | Até 2% do faturamento anual no Brasil, limitada a R$ 50 milhões por infração | Tratamento irregular, ausência de base legal, descumprimento de direitos do titular |
| Multa diária | Até R$ 50.000 por dia de descumprimento | Quando a empresa não toma medidas corretivas dentro do prazo estipulado |
| Bloqueio dos dados | Suspensão do tratamento até regularização | Infração grave ou risco imediato aos titulares |
| Eliminação dos dados | Exclusão compulsória das bases | Coleta sem base legal ou armazenamento indevido |
| Publicização da infração | Divulgação pública do caso pela ANPD | Infrações graves — dano reputacional adicional à multa |
Para entender a escala real do risco, dois exemplos concretos:
Clínica odontológica com faturamento de R$ 600 mil/ano: um vazamento de dados de pacientes sem comunicação à ANPD dentro de 72 horas pode resultar em multa de até 2% do faturamento anual, ou seja, até R$ 12.000 por infração. Se a clínica não tomar medidas corretivas após notificação, a multa diária de R$ 50.000 pode tornar o cenário inviável em semanas. O bloqueio dos dados clínicos, nesse caso, pode paralisar a operação.
Prestadora de serviços com faturamento de R$ 2,4 milhões/ano: tratamento de dados de clientes sem base legal documentada, especialmente quando envolve compartilhamento com parceiros sem autorização, pode resultar em multa de até R$ 48.000 por infração. Além do valor monetário, a publicização do caso pela ANPD pode custar contratos com grandes clientes que exigem conformidade da cadeia de fornecedores.
Como funciona o processo na prática: a ANPD notifica a empresa sobre a infração identificada e concede prazo para defesa e adequação. A advertência é a primeira resposta habitual para pequenas empresas de boa-fé. O risco de multa cresce com a reincidência, a má-fé comprovada e o dano efetivo aos titulares de dados. Para micro e pequenas empresas, a ANPD pode reduzir os valores de multa considerando o porte da organização — mas essa redução é analisada caso a caso, após o processo administrativo.
O que a LGPD exige de pequenas empresas na prática
A lei estabelece obrigações para todo agente de tratamento de dados, independentemente do porte. O que muda para micro e pequenas empresas é o grau de formalidade exigido, não a obrigação em si.
As cinco obrigações fundamentais que se aplicam a qualquer empresa:
- Base legal para o tratamento: toda coleta de dado pessoal precisa de uma justificativa prevista em lei. O artigo 7.º da LGPD lista dez hipóteses. As mais comuns para pequenas empresas são consentimento, execução de contrato e cumprimento de obrigação legal. Tratar dados sem base legal documentada é a infração mais frequente em auditorias.
- Mapeamento de dados: inventário de quais dados são coletados, com qual finalidade, onde ficam armazenados, por quanto tempo e quem tem acesso. É o documento base de qualquer adequação.
- Política de privacidade: documento claro e acessível informando ao cliente ou funcionário como seus dados são tratados. Deve conter: o que coleta, por que coleta, com quem compartilha e como o titular pode exercer seus direitos.
- Canal para o titular exercer seus direitos: o cliente ou funcionário tem o direito de acessar, corrigir, excluir ou portar seus dados. A empresa precisa de um canal para receber e responder essas solicitações.
- Medidas de segurança técnica e administrativa: proteção dos dados contra acessos não autorizados, vazamentos e perdas. Não exige infraestrutura sofisticada — controle de acesso, senhas fortes e backup regular já representam conformidade básica.
Para empresas com funcionários, as mesmas obrigações se aplicam aos dados trabalhistas: folha de pagamento, carteira de trabalho, dados bancários, atestados médicos e informações do eSocial são todos dados pessoais protegidos pela lei. Ignorar essa frente é tão arriscado quanto ignorar os dados de clientes.
As flexibilizações para MEI, microempresa e empresa de pequeno porte
A Resolução CD/ANPD n.º 2/2022 criou um regime diferenciado para os chamados agentes de tratamento de pequeno porte, que inclui MEIs, microempresas, empresas de pequeno porte e startups. A flexibilização é real, mas não é isenção.
| Obrigação | Regra geral | Flexibilização para MEI, ME e EPP |
|---|---|---|
| Encarregado de Dados (DPO) | Indicação obrigatória com publicação pública do contato | Dispensado. Obrigatório manter canal de contato para os titulares |
| Mapeamento de dados | Documentação detalhada com todos os fluxos de tratamento | Pode usar modelo simplificado disponibilizado gratuitamente pela ANPD |
| Registro de operações de tratamento | Obrigatório para tratamento em larga escala | Dispensado quando não há tratamento em larga escala nem de dados sensíveis |
| Prazo de resposta ao titular | 15 dias corridos | Pode ser estendido com justificativa em casos de alta complexidade |
| Comunicação de incidentes | ANPD e titulares afetados em até 72 horas | Prazos e forma mais flexíveis para pequeno porte, mantida a obrigação de comunicar |
A dispensa do DPO tem impacto financeiro direto. Um profissional com qualificação em proteção de dados cobra, em média, entre R$ 3.000 e R$ 8.000 mensais como consultor externo. Para uma empresa de pequeno porte, esse custo seria desproporcional, e a resolução da ANPD reconheceu isso.
A postura da ANPD diante de pequenas empresas ainda é prioritariamente orientativa antes de sancionadora. O órgão prefere advertir e conceder prazo para adequação, não multar diretamente na primeira fiscalização. Essa leniência tem limites: vazamentos que causem dano comprovado a titulares, compartilhamento ilegal de bases de dados e reincidência após advertência podem resultar em sanção mesmo para negócios de pequeno porte.
A manutenção de registros básicos, mesmo que simplificados, é o que distingue uma empresa que demonstra boa-fé de uma que simplesmente ignorou a lei. Essa distinção é determinante no processo administrativo da ANPD e pode ser a diferença entre advertência e multa.
Como se adequar em seis passos sem precisar de consultoria cara
A adequação à LGPD não precisa começar por um projeto de conformidade de 60 dias com equipe jurídica dedicada. Para uma pequena empresa, o ponto de partida é mais objetivo — e resolve a maior parte do risco com custo próximo de zero.
- Faça o inventário de dados. Liste em uma planilha todos os dados pessoais que sua empresa coleta: de clientes (nome, CPF, e-mail, telefone, histórico de compras), de funcionários (dados pessoais, bancários, de saúde) e de fornecedores. Para cada tipo de dado, registre: por que coleta, onde armazena, por quanto tempo guarda e quem tem acesso. Esse documento é o seu mapa de conformidade e o ponto de partida para todos os passos seguintes.
- Identifique a base legal para cada tratamento. Para o cadastro de clientes, a base é normalmente o contrato ou o consentimento. Para dados de funcionários, a obrigação legal (eSocial, folha de pagamento, CTPS). Para leads de marketing, o consentimento explícito. Tratamento sem base legal documentada é a infração mais comum encontrada em auditorias da ANPD, e a mais fácil de corrigir antecipadamente.
- Crie ou atualize a política de privacidade. Se você tem site, o documento precisa estar visível e acessível. Se não tem site, um texto claro nos contratos ou no cadastro do cliente já atende para a maioria dos casos. A ANPD disponibiliza modelos gratuitos para pequenos negócios. O documento precisa informar: o que coleta, por que coleta, com quem compartilha e como o titular pode exercer seus direitos.
- Crie um canal para solicitações dos titulares. Um endereço como [email protected] é suficiente. O que importa é que o cliente ou funcionário tenha um caminho claro para pedir acesso, correção ou exclusão dos próprios dados, e que você saiba como responder dentro de prazo razoável.
- Implemente medidas básicas de segurança. Senhas únicas e fortes para cada sistema, sem reutilização. Acesso restrito: só quem precisa acessa cada tipo de dado. Backup regular dos arquivos que contêm dados pessoais. Antivírus ativo e atualizado. Essas medidas eliminam a maior parte do risco de vazamento por descuido, que é a causa mais comum de incidentes em pequenas empresas.
- Oriente a equipe. Treinamento não precisa ser um curso formal. Uma reunião de 30 minutos explicando o que é dado pessoal, quais dados a empresa coleta e o que pode ou não ser feito com essas informações já reduz significativamente o risco de incidente por erro humano. Um colaborador que envia a planilha de clientes para o e-mail errado pode gerar um incidente que exige comunicação à ANPD.
Empresas que completam esses seis passos estão em conformidade básica com a LGPD e com a Resolução CD/ANPD n.º 2/2022. Não elimina todo o risco, mas demonstra boa-fé, reduz a exposição a sanções e, em caso de autuação, é o argumento mais consistente para obter advertência em vez de multa.
Quando o básico não é suficiente
Os seis passos acima são adequados para a maioria das pequenas empresas com operações típicas. Há situações em que o nível de risco ou a natureza dos dados exige um tratamento mais estruturado:
- Clínicas, consultórios e laboratórios: dados de saúde são dados sensíveis e exigem consentimento explícito, armazenamento mais seguro e documentação específica. O enquadramento em saúde eleva o risco regulatório de forma relevante.
- Empresas que vendem para outras empresas: contratos com grandes clientes e órgãos públicos já exigem, cada vez mais, cláusulas de proteção de dados e comprovação de adequação. Não ter conformidade pode inviabilizar negócios.
- E-commerce e negócios com operação digital: coleta em escala maior, cookies, integração com plataformas de pagamento e marketing digital exigem política de privacidade mais detalhada e controle de consentimento.
- Empresas que tratam dados de crianças e adolescentes: o ECA Digital (Lei 15.211/2025), vigente desde março de 2026, impõe obrigações adicionais para quem trata dados de menores, com fiscalização direta da ANPD.
Nesses cenários, o custo de uma adequação incompleta tende a superar, em muito, o custo de fazer o processo certo desde o início. As regras variam conforme o setor, o tipo de dado tratado e o porte do negócio — e a análise do caso específico é o que garante que a adequação resolve o problema real, não apenas cria aparência de conformidade.
Se você quer entender quais obrigações da LGPD se aplicam à sua empresa e como estruturar a adequação de forma proporcional ao seu porte, os especialistas da L+ Contabilidade podem ajudar nessa análise. O ponto de partida é identificar o que a sua operação realmente requer — sem excesso e sem lacuna.
