LGPD para Pequenas Empresas: o Mínimo que Você Precisa Fazer para Estar em Conformidade

Sua pequena empresa também precisa cumprir a LGPD, mas as exigências são mais simples do que você imagina. Veja o checklist mínimo e evite multas.

Laila Reis Araujo

5/19/20267 min ler

person using laptop
person using laptop

Você tem uma pequena empresa, coleta nome, e-mail e telefone de clientes num formulário de contato, numa planilha de vendas ou numa lista de WhatsApp, e sempre pensou que a LGPD era assunto para bancos e grandes empresas de tecnologia. Essa crença tem saído cara. A Autoridade Nacional de Proteção de Dados (ANPD) já aplicou multa a uma microempresa por dois motivos simples: não ter base legal definida para o tratamento de dados e não indicar um canal de atendimento para quem quisesse exercer seus direitos como titular. O valor foi reduzido justamente por se tratar de um negócio pequeno, mas a multa existiu.

A boa notícia é que a lei reconhece essa diferença de porte. Pequenos negócios têm, sim, um conjunto de obrigações mais simples do que uma grande empresa. Mas simples não é igual a inexistente. Neste guia você vai entender exatamente o que precisa fazer, sem juridiquês e sem gastar o que não tem.

A LGPD vale para o seu negócio, mesmo pequeno

A Lei Geral de Proteção de Dados (Lei nº 13.709/2018) se aplica a qualquer pessoa física ou jurídica, pública ou privada, que trate dados pessoais no Brasil. Não existe um piso de faturamento abaixo do qual a lei simplesmente não vale. Se você guarda nome, CPF, e-mail, telefone ou endereço de clientes, funcionários ou fornecedores, sua empresa já é uma agente de tratamento de dados e já está sujeita à lei.

O que muda para negócios pequenos não é se a LGPD se aplica, mas como ela se aplica. É aqui que entra a parte que a maioria dos empreendedores desconhece.

O regime simplificado para pequenos negócios

Em 2022, a ANPD publicou a Resolução CD/ANPD nº 2, que criou um tratamento diferenciado para os chamados agentes de tratamento de pequeno porte. Essa categoria inclui microempresas e empresas de pequeno porte nos termos do Simples Nacional, o MEI, startups enquadradas no Marco Legal das Startups (com faturamento de até R$ 16 milhões por ano), organizações sem fins lucrativos e até pessoas físicas que tratam dados com finalidade econômica.

Se sua empresa se encaixa em uma dessas categorias, você tem direito a:

Dispensa de nomear um encarregado formal (DPO). Em vez disso, basta disponibilizar um canal de comunicação, que pode ser um e-mail ou telefone, para que clientes possam tirar dúvidas ou pedir a exclusão dos seus dados.

Registro simplificado das operações de tratamento. A obrigação de documentar como você trata dados pessoais existe, mas pode ser cumprida de forma mais enxuta. A própria ANPD disponibiliza um modelo pronto para isso.

Prazos em dobro. Para responder a pedidos de titulares e para comunicar incidentes de segurança à ANPD, o prazo passa a ser de seis dias úteis em vez de três.

Política de segurança da informação simplificada. As medidas de proteção podem ser proporcionais ao porte, à estrutura e ao volume de dados tratados pelo seu negócio, sem exigir o mesmo padrão de uma multinacional.

Há uma ressalva importante: esses benefícios não valem se o seu negócio realiza tratamento de alto risco, como uso de dados sensíveis em larga escala, dados de crianças e adolescentes, ou decisões automatizadas sobre pessoas. Nesses casos, mesmo uma empresa pequena precisa seguir as regras completas da lei.

O checklist mínimo para estar em conformidade

Estas são as ações que qualquer pequeno negócio precisa ter, independentemente do setor:

1. Mapeie quais dados pessoais você coleta. Liste tudo: nome, CPF, e-mail, telefone, endereço, dados de pagamento, de clientes, funcionários e fornecedores. Você não consegue proteger o que não sabe que tem.

2. Defina a base legal para cada tratamento. Nem tudo exige consentimento. Um contrato de prestação de serviço, por exemplo, já autoriza o tratamento dos dados necessários para cumpri-lo. Usar a base legal errada é um dos erros mais comuns e mais fáceis de identificar numa fiscalização.

3. Tenha uma política de privacidade clara e acessível, e termos de uso se você tiver um site, app ou sistema. A política de privacidade explica como você trata dados pessoais. Os termos de uso regulam como o sistema pode ser usado. São documentos diferentes e, se você tem uma aplicação de internet, precisa dos dois.

4. Disponibilize um canal para o titular exercer seus direitos. Mesmo sem um encarregado formal, alguém precisa responder quando um cliente pede para ver, corrigir ou excluir seus dados.

5. Mantenha um registro simplificado das operações de tratamento. Um documento interno, ainda que básico, que mostre quais dados você trata e por quê.

6. Adote medidas mínimas de segurança. Senhas de acesso, backups, controle de quem vê os dados dentro da empresa. A ANPD publicou um guia orientativo específico com o padrão mínimo esperado de pequenos negócios, e não exige certificações caras.

7. Tenha um plano básico para incidentes de segurança. Se houver um vazamento, você tem até seis dias úteis para comunicar a ANPD e os titulares afetados. Ter esse plano pronto antes de precisar dele faz toda a diferença.

8. Revise contratos com fornecedores que também tratam dados dos seus clientes. Plataformas de e-mail marketing, sistemas de gestão e ferramentas de cobrança devem ter cláusulas claras sobre proteção de dados, porque a responsabilidade pode recair sobre você mesmo quando o erro é do fornecedor.

Tem um site, aplicativo ou sistema próprio? Você precisa de mais um documento

Política de privacidade e termos de uso não são a mesma coisa, embora costumem andar juntos. A política de privacidade cumpre uma exigência da LGPD e explica como você trata dados pessoais. Os termos de uso cumprem uma exigência diferente, prevista no Marco Civil da Internet (Lei nº 12.965/2014), e regulam a relação entre você e quem usa seu site, aplicativo ou sistema.

Se o seu negócio tem qualquer aplicação de internet, ou seja, um site com cadastro, um aplicativo, uma área de cliente, um sistema de agendamento ou uma plataforma de e-commerce, a lei exige que as regras de uso sejam públicas e claras. Sem esse documento, seu negócio fica exposto em pontos que a política de privacidade não cobre.

Os termos de uso definem o que o usuário pode e não pode fazer dentro do sistema, o que ajuda a evitar uso indevido, fraude ou sobrecarga da plataforma. Eles limitam sua responsabilidade em caso de instabilidade, erro do sistema ou uso incorreto por parte do usuário. Também deixam claro que o conteúdo, o código e a marca do sistema pertencem à sua empresa, evitando que um usuário reivindique direitos sobre o que você construiu. Além disso, estabelecem regras para suspender ou cancelar o acesso de alguém que descumpra as condições, e definem o foro e a lei aplicável em caso de disputa.

Um erro comum de pequenos negócios é copiar um modelo genérico de termos de uso encontrado pronto na internet. O problema é que esse modelo raramente reflete o funcionamento real do seu sistema, o que pode deixar brechas justamente nos pontos mais importantes para o seu tipo de negócio, como regras de cobrança recorrente, política de reembolso ou limites de uso da plataforma.

O que pode acontecer se você não fizer nada

As sanções previstas na LGPD vão de advertência a multa de até 2% do faturamento, limitada a R$ 50 milhões por infração, além de publicização da infração e bloqueio ou eliminação dos dados tratados irregularmente. Os valores costumam ser proporcionais ao porte do negócio, mas isso não significa imunidade: a ANPD já fiscalizou e multou microempresas, não apenas grandes corporações.

O padrão observado nos casos já julgados é revelador: a maioria das sanções não envolveu falhas sofisticadas de segurança digital, mas ausência de coisas básicas, como não ter base legal definida, não ter canal de atendimento ao titular ou não comunicar um incidente a tempo. São exatamente os pontos deste checklist.

Perguntas frequentes

Toda pequena empresa precisa nomear um encarregado de dados (DPO)?
Não. Agentes de tratamento de pequeno porte, como MEI, microempresas, EPPs e startups dentro dos limites legais, estão dispensados dessa exigência. Em vez disso, é preciso disponibilizar um canal de comunicação para os titulares.

Minha empresa é MEI, ainda preciso me preocupar com a LGPD?
Sim. O MEI está incluído na categoria de agente de tratamento de pequeno porte e tem obrigações simplificadas, mas não está isento da lei.

Quanto tempo tenho para responder quando um cliente pede seus dados?
Para pequenos negócios, o prazo é em dobro em relação às empresas comuns: seis dias úteis, tanto para atender pedidos de titulares quanto para comunicar incidentes de segurança.

Política de privacidade e termos de uso são a mesma coisa?
Não. A política de privacidade é uma exigência da LGPD e trata do uso de dados pessoais. Os termos de uso são uma exigência do Marco Civil da Internet e regulam as regras de uso do seu site, aplicativo ou sistema, incluindo responsabilidade, propriedade do conteúdo e motivos para suspensão de acesso. Negócios com sistema próprio precisam dos dois documentos.

Preciso de um advogado para adequar meu negócio à LGPD?
Não é obrigatório por lei, mas evita erros que geram multa, especialmente na definição da base legal correta para cada tratamento de dados e na estruturação dos documentos exigidos. Além disso, ajuda na minimização de responsabilidade perante terceiros.

O que conta como dado pessoal no meu negócio?
Qualquer informação que identifique ou possa identificar uma pessoa: nome, CPF, e-mail, telefone, endereço, foto, e até dados de comportamento de navegação, se vinculados a uma pessoa identificável.

Se quiser adequar seu negócio à LGPD com segurança, fale com a equipe de proteção de dados do Reis Araujo Advogados

Veja também:

contratos para startups e empresas tech
Mais informações sobre nossos serviços de adequação.

© 2024 Reis Araujo

+55 11939138445