Como adequar sua empresa à LGPD: guia prático

Aprenda como adequar sua empresa à LGPD com este guia prático de 7 passos. Veja custos reais, prazos e checklist completo para PMEs. Atualizado para 2026.

80% das empresas brasileiras ainda não estão totalmente adequadas à LGPD. E a maioria dos guias na internet trata uma PME de 15 funcionários como se fosse uma multinacional, com passos complexos e linguagem que parece saída de um tribunal.

Se você está nessa situação, saiba que não precisa contratar uma consultoria de R$20 mil para adequar sua empresa à LGPD. Também não precisa de um time jurídico. O que você precisa é de um caminho claro, com prioridades definidas e linguagem que faça sentido para quem toca um negócio no dia a dia.

Neste guia, você vai encontrar o passo a passo completo de adequação à LGPD para empresas. Sete etapas práticas, custos reais, prazos honestos e um checklist que você pode começar a seguir hoje. Sem juridiquês, sem enrolação.

O que é adequação à LGPD (e por que sua empresa precisa fazer agora)

Adequação à LGPD é o processo de colocar sua empresa em conformidade com a Lei Geral de Proteção de Dados (Lei nº 13.709/2018). Na prática, significa organizar a forma como sua empresa coleta, usa, armazena e compartilha dados pessoais de clientes, funcionários e fornecedores.

Para quem busca entender os fundamentos da lei, temos um guia completo sobre o que é LGPD.

Adequação e conformidade não são a mesma coisa. Adequação é o processo: mapear dados, criar documentos, treinar equipe. Conformidade é o resultado: estar de acordo com o que a lei exige. Ninguém fica em conformidade para sempre. Por isso, adequação é um processo contínuo, não um projeto com data de fim.

O cenário de 2026: a ANPD saiu do modo orientação

A Autoridade Nacional de Proteção de Dados (ANPD) foi transformada em agência reguladora e contratou 200 novos servidores. Isso não é coincidência. A era de orientação acabou. Agora, a fiscalização é ativa, e as sanções são reais.

Os números falam por si:

  • Multas de até 2% do faturamento anual, limitadas a R$50 milhões por infração
  • Apenas 20% a 36% das empresas brasileiras afirmam conformidade total
  • 77% dos pequenos empresários não tomaram nenhuma providência concreta, segundo o Sebrae

A boa notícia? Se você está lendo este guia, já está um passo a frente da maioria. E o caminho para adequar sua empresa à LGPD é mais simples do que parece.

PMEs também precisam se adequar? O que a Resolução da ANPD diz

A resposta curta: sim. A LGPD se aplica a toda empresa que coleta dados pessoais, independente do porte.

Mas a ANPD reconhece que uma PME não tem os mesmos recursos de uma grande corporação. Por isso, publicou a Resolução CD/ANPD nº 2/2022, que cria um regime simplificado para agentes de tratamento de pequeno porte: MEIs, microempresas, empresas de pequeno porte e startups.

Se você quer entender em detalhes como a LGPD funciona para negócios menores, confira nosso guia de LGPD para pequenas empresas.

O que é flexibilizado para PMEs

  • Registro de tratamento simplificado: Modelo mais enxuto, sem a complexidade exigida de grandes empresas
  • Dispensa de DPO formal: Não precisa nomear um encarregado de dados, desde que mantenha um canal de comunicação com titulares
  • Prazos em dobro: 30 dias para responder solicitações de titulares (em vez de 15) e seis dias úteis para notificar incidentes (em vez de três)
  • Política de segurança simplificada: Exigências proporcionais ao porte

O que continua valendo para todas as empresas

As bases legais, os princípios da lei e os direitos dos titulares valem igualmente. A flexibilização é no "como fazer", não no "o que fazer".

Traduzindo: é mais simples, mas não é opcional.

Os 7 passos para adequar sua empresa à LGPD

Esses são os sete passos para uma adequação à LGPD que funciona na prática. É um passo a passo pensado para PMEs: não é necessário fazer tudo ao mesmo tempo. O mais importante é começar e evoluir.

  1. Faça o mapeamento de dados da sua empresa
  2. Identifique as bases legais para cada tratamento
  3. Crie sua Política de Privacidade e documentação obrigatória
  4. Implemente um canal para direitos dos titulares
  5. Reforce a segurança da informação
  6. Defina o encarregado de dados (DPO)
  7. Estabeleça governança contínua

Vamos detalhar cada etapa.

Passo 1: faça o mapeamento de dados da sua empresa

Tudo começa aqui. Você precisa saber quais dados pessoais sua empresa coleta, onde eles ficam armazenados e para que servem. Confira nosso guia completo de mapeamento de dados para um passo a passo detalhado dessa etapa.

Na prática, isso significa passar por cada setor:

  • RH: Dados de funcionários (nome, CPF, dados bancários, atestados médicos)
  • Marketing: E-mails de leads, cookies do site, listas de contatos
  • Vendas: Cadastro de clientes, dados de pagamento, endereços de entrega
  • Financeiro: Dados para emissão de notas fiscais, dados de fornecedores

Para cada dado identificado, registre: que dado é, de quem é, por que sua empresa coleta, onde fica armazenado e quem tem acesso.

Quando o Rafael, dono de uma clínica odontológica em Curitiba, fez o mapeamento da sua empresa em janeiro de 2026, descobriu que coletava dados de saúde dos pacientes em três sistemas diferentes: o software de agendamento, as fichas em papel e um grupo no WhatsApp onde a equipe compartilhava informações sobre tratamentos. Ele não fazia ideia de que dados sensíveis estavam em tantos lugares. Esse mapeamento levou dois dias, mas foi o passo mais revelador de toda a adequação.

O resultado desse passo é o registro de atividades de tratamento, um documento que a ANPD pode solicitar a qualquer momento. Para PMEs, existe um modelo simplificado aceito pela Autoridade.

Dica: O DataSafu oferece um mapeamento automatizado de dados que organiza esse processo em minutos, em vez de semanas com planilhas.

Passo 2: identifique as bases legais para cada tratamento

A LGPD define 10 bases legais que justificam o tratamento de dados pessoais. Consentimento é a mais conhecida, mas está longe de ser a única. E aqui vem uma informação que surpreende muita gente: consentimento não é a resposta para tudo.

As bases legais mais usadas por PMEs:

  1. Execução de contrato: Dados do cliente para prestar o serviço contratado (nome e endereço para entrega, por exemplo)
  2. Obrigação legal: Dados de funcionários para cumprir obrigações trabalhistas, dados para emissão de nota fiscal
  3. Legítimo interesse: Enviar comunicações relevantes para clientes existentes, desde que o impacto ao titular seja baixo
  4. Consentimento: Quando nenhuma outra base legal se aplica, como coletar dados para enviar newsletters

O passo prático: para cada dado mapeado no Passo 1, defina qual base legal justifica o tratamento. Isso evita o erro comum de pedir consentimento para tudo e simplifica muito a gestão.

Passo 3: crie sua Política de Privacidade e documentação obrigatória

Sua empresa precisa de alguns documentos essenciais:

  • Política de Privacidade: Explica quais dados você coleta, por que coleta, como usa e quais são os direitos do titular
  • Termos de Uso: Regras para uso do seu site ou serviço
  • Registro de atividades de tratamento: O documento do Passo 1
  • RIPD (Relatório de Impacto à Proteção de Dados): Obrigatório se sua empresa lida com dados sensíveis em grande volume

A Política de Privacidade precisa ser escrita em linguagem clara e acessível. Nada de copiar um modelo genérico cheio de termos jurídicos. O titular precisa entender o que você faz com os dados dele.

Para PMEs, a ANPD aceita modelos simplificados. Você não precisa de um documento de 30 páginas.

Quer acelerar essa etapa? O DataSafu disponibiliza templates de documentos LGPD prontos para adaptar, criados por especialistas e organizados por setor.

Passo 4: implemente um canal para direitos dos titulares

A LGPD garante 10 direitos aos titulares de dados (Artigo 18). Seus clientes podem pedir acesso, correção, exclusão e portabilidade dos dados que você tem sobre eles. Veja a lista completa no nosso guia de direitos do titular na LGPD.

Sua empresa precisa de um canal para receber e responder esses pedidos. O prazo para resposta é de 15 dias, estendido para 30 dias para agentes de pequeno porte.

As opções vão do simples ao automatizado:

  • E-mail dedicado: [email protected] (funciona, mas exige controle manual de prazos)
  • Formulário no site: Página com formulário específico para solicitações de titulares
  • Plataforma automatizada: Gerencia solicitações, controla prazos e padroniza respostas

Imagine que a Fernanda, dona de um e-commerce de moda em Porto Alegre, recebe um e-mail de uma cliente pedindo exclusão de todos os seus dados. Prazo: 15 dias correndo. Sem um canal organizado, Fernanda precisa buscar dados no sistema de vendas, na plataforma de e-mail marketing, no CRM e nas notas fiscais. Com um processo estruturado, ela atende o pedido em minutos, documentando tudo para comprovação.

Quer simplificar esse processo? O Canal do Titular do DataSafu automatiza o recebimento e a gestão de solicitações, com controle de prazos e templates de resposta prontos.

Passo 5: reforce a segurança da informação

Não adianta mapear dados e criar documentos se as informações ficam desprotegidas. A LGPD exige medidas de segurança adequadas ao porte e à natureza dos dados tratados.

Para PMEs, as medidas básicas incluem:

  • Senhas fortes e únicas para cada sistema
  • Controle de acesso: Só quem precisa acessa dados pessoais
  • Backup regular: Cópia de segurança dos dados
  • Antivírus e firewall atualizados
  • Treinamento da equipe: Sobre phishing, engenharia social e boas práticas no dia a dia

A ANPD publicou um guia de segurança para agentes de pequeno porte com orientações proporcionais.

Em caso de incidente de segurança (vazamento de dados, por exemplo), a empresa precisa notificar a ANPD e os titulares afetados em três dias úteis. Para agentes de pequeno porte, o prazo é de seis dias úteis.

Passo 6: defina o encarregado de dados (DPO)

O encarregado de dados, também chamado DPO (Data Protection Officer), é a pessoa responsável por ser o ponto de contato entre a empresa, os titulares e a ANPD.

Para PMEs com regime simplificado (Resolução nº 2), não é obrigatório nomear um DPO formal. Mas é obrigatório manter um canal de comunicação ativo com os titulares.

Se sua empresa decide nomear alguém, as opções incluem:

  • Colaborador interno: Alguém da equipe que acumula a função
  • DPO compartilhado: Um profissional que atende várias empresas
  • DPO as a Service: Serviço terceirizado contínuo, geralmente por R$3 mil a R$5,5 mil por mês

Para a maioria das PMEs, o caminho mais prático é definir um responsável interno e manter o canal de comunicação funcionando.

Passo 7: estabeleça governança contínua

Este é o passo que mais empresas ignoram, e o que mais causa problemas no longo prazo. Adequação à LGPD não é um projeto que você faz uma vez e esquece. É um processo vivo.

O que governança contínua significa na prática:

  • Revisar periodicamente o mapeamento de dados (a cada seis meses ou quando mudar processos)
  • Atualizar documentação sempre que necessário
  • Treinar novos funcionários sobre proteção de dados
  • Acompanhar regulamentações novas da ANPD
  • Monitorar o score de conformidade da empresa com uma análise de risco LGPD que identifica vulnerabilidades

O Marcos, contador que atende mais de 40 pequenas empresas em Belo Horizonte, percebeu no meio de 2025 que processava dados pessoais de milhares de pessoas sem nunca ter pensado em LGPD. Não era só a empresa dele: cada cliente seu era um controlador de dados, e ele era operador de todos. Depois de adequar seu escritório e incluir cláusulas de tratamento de dados em todos os contratos, transformou a governança em uma revisão trimestral que leva menos de duas horas.

Quanto custa adequar sua empresa à LGPD?

Essa é uma das perguntas que mais recebemos. E a resposta depende do caminho escolhido.

Caminho Custo estimado Tempo Melhor para
Consultoria tradicional R$20 mil a R$50 mil+ 3-6 meses Empresas maiores ou com alto risco regulatório
DPO as a Service R$3 mil a R$5,5 mil/mês Contínuo Empresas que precisam de DPO dedicado
Plataforma SaaS (como DataSafu) Fração da consultoria 2-4 semanas PMEs que querem fazer self-service
Fazer sozinho (templates gratuitos) Gratuito Variável MEIs e micro com baixo risco

Cada caminho tem prós e contras:

Consultoria: Oferece orientação personalizada, mas o custo é proibitivo para a maioria das PMEs. Faz sentido para empresas com dados sensíveis em grande volume ou com operações complexas.

DPO as a Service: Resolve a necessidade de ter um profissional dedicado, mas é um custo mensal recorrente que pesa no orçamento de empresas menores.

Plataforma SaaS: O melhor custo-benefício para PMEs. Você tem mapeamento automatizado, templates prontos, canal do titular e checklist de conformidade por uma fração do custo de consultoria.

Fazer sozinho: Funciona para MEIs e microempresas com poucos dados, mas traz riscos. Templates genéricos da internet podem estar desatualizados, e sem orientação, é fácil deixar lacunas.

Para a maioria das PMEs de 5 a 200 funcionários, uma plataforma SaaS oferece o equilíbrio ideal entre custo, velocidade e segurança.

Quanto tempo leva para se adequar à LGPD?

Para uma PME de 10 a 50 funcionários, o cronograma realista é:

  • Semana 1-2: Mapeamento de dados e definição de bases legais
  • Semana 2-3: Criação da Política de Privacidade e documentação
  • Semana 3-4: Canal do titular, medidas de segurança e definição do encarregado
  • Contínuo: Governança, monitoramento e treinamento

Fatores que impactam o prazo: porte da empresa, setor de atuação (dados sensíveis exigem mais cuidado), quantidade de sistemas que armazenam dados pessoais e nível de organização atual.

A mensagem mais importante aqui: não precisa ser perfeito no dia um. O que importa é começar e manter um progresso constante. Uma empresa que está 60% adequada e evoluindo está em posição muito melhor do que uma que não começou.

Checklist de adequação à LGPD para PMEs

Use este checklist para acompanhar o progresso da sua empresa:

  1. Mapeei todos os dados pessoais que minha empresa coleta
  2. Identifiquei a base legal para cada tratamento de dados
  3. Criei ou atualizei minha Política de Privacidade
  4. Tenho registro das atividades de tratamento
  5. Disponibilizei canal para titulares exercerem seus direitos
  6. Implementei medidas básicas de segurança da informação
  7. Defini quem é o encarregado de dados ou mantenho canal de comunicação ativo
  8. Treinei minha equipe sobre proteção de dados pessoais
  9. Tenho plano para notificar incidentes de segurança
  10. Reviso periodicamente minha conformidade

Se você marcou menos da metade, não se preocupe. Comece pelo item 1 e avance um por vez.

Quer esse checklist automatizado e com acompanhamento de progresso? Conheça o Checklist de Conformidade do DataSafu, que mostra exatamente onde sua empresa está e o que falta.

Erros comuns na adequação à LGPD (e como evitar)

Depois de acompanhar o processo de centenas de PMEs, estes são os erros que mais vemos:

Erro 1: Achar que Política de Privacidade no site resolve tudo. A política é importante, mas é só um dos documentos necessários. Sem mapeamento de dados, bases legais definidas e canal do titular, a política é apenas fachada.

Erro 2: Pedir consentimento para tudo. Existem 10 bases legais na LGPD. Pedir consentimento quando outra base se aplica complica a gestão e cria riscos desnecessários. Se um dado é necessário para executar um contrato, a base legal é execução de contrato, não consentimento.

Erro 3: Fazer tudo de uma vez e abandonar depois. Adequação não é um projeto com data de entrega. Empresas que investem R$30 mil em consultoria e depois esquecem voltam ao ponto zero em poucos meses. O segredo é criar uma rotina simples de revisão.

Erro 4: Copiar templates genéricos sem adaptar. Uma clínica médica tem necessidades completamente diferentes de um e-commerce. Templates genéricos podem criar uma falsa sensação de conformidade e deixar lacunas graves.

Erro 5: Ignorar dados de funcionários. O RH coleta dados pessoais sensíveis: atestados médicos, dados bancários, informações de dependentes. Muitas empresas focam nos clientes e esquecem que os dados dos funcionários também estão sob a LGPD.

Erro 6: Achar que PME não é fiscalizada. A ANPD já está fiscalizando empresas de todos os portes. Com 200 novos servidores e uma agenda regulatória para 2026-2027, a probabilidade de fiscalização só aumenta. Conheça as multas e sanções da LGPD para entender os riscos.

Perguntas frequentes sobre adequação à LGPD

Quem precisa se adequar à LGPD?

Toda empresa que coleta, armazena ou trata dados pessoais precisa se adequar à LGPD, independente do porte. Isso inclui MEIs, microempresas, empresas de pequeno porte e startups. A diferença é que agentes de tratamento de pequeno porte contam com um regime simplificado, conforme a Resolução CD/ANPD nº 2/2022, com prazos maiores e exigências proporcionais.

É possível adequar minha empresa à LGPD sem contratar consultoria?

Sim. Com plataformas SaaS como o DataSafu, PMEs conseguem fazer a adequação de forma self-service, com mapeamento automatizado, templates prontos e orientação passo a passo. Consultorias fazem sentido para operações complexas ou empresas que lidam com dados sensíveis em grande escala, mas para a maioria das PMEs, o caminho self-service é suficiente e muito mais acessível.

O que acontece se minha empresa não se adequar à LGPD?

A ANPD pode aplicar sanções que vão desde advertências até multas de 2% do faturamento anual, limitadas a R$50 milhões por infração. Além das multas, a empresa pode sofrer bloqueio dos dados pessoais e danos à reputação. Com a ANPD operando como agência reguladora e com quadro ampliado de servidores, a fiscalização está cada vez mais ativa.

Qual a diferença entre adequação e conformidade com a LGPD?

Adequação é o processo: mapear dados, criar documentos, treinar equipe e implementar controles. Conformidade é o resultado: estar de acordo com o que a lei exige. Nenhuma empresa fica em conformidade para sempre, pois processos mudam, novos dados são coletados e a regulamentação evolui. Por isso, adequação é um processo contínuo.

Conclusão: comece sua adequação hoje

Adequar sua empresa à LGPD não precisa custar uma fortuna nem levar meses. Você não deveria precisar de uma consultoria de R$20 a R$50 mil para colocar a proteção de dados da sua empresa em ordem, e com o DataSafu, você não vai mais: por uma fração desse custo, sua empresa percorre os sete passos deste guia no seu próprio ritmo. Vamos recapitular os pontos essenciais:

  • Mapeie seus dados para saber exatamente o que sua empresa coleta e onde armazena
  • Defina bases legais para cada tratamento, sem depender só de consentimento
  • Crie documentação proporcional ao porte da sua empresa
  • Implemente um canal para atender os direitos dos titulares
  • Reforce a segurança com medidas básicas e proporcionais
  • Mantenha a governança com revisões periódicas

O passo mais importante é o primeiro. Comece pelo mapeamento de dados e avance um passo de cada vez. A ANPD já está fiscalizando, as multas são pesadas, mas com um processo organizado, sua empresa pode se adequar em semanas, não meses.

Não sabe por onde começar? Faça o diagnóstico da sua empresa e descubra em minutos onde você está na jornada de conformidade com a LGPD e quais dos sete passos priorizar.