LGPD para pequenas empresas: guia prático de adequação
Sua pequena empresa precisa se adequar à LGPD? Veja o passo a passo completo com custos, prazos, flexibilizações da ANPD e como se proteger de multas em 2026.
Apenas 4% das pequenas e médias empresas brasileiras estão preparadas para a LGPD. Enquanto isso, a ANPD (Autoridade Nacional de Proteção de Dados) programou 40 ações de fiscalização para o biênio 2026-2027, com foco nos direitos dos titulares de dados. Se a sua pequena empresa ainda não começou a adequação, o relógio está correndo.
Sabemos que você provavelmente já ouviu falar da LGPD para pequenas empresas, mas pensou: "isso é coisa de empresa grande". Não é. A primeira multa da ANPD foi aplicada justamente a uma microempresa. E o valor, R$14.400, não veio acompanhado de aviso prévio.
Neste guia, você vai descobrir o que a LGPD realmente exige do seu negócio, quais flexibilizações existem para o seu porte, e como adequar sua empresa passo a passo, sem gastar uma fortuna com consultorias. Vamos direto ao ponto.
A LGPD se aplica a pequenas empresas?
A LGPD (Lei Geral de Proteção de Dados, Lei nº 13.709/2018) se aplica a qualquer pessoa ou empresa que realize o tratamento de dados pessoais, ou seja, que colete, armazene ou utilize essas informações. Não importa o porte, não importa o faturamento. Se você pede nome, CPF, e-mail ou telefone de um cliente, a lei vale para o seu negócio.
A fiscalização já começou
Muitos empresários descobriram isso da pior forma. Em julho de 2023, a ANPD aplicou suas primeiras sanções, e o alvo não foi um banco nem uma multinacional. Foi a Telekall Inforservice, uma microempresa de Uberlândia (MG) que vendia listas de contatos de WhatsApp para disparo de mensagens em massa.
A empresa não tinha base legal para tratar aqueles dados, não informava os titulares e não tinha sequer uma Política de Privacidade. Resultado: multa de R$14.400 e advertência formal.
O caso da Telekall mostrou duas coisas importantes. Primeira: a ANPD fiscaliza empresas de qualquer tamanho. Segunda: a falta de adequação pode resultar em sanções concretas, não apenas advertências educativas.
E a tendência é de intensificação. A ANPD publicou seu Mapa de Temas Prioritários para 2026-2027, com 40 ações programadas focadas em direitos dos titulares. O cerco está se fechando, inclusive para pequenas empresas.
Importante: Segundo pesquisa da Macher Tecnologia, 77% dos pequenos empresários brasileiros não tomaram nenhuma ação concreta de adequação à LGPD. Se você está lendo este artigo, já está à frente da grande maioria.
Se quiser avaliar onde sua empresa está agora, o DataSafu oferece uma análise de risco que identifica suas principais vulnerabilidades em minutos.
O que a LGPD exige da sua pequena empresa
Na prática, a LGPD para pequenas empresas se resume a cinco obrigações fundamentais:
- Ter base legal para coletar e usar dados pessoais. Toda coleta precisa de uma justificativa prevista em lei. As mais comuns para pequenas empresas são consentimento do cliente, necessidade contratual e obrigação legal (como guardar dados fiscais).
- Informar clientes sobre como seus dados são tratados. Sua empresa precisa de uma Política de Privacidade clara e acessível, que explique quais dados coleta, por que coleta, e o que faz com eles.
- Proteger os dados com medidas de segurança. Não precisa ser nada sofisticado. Senhas fortes, backup regular, antivírus atualizado e controle de acesso já cobrem o básico para empresas de pequeno porte.
- Atender pedidos de titulares. Seus clientes têm o direito de pedir acesso, correção ou exclusão dos dados pessoais que sua empresa mantém. Você precisa de um canal para receber e responder essas solicitações.
- Comunicar incidentes de segurança. Se acontecer um vazamento de dados, você precisa notificar a ANPD e os titulares afetados dentro dos prazos legais.
Parece muita coisa? Calma. A boa notícia é que a ANPD criou regras específicas que facilitam a vida de empresas menores. Se você quer um panorama completo do processo de conformidade, nosso guia de adequação à LGPD detalha cada etapa em profundidade.
O que muda para pequenas empresas: Resolução ANPD nº 2
Flexibilizações que facilitam a adequação
A ANPD reconhece que uma padaria não tem a mesma estrutura que um banco. Por isso, publicou a Resolução CD/ANPD nº 2, que flexibiliza diversas obrigações da LGPD para empresas de pequeno porte.
Quem se beneficia:
- MEI com faturamento até R$81 mil por ano
- Microempresas com faturamento até R$360 mil por ano
- Empresas de Pequeno Porte (EPP) com faturamento até R$4,8 milhões por ano
- Startups com faturamento até R$16 milhões por ano
O que fica mais simples:
| Obrigação | Regra geral | Regra para pequenas empresas |
|---|---|---|
| Encarregado de dados (DPO) | Obrigatório | Dispensado (mas precisa de canal de comunicação) |
| Prazo para responder titulares | 15 dias | 30 dias (prazo em dobro) |
| Registro de tratamento | Completo e detalhado | Modelo simplificado |
| Segurança da informação | Política formal robusta | Política simplificada |
| Comunicação de incidentes | Procedimento completo | Procedimento simplificado |
Essas flexibilizações fazem diferença real no dia a dia. Para Carla, que tem um consultório odontológico com três funcionárias em Belo Horizonte, significaram a diferença entre "isso é impossível para mim" e "consigo fazer isso".
Ela não precisou contratar um DPO nem criar procedimentos dignos de uma multinacional. Criou um canal simples para atender pedidos de pacientes, organizou os dados do consultório e atualizou sua Política de Privacidade. Tudo em menos de um mês, sem consultoria externa.
O que NÃO muda
Nem tudo é flexibilizado. As regras fundamentais continuam valendo para qualquer porte:
- Bases legais são obrigatórias para todo tratamento de dados
- Os princípios da LGPD (finalidade, necessidade, transparência) devem ser seguidos
- Multas seguem as mesmas regras, independente do tamanho da empresa
- Dados sensíveis (saúde, biometria, religião) exigem cuidado redobrado
A flexibilização facilita o como você se adequa. Não elimina o o quê precisa ser feito.
Dica: Quer saber exatamente onde sua empresa está na adequação? O checklist de conformidade LGPD do DataSafu mostra o que já foi feito e o que falta, passo a passo.
Como adequar sua pequena empresa à LGPD: passo a passo
Passo 1: mapeie os dados que sua empresa coleta
Antes de proteger qualquer coisa, você precisa saber o que tem. O mapeamento de dados é o primeiro passo da adequação à LGPD para pequenas empresas, e responde a três perguntas:
- Quais dados pessoais sua empresa coleta? Nome, CPF, e-mail, telefone, endereço, e dados de saúde.
- Onde esses dados ficam armazenados? Planilhas, sistema de gestão, e-mail, WhatsApp, e arquivos físicos.
- Por que você precisa deles? Para emitir nota fiscal, para contato comercial, e para entregar um serviço.
Exemplos por setor:
- Clínica médica: Nome, CPF, histórico médico, exames, e convênio. São dados sensíveis de saúde que exigem atenção redobrada com base legal e segurança.
- E-commerce: Nome, endereço, dados de pagamento, histórico de compras, e cookies. Mapeamento mais complexo porque envolve terceiros como gateway de pagamento e transportadora.
- Salão de beleza ou pet shop: Nome, telefone, e preferências de serviço. Cadastro simples, adequação mais enxuta.
- Escola ou curso: Nome e dados de alunos (muitas vezes menores de idade), além de dados dos responsáveis. A LGPD exige proteção especial para dados de crianças e adolescentes.
Dica prática: Comece listando todos os pontos de contato com o cliente: site, loja física, WhatsApp, e redes sociais. Cada ponto provavelmente coleta algum dado pessoal. O mapeamento automatizado de dados do DataSafu transforma esse processo em minutos, sem planilhas complicadas.
Passo 2: identifique as bases legais
Para cada dado mapeado, defina por que sua empresa pode mantê-lo. Nessa relação, sua empresa atua como controlador dos dados (quem decide o que fazer com eles), e qualquer terceiro que processe informações em seu nome é o operador. As bases legais mais usadas por pequenas empresas:
- Consentimento: O cliente autorizou expressamente. Exemplo: se cadastrou na sua newsletter.
- Execução de contrato: Você precisa do dado para entregar o que vendeu. Exemplo: endereço para entrega.
- Obrigação legal: A lei exige que você guarde. Exemplo: dados fiscais por cinco anos.
- Legítimo interesse: Você tem um motivo válido e não prejudica o titular. Exemplo: enviar ofertas para clientes ativos.
Para clínicas e consultórios, a base legal para dados de saúde geralmente é "proteção da saúde do titular dos dados", prevista no Art. 7, VIII da LGPD. Não precisa de consentimento para atender o paciente, mas precisa para enviar marketing.
Passo 3: crie seus documentos obrigatórios
Toda empresa que coleta dados pessoais precisa, no mínimo, de:
- Política de Privacidade: Explica ao cliente quais dados você coleta, por que coleta, e quais são os direitos dele. Precisa estar acessível no site e na loja.
- Aviso de cookies (se tem site): Informa que o site coleta dados de navegação e dá ao visitante a opção de aceitar ou recusar.
- Registro de atividades de tratamento: Documento interno que cataloga todos os dados pessoais que sua empresa trata. Para pequenas empresas, pode seguir o modelo simplificado previsto na Resolução nº 2.
Se você já tem uma Política de Privacidade genérica copiada da internet, é hora de atualizar. Uma política genérica pode ser pior do que não ter nenhuma, porque cria uma falsa sensação de conformidade. Os templates de documentos LGPD do DataSafu são específicos por setor e já vêm adaptados para a realidade de PMEs.
Passo 4: implemente medidas de segurança
A ANPD publicou um Guia de Segurança da Informação para Agentes de Pequeno Porte com recomendações proporcionais ao porte da empresa. As medidas essenciais:
- Senhas fortes e únicas para todos os sistemas
- Backup regular dos dados (pelo menos semanal)
- Antivírus atualizado em todos os computadores
- Controle de acesso: cada funcionário acessa apenas os dados necessários para sua função
- Conexão segura: HTTPS no site, e cuidado ao enviar dados sensíveis por e-mail
Não precisa de um data center blindado. Precisa de boas práticas aplicadas de forma consistente.
Passo 5: prepare-se para atender titulares
Seus clientes têm direitos garantidos pela LGPD: pedir acesso aos dados que você mantém, solicitar correção de informações incorretas, pedir exclusão quando não houver mais motivo para manter, entre outros.
Sua empresa precisa de um canal para receber e responder essas solicitações. No início, pode ser um e-mail dedicado ([email protected]) ou um formulário no site. O importante:
- Ter um canal claro e acessível para os clientes
- Responder dentro do prazo legal (30 dias para pequenas empresas, graças à Resolução nº 2)
- Registrar todas as solicitações e respostas para comprovação
Conforme o volume de solicitações crescer, o Canal do Titular do DataSafu automatiza o recebimento, a classificação e o acompanhamento de cada pedido, garantindo que nenhum prazo seja perdido.
Passo 6: treine sua equipe
De nada adianta ter políticas e processos se sua equipe não sabe o que fazer. O treinamento não precisa ser um curso extenso. O básico já faz diferença:
- O que são dados pessoais e por que precisam ser protegidos
- O que fazer quando um cliente pedir seus dados
- Como reportar um possível vazamento
- Boas práticas no dia a dia: senhas, compartilhamento de dados, e descarte de documentos
Uma reunião de uma hora com a equipe, reforçada a cada seis meses, já coloca sua empresa muito à frente da maioria das pequenas empresas brasileiras.
Quanto custa adequar uma pequena empresa à LGPD?
Essa é a pergunta que todo empresário faz ao pensar na LGPD para pequenas empresas. E a resposta depende do caminho escolhido.
Roberto, dono de um e-commerce de roupas em Curitiba, passou por essa decisão no começo de 2026. Pediu orçamento para três consultorias jurídicas. A mais barata cobrou R$12 mil, com prazo de três meses. Pesquisou fazer sozinho com planilhas e templates gratuitos do Sebrae, mas depois de duas semanas perdidas tentando entender termos jurídicos e montar documentos do zero, percebeu que estava gastando mais tempo do que podia. Encontrou uma plataforma self-service, concluiu a adequação básica em três semanas dedicando algumas horas por semana, e pagou uma fração do custo da consultoria.
A experiência do Roberto reflete as opções do mercado:
| Método | Custo estimado | Tempo médio | Ideal para |
|---|---|---|---|
| Consultoria jurídica | R$5.000 a R$50.000+ | 3-6 meses | Empresas com dados sensíveis em grande escala |
| DPO terceirizado | R$1.200 a R$1.900/mês | Contínuo | Empresas que precisam de DPO formal |
| Plataforma self-service (SaaS) | A partir de valores acessíveis/mês | 2-4 semanas | PMEs que querem autonomia e agilidade |
| Fazer sozinho (planilhas) | Custo de tempo | Indefinido | Quem tem conhecimento jurídico prévio |
Para a maioria das pequenas empresas, uma plataforma self-service oferece o melhor equilíbrio entre custo, velocidade e segurança. Você não depende de agenda de consultor, não precisa de conhecimento jurídico, e tem orientação em cada etapa.
Pronto para ver quanto custa para sua empresa? Conheça os planos do DataSafu, pensados para caber no orçamento de pequenas empresas.
Os riscos de não se adequar à LGPD
Multas e sanções da ANPD
A ANPD já está aplicando sanções. Conhecer as multas e sanções da LGPD é essencial para entender o risco real. As penalidades previstas em lei incluem:
- Advertências com prazo para corrigir as irregularidades
- Multas de até 2% do faturamento anual, limitadas a R$50 milhões por infração
- Bloqueio dos dados: sua empresa fica proibida de usar os dados até se adequar
- Eliminação dos dados: a ANPD pode obrigar a empresa a apagar dados coletados irregularmente
- Suspensão do banco de dados por até seis meses
Para uma pequena empresa, o bloqueio de dados pode ser mais devastador que a própria multa. Imagine não poder acessar sua base de clientes por semanas. O negócio simplesmente para.
Além das multas
Os riscos vão além das sanções formais:
- Perda de confiança dos clientes. Um vazamento de dados ou uma reclamação no Procon pode afastar clientes permanentemente. A confiança é difícil de reconstruir.
- Perda de contratos. Empresas maiores exigem cada vez mais que seus fornecedores estejam adequados à LGPD. Sem conformidade, você perde oportunidades de negócio.
- Dano reputacional. Na era digital, uma notícia sobre vazamento de dados se espalha rápido e é difícil de reverter.
A adequação à LGPD para pequenas empresas não é opcional. Cada dia sem conformidade é um dia de risco. E quanto mais cedo você começar, menos trabalho terá.
Perguntas frequentes sobre LGPD para pequenas empresas
MEI precisa se adequar à LGPD?
Sim. O MEI (Microempreendedor Individual) que coleta dados pessoais está sujeito à LGPD. Se você pede nome, CPF ou telefone de clientes, a lei se aplica ao seu negócio. A boa notícia: o MEI se enquadra como agente de pequeno porte e tem direito a todas as flexibilizações da Resolução nº 2, incluindo dispensa de DPO e prazo de 30 dias para responder titulares.
Preciso de DPO na minha pequena empresa?
Na maioria dos casos, não. A Resolução nº 2 da ANPD dispensa agentes de pequeno porte de nomear um encarregado de dados (DPO). Porém, sua empresa ainda precisa manter um canal de comunicação acessível para que titulares possam exercer seus direitos. Ter alguém responsável internamente por esse canal é uma boa prática, mesmo sem a obrigação formal do DPO.
Pequena empresa pode ser multada pela LGPD?
Sim. O caso da Telekall Inforservice comprovou isso na prática. A ANPD aplicou multa de R$14.400 a uma microempresa por tratar dados pessoais sem base legal e sem informar os titulares. As multas podem chegar a 2% do faturamento anual, limitadas a R$50 milhões por infração.
Quanto tempo leva para adequar uma pequena empresa?
Depende do porte e da complexidade dos dados que sua empresa trata. Com orientação adequada e uma ferramenta self-service, a maioria das pequenas empresas consegue uma adequação sólida em duas a quatro semanas, dedicando algumas horas por semana. Empresas que tratam dados sensíveis em escala (como clínicas e escolas) podem precisar de mais tempo.
Posso fazer a adequação sozinho, sem advogado?
Para a maioria das pequenas empresas, sim. O processo de adequação para pequenas empresas pode ser feito com ferramentas self-service que orientam cada etapa e fornecem templates prontos. Em situações mais complexas, como tratamento em grande escala de dados sensíveis ou transferência internacional de dados, uma consulta jurídica pode ser recomendável. Os relatórios gerados por plataformas como o DataSafu facilitam inclusive o trabalho do advogado, caso você precise de um.
Próximos passos: comece sua adequação hoje
Vamos recapitular o que você aprendeu neste guia:
- A LGPD vale para todas as empresas, inclusive MEIs, microempresas e EPPs. A ANPD já está fiscalizando e multando.
- A Resolução nº 2 traz flexibilizações importantes: dispensa de DPO, prazo em dobro para titulares, e processos simplificados.
- O passo a passo é claro: mapear dados, definir bases legais, criar documentos, proteger dados, atender titulares, e treinar equipe.
- Não precisa custar uma fortuna. Plataformas self-service oferecem adequação acessível e guiada para PMEs.
- O risco de não fazer nada é real e crescente, com 40 ações de fiscalização da ANPD programadas para 2026-2027.
Como você viu neste guia, a LGPD para pequenas empresas é mais simples do que parece, especialmente com as flexibilizações da Resolução nº 2. O primeiro passo é o mais importante: começar.
O DataSafu foi criado para isso. Uma plataforma self-service que guia pequenas e médias empresas por todo o processo de adequação, com mapeamento automatizado de dados, templates prontos por setor, e um Canal do Titular que automatiza o atendimento de solicitações. Você não deveria precisar de uma consultoria de R$20 a R$50 mil para colocar a proteção de dados da sua empresa em ordem, e com o DataSafu, você não vai mais.