O que é LGPD: guia completo e prático para empresas

Você sabe que a LGPD existe. Talvez até já tenha ouvido falar de multas. Mas se alguém perguntasse "o que a LGPD exige da sua empresa, na prática?", você saberia responder?

Se travou nessa pergunta, você não está sozinho. Segundo pesquisa recente, 77% dos pequenos empresários brasileiros não tomaram nenhuma ação concreta de adequação a essa lei. E enquanto a maioria espera, a ANPD (Autoridade Nacional de Proteção de Dados) programou 40 ações de fiscalização para o biênio 2026-2027.

Neste guia, você vai entender o que é LGPD de verdade. Sem juridiquês. Vamos explicar cada conceito em linguagem simples, mostrar como a lei afeta o dia a dia da sua empresa e te dar os primeiros passos para se adequar.

Tudo pensado para quem precisa de clareza, não de teoria.

O que é LGPD?

A LGPD (Lei Geral de Proteção de Dados) é a lei brasileira que define as regras para coleta, uso e armazenamento de dados pessoais. Criada pela Lei nº 13.709/2018, ela está em vigor desde setembro de 2020.

Na essência, a lei faz duas coisas: dá aos brasileiros controle sobre seus próprios dados e impõe obrigações a toda empresa que os trata.

A lei explicada sem juridiquês

Pense assim: antes da LGPD, empresas podiam coletar seus dados pessoais e fazer praticamente o que quisessem com eles. Vender para terceiros, usar para enviar spam, compartilhar sem autorização. Não havia regras claras nem consequências.

A LGPD mudou esse cenário. Agora, toda empresa que coleta dados pessoais precisa:

• Ter um motivo válido para coletar cada dado
• Informar o titular (a pessoa dona dos dados) sobre o que faz com essas informações
• Proteger os dados com medidas de segurança adequadas
• Respeitar os direitos de quem forneceu os dados
• Responder à ANPD, o órgão fiscalizador criado pela própria lei

A LGPD se inspirou na GDPR, a lei europeia de proteção de dados que entrou em vigor em 2018. Mas a versão brasileira tem suas particularidades, como as 10 bases legais para tratamento (a GDPR tem seis) e flexibilizações específicas para pequenas empresas.

Se quer entender como a lei impacta especificamente negócios de menor porte, veja nosso guia de LGPD para pequenas empresas.

Para que serve a LGPD na prática?

Entender o que é LGPD vai além de conhecer a lei. É entender por que ela existe e o que muda no dia a dia.

A LGPD serve para três coisas concretas:

1. Proteger os dados pessoais dos cidadãos. Seus clientes, funcionários e fornecedores agora têm garantias legais de que seus dados serão tratados com responsabilidade. Se alguém pede exclusão dos seus dados, a empresa precisa atender.

2. Criar regras claras para empresas. Antes da LGPD, cada empresa fazia o que queria com dados pessoais. Agora existem regras: você precisa ter uma razão para coletar, precisa informar como usa, e precisa proteger o que armazena.

3. Estabelecer consequências reais para quem descumpre. Multas de até 2% do faturamento, bloqueio de dados, publicização da infração. A ANPD tem poder para fiscalizar e punir.

O que isso significa para a sua empresa

Na prática, a LGPD transforma a forma como você lida com informações de clientes. Aquele cadastro de clientes no WhatsApp Business? Dados pessoais. A planilha com nomes e CPFs para emitir nota fiscal? Dados pessoais. O formulário de contato no seu site? Dados pessoais.

Quando a Carla abriu sua loja de cosméticos em Belo Horizonte em 2024, ela mantinha uma planilha com mais de 3.000 nomes, telefones e datas de nascimento. Usava tudo para enviar promoções pelo WhatsApp. Parecia inofensivo.

Até que uma cliente pediu para ter seus dados excluídos. Carla não sabia nem por onde começar. Sem registro de coleta, sem Política de Privacidade, sem canal para atender titulares. O que teria custado algumas horas de organização virou semanas de trabalho corrido.

Quer avaliar rapidamente a situação da sua empresa? O DataSafu oferece um checklist de conformidade LGPD que mostra exatamente o que falta para sua adequação.

O que são dados pessoais segundo a LGPD?

Para entender o que é LGPD na prática, você precisa saber o que a lei considera "dado pessoal". É mais amplo do que parece.

Dados pessoais

Dado pessoal é qualquer informação que identifique ou permita identificar uma pessoa. Os exemplos mais óbvios:

• Nome completo
• CPF e RG
• E-mail pessoal
• Telefone
• Endereço

Mas a definição vai além. Também são dados pessoais:

• Endereço IP do computador
• Cookies de navegação
• Dados de geolocalização
• Fotos e vídeos em que uma pessoa é identificável
• Dados de consumo e hábitos de compra

Se a informação, sozinha ou combinada com outras, pode levar à identificação de uma pessoa, é dado pessoal.

Dados pessoais sensíveis

A LGPD criou uma categoria especial chamada dados sensíveis. São dados que podem gerar discriminação e, por isso, exigem cuidados redobrados:

• Dados de saúde (prontuários, exames, receitas)
• Dados biométricos (impressão digital, reconhecimento facial)
• Dados genéticos
• Origem racial ou étnica
• Convicção religiosa
• Opinião política
• Filiação sindical
• Dados sobre orientação sexual
• Dados de crianças e adolescentes

Se a sua empresa lida com qualquer desses dados, as exigências são mais rigorosas. Uma clínica que armazena prontuários, por exemplo, precisa de cuidados extras que uma loja de roupas não precisa.

Dados anonimizados

Existe uma exceção importante. Dados anonimizados passaram por um processo que torna impossível identificar a pessoa. A LGPD não os considera dados pessoais. Uma pesquisa que mostra "60% dos clientes preferem PIX" usa dados anonimizados. Sem problema nenhum.

A diferença é sutil mas relevante: se você consegue, por qualquer meio, voltar a identificar a pessoa a partir do dado, ele ainda é pessoal e a lei se aplica.

Quais são os 10 princípios da LGPD?

A LGPD estabelece 10 princípios que devem guiar todo tratamento de dados pessoais. Parecem abstratos, mas cada um tem consequência prática para o seu negócio.

O princípio da necessidade merece atenção especial. Muitas empresas coletam dados "por via das dúvidas". Aquele formulário que pede nome, CPF, data de nascimento, endereço, profissão, renda e estado civil para um simples cadastro de e-mail? Viola a LGPD.

Regra simples: colete apenas o que realmente precisa.

Bases legais da LGPD: quando sua empresa pode usar dados?

Este é um dos pontos que mais gera confusão. A LGPD define 10 hipóteses legais que autorizam o tratamento de dados pessoais. Sem pelo menos uma dessas bases, a coleta é ilegal.

Consentimento é a mais famosa. Mas quase nunca é a melhor opção para empresas. Surpreendente? Nem tanto.

Consentimento pode ser revogado a qualquer momento. Exige gestão constante. Gera insegurança. A maioria das operações do dia a dia de uma pequena empresa se encaixa melhor em outras bases.

As bases legais mais relevantes para pequenas empresas são:

1. Execução de contrato. Você precisa dos dados para cumprir o que vendeu. O endereço do cliente para entregar uma compra, os dados bancários para processar pagamento. Não precisa de consentimento para isso.

2. Obrigação legal. A lei exige que você guarde certos dados. CPF e dados de nota fiscal, por exemplo, precisam ficar armazenados por pelo menos cinco anos para fins tributários.

3. Legítimo interesse. Você tem um motivo legítimo para usar os dados e esse uso não prejudica o titular. Enviar ofertas relevantes para clientes ativos, por exemplo, pode se enquadrar aqui. É a base mais flexível, mas exige documentação (teste de proporcionalidade).

4. Consentimento. O titular autorizou expressamente. Funciona bem para newsletter, remarketing e comunicações opcionais. Mas lembre: o titular pode revogar a qualquer hora.

5. Proteção ao crédito. Consultas de CPF em bureaus de crédito antes de aprovar um parcelamento.

As outras cinco bases (tutela da saúde, proteção da vida, pesquisa, exercício de direitos em processo, execução de políticas públicas) são menos comuns no dia a dia de pequenas empresas, mas existem e podem ser relevantes dependendo do setor.

O Rafael, dono de um escritório de contabilidade em Curitiba com 12 funcionários, descobriu isso na prática. Ele achava que precisava de consentimento para tudo. Inclusive para guardar os dados fiscais dos clientes dos seus clientes. Resultado: formulários intermináveis, clientes confusos e um medo constante de estar "fora da lei".

Quando entendeu que dados fiscais se apoiam em obrigação legal e que clientes ativos podem usar legítimo interesse, ele simplificou toda a operação. O que parecia impossível virou gerenciável em duas semanas.

Quem é quem na LGPD?

A lei criou papéis claros para definir responsabilidades. Entender quem é quem evita confusão na hora de implementar a adequação.

Titular dos dados: a pessoa cujos dados são tratados. Seu cliente, seu funcionário, seu fornecedor. O titular é o dono dos dados, e a LGPD existe para proteger os direitos dessa pessoa.

Controlador: quem toma as decisões sobre o tratamento dos dados. Na maioria dos casos, é a sua empresa. Você decide quais dados coletar, por que coletar e como usar.

Operador: quem realiza o tratamento seguindo ordens do controlador. Seu sistema de e-mail marketing, a plataforma de pagamentos, o escritório de contabilidade que processa a folha. Eles tratam dados a mando da sua empresa.

Encarregado de dados (DPO): o responsável pela comunicação entre a empresa, os titulares e a ANPD. A boa notícia para pequenas empresas: a Resolução ANPD nº 2 dispensa agentes de tratamento de pequeno porte da obrigação de nomear um DPO.

ANPD: a Autoridade Nacional de Proteção de Dados. O órgão que fiscaliza, regulamenta e aplica sanções. Pense na ANPD como a "Receita Federal dos dados pessoais".

Como isso funciona no dia a dia

Imagine que você tem uma loja virtual e usa uma plataforma de e-mail marketing para enviar promoções:

• Titular: o cliente que forneceu o e-mail
• Controlador: sua empresa (decidiu coletar o e-mail para enviar promoções)
• Operador: a plataforma de e-mail marketing (processa o envio a mando da sua empresa)

Se o cliente pedir exclusão do e-mail, a responsabilidade é sua como controlador. Você precisa notificar o operador (a plataforma) para que também exclua os dados.

Direitos do titular: o que seus clientes podem pedir?

O Artigo 18 da LGPD concede 10 direitos aos titulares de dados. Seus clientes, funcionários e fornecedores podem exercer esses direitos a qualquer momento. Sua empresa precisa estar pronta para responder.

Os 10 direitos são:

1. Confirmação de que a empresa trata seus dados
2. Acesso aos dados que a empresa mantém
3. Correção de dados incompletos ou desatualizados
4. Anonimização, bloqueio ou eliminação de dados desnecessários
5. Portabilidade dos dados para outro fornecedor
6. Eliminação de dados tratados com base no consentimento
7. Informação sobre com quem os dados foram compartilhados
8. Informação sobre a possibilidade de não consentir e as consequências
9. Revogação do consentimento
10. Revisão de decisões automatizadas

Na prática, os pedidos mais comuns que pequenas empresas recebem são de acesso ("quais dados vocês têm sobre mim?"), correção ("meu e-mail está errado") e exclusão ("apaguem meus dados").

O prazo legal para responder é de 15 dias. Para pequenas empresas enquadradas na Resolução nº 2 da ANPD, esse prazo pode ser estendido para 30 dias. Mas não responder pode gerar sanções, reclamação na ANPD e perda de confiança do cliente.

Para conhecer em profundidade cada direito e como atendê-los, veja nosso guia de direitos do titular na LGPD.

O Canal do Titular do DataSafu automatiza o recebimento e a gestão dessas solicitações, garantindo que nenhum prazo seja perdido e que as respostas sigam o padrão exigido pela lei.

Multas e sanções: o que acontece se não cumprir a LGPD?

As consequências de não cumprir a LGPD são reais e vão além da multa financeira.

As sanções previstas na lei

A ANPD pode aplicar as seguintes penalidades:

• Advertência com prazo para correção
• Multa simples de até 2% do faturamento, limitada a R$50 milhões por infração
• Multa diária para forçar o cumprimento
• Publicização da infração (seu nome divulgado publicamente como infrator)
• Bloqueio dos dados pessoais relacionados à infração
• Eliminação dos dados pessoais relacionados à infração
• Suspensão parcial do banco de dados por até seis meses
• Proibição parcial ou total do exercício de atividades de tratamento

Para uma pequena empresa, o bloqueio de dados pode ser mais devastador que qualquer multa. Imagine ficar semanas sem poder acessar sua base de clientes, sem poder emitir notas fiscais, sem poder processar pedidos. O negócio para.

A primeira multa a uma microempresa

A ANPD já mostrou que não faz distinção de porte. Em julho de 2023, a Telekall Inforservice, uma microempresa de Uberlândia (MG), levou uma multa de R$14.400. O motivo: vender listas de contatos de WhatsApp para disparo de mensagens em massa.

A empresa não tinha base legal para o tratamento. Não informava os titulares. E não cooperou com a fiscalização.

O valor pode parecer pequeno para uma grande empresa. Para uma microempresa, R$14.400 é um golpe significativo. E esse foi apenas o começo.

A fiscalização está se intensificando

Dados recentes mostram um cenário de atenção:

• Denúncias contra pequenas empresas cresceram 37% no primeiro semestre de 2025
• Apenas 4% das pequenas empresas brasileiras estão preparadas para a LGPD
• A ANPD publicou o Mapa de Temas Prioritários 2026-2027 com 40 ações fiscalizatórias programadas
• Tribunais brasileiros dobraram as menções à LGPD em decisões judiciais em um ano

Para um panorama detalhado das penalidades, consulte nosso artigo sobre multas e sanções da LGPD.

Além da multa: o custo invisível

As sanções formais são apenas parte do problema. Uma reclamação no Procon pode manchar sua reputação. Uma denúncia pública nas redes sociais pode afastar clientes. A perda de um contrato com uma empresa maior que exige conformidade de fornecedores pode doer mais que qualquer multa.

Cada vez mais empresas de médio e grande porte incluem cláusulas de conformidade com a LGPD nos contratos com fornecedores. Se você não está adequado, pode perder oportunidades de negócio antes mesmo de ser fiscalizado pela ANPD.

A LGPD se aplica à minha empresa?

A resposta curta: se sua empresa coleta qualquer tipo de dado pessoal de pessoas no Brasil, sim.

A resposta longa: não importa o porte, o faturamento nem o setor. MEI, microempresa, empresa de pequeno porte, média empresa. Se você pede o nome do cliente para uma reserva no restaurante, coleta o CPF para emitir nota fiscal ou mantém uma lista de contatos no WhatsApp Business, a LGPD se aplica.

Flexibilizações para pequenas e médias empresas

A ANPD reconhece que uma padaria não tem a mesma estrutura que um banco. Por isso, a Resolução nº 2 estabeleceu flexibilizações para agentes de tratamento de pequeno porte:

• Dispensa de nomear DPO (encarregado de dados)
• Prazo em dobro para responder solicitações de titulares (30 dias em vez de 15)
• Registro simplificado de atividades de tratamento
• Procedimentos simplificados para comunicação de incidentes de segurança

Essas flexibilizações aliviam a burocracia. Mas não eliminam as obrigações fundamentais. Você ainda precisa ter base legal, informar os titulares, proteger as informações e atender pedidos. O que muda é que o processo fica mais simples.

Para entender em detalhes o que muda para negócios de menor porte, nosso guia de LGPD para pequenas empresas cobre o tema com profundidade.

Como adequar sua empresa à LGPD: primeiros passos

Entender o que é LGPD é o primeiro passo. Agora vem a pergunta que realmente importa: como se adequar na prática?

A adequação não precisa ser um projeto caro nem demorar meses. Comece por estes seis passos:

1. Mapeie os dados que sua empresa coleta

Identifique quais dados pessoais sua empresa coleta, onde estão armazenados e por que são necessários. Passe por todos os pontos de contato: site, loja física, WhatsApp, redes sociais, sistemas de gestão, planilhas.

A Marina, dona de um pet shop em Porto Alegre, ficou surpresa quando fez esse exercício. Achava que só coletava nome e telefone dos clientes. Estava enganada.

Mapeando tudo, descobriu CPFs no sistema fiscal, fotos dos pets com nomes de donos no Instagram e uma planilha com endereços para banho e tosa em domicílio. Mais de 1.200 registros de dados pessoais espalhados em cinco lugares diferentes.

O DataSafu oferece um mapeamento automatizado de dados que faz em minutos o que levaria horas com planilhas.

2. Defina as bases legais para cada tratamento

Para cada dado que você mapeou, identifique qual base legal justifica o tratamento. Lembre: consentimento não é a única opção e, em muitos casos, nem é a melhor.

3. Crie sua Política de Privacidade

Toda empresa precisa de uma Política de Privacidade. Clara, acessível e em linguagem simples. Ela deve explicar quais dados você coleta, por que coleta, como armazena e com quem compartilha. No DataSafu, você gera a sua Política de Privacidade a partir de templates por setor, publica em uma página pública com link próprio e baixa o documento em PDF ou DOCX quando precisar entregar.

4. Implemente medidas básicas de segurança

Para pequenas empresas, segurança proporcional ao porte significa: senhas fortes e únicas, backup regular dos dados, antivírus atualizado, controle de quem acessa o quê, e um mínimo de cuidado com compartilhamento de informações.

5. Prepare um canal para pedidos de titulares

Seus clientes precisam ter uma forma clara de exercer seus direitos. No início, pode ser um e-mail dedicado ([email protected]). O importante é ter um canal, responder no prazo e documentar tudo. Conforme os pedidos crescem, o Canal do Titular do DataSafu organiza tudo em uma página pública protegida contra spam, onde cada solicitação vira um protocolo que o cliente acompanha, com prazos controlados e modelos de resposta prontos.

6. Treine sua equipe

Uma conversa de 30 minutos sobre o que são dados pessoais, como responder pedidos de titulares e boas práticas básicas de segurança já coloca sua equipe à frente de 77% das PMEs brasileiras.

Para um passo a passo detalhado, consulte nosso guia completo de adequação à LGPD.

Dica: Não tente fazer tudo de uma vez. Comece pelo mapeamento de dados (passo 1) e avance um passo por semana. Em pouco mais de um mês, sua empresa terá uma base sólida de adequação.

Perguntas frequentes sobre LGPD

O que é LGPD em uma frase?

A LGPD (Lei Geral de Proteção de Dados) é a lei brasileira que regulamenta como empresas e organizações coletam, armazenam, usam e compartilham dados pessoais, dando aos cidadãos controle sobre suas informações e impondo obrigações a quem as trata.

A LGPD vale para pequenas empresas?

Sim. A LGPD se aplica a qualquer empresa que trate dados pessoais, independente do porte ou faturamento. A ANPD já multou uma microempresa em R$14.400. Porém, existem flexibilizações para empresas de pequeno porte, como dispensa de DPO e prazos estendidos.

Quando a LGPD entrou em vigor?

A LGPD foi publicada em 14 de agosto de 2018 (Lei nº 13.709/2018) e entrou em vigor em 18 de setembro de 2020. As sanções administrativas passaram a valer em agosto de 2021.

Qual a diferença entre LGPD e GDPR?

Ambas são leis de proteção de dados pessoais. A GDPR é a lei europeia (em vigor desde 2018), e a LGPD é a brasileira. A LGPD se inspirou na GDPR, mas tem diferenças: 10 bases legais em vez de seis, flexibilizações específicas para pequenas empresas, e uma estrutura de fiscalização própria via ANPD.

Preciso de consentimento para tudo?

Não. Consentimento é apenas uma das 10 bases legais da LGPD. Para muitas operações do dia a dia (cumprir contratos, obedecer obrigações legais, legítimo interesse), existem bases mais adequadas. Consentimento é indicado para comunicações opcionais, como newsletter e marketing.

Minha empresa pode ser multada pela LGPD?

Sim. As multas podem chegar a 2% do faturamento, com limite de R$50 milhões por infração. Além da multa, a ANPD pode bloquear seus dados, obrigar a exclusão de registros e divulgar publicamente a infração. A fiscalização está ativa e se intensifica a cada ano.

Conclusão

A LGPD não é mais uma lei "para o futuro". Ela está em vigor, está sendo fiscalizada e afeta empresas de todos os portes.

Recapitulando o que vimos neste guia:

• O que é: a lei que regulamenta o tratamento de dados pessoais no Brasil
• Para que serve: proteger cidadãos, criar regras para empresas e estabelecer consequências para quem descumpre
• Quem precisa se adequar: toda empresa que coleta dados pessoais, de qualquer porte
• Consequências: multas de até 2% do faturamento, bloqueio de dados e dano reputacional
• Flexibilizações: pequenas empresas contam com prazos maiores, dispensa de DPO e processos simplificados

A boa notícia: adequação à LGPD não precisa ser cara nem complicada. Você não deveria precisar de uma consultoria de R$20 a R$50 mil para colocar a proteção de dados da sua empresa em ordem, e com o DataSafu, você não vai mais: por uma fração desse custo, sua empresa sai do zero para uma base sólida de conformidade em poucas semanas.

O DataSafu foi criado para tornar esse caminho simples. Mapeamento de dados automatizado, templates de documentos por setor, Canal do Titular para gerenciar solicitações e checklist de conformidade que mostra exatamente o que falta. Tudo pensado para pequenas empresas que precisam de resultado sem complexidade.

Faça o diagnóstico da sua empresa e descubra em minutos onde você está na jornada de conformidade com a LGPD.