O Que É a LGPD e Por Que Sua Empresa Não Pode Mais Ignorá-la?
A Lei Geral de Proteção de Dados (Lei 13.709/2018) é a legislação brasileira que regulamenta o tratamento de dados pessoais por empresas públicas e privadas. Seis anos após sua entrada em vigor, a LGPD deixou de ser uma novidade e passou a ser uma realidade com consequências reais. Em 2025, a ANPD (Autoridade Nacional de Proteção de Dados) aplicou multas que somaram mais de R$ 15 milhões a empresas de diversos portes, incluindo PMEs. Em 2026, a fiscalização se intensificou com a publicação de regulamentos específicos para inteligência artificial, marketing digital e transferência internacional de dados. Adequar-se à LGPD não é mais opcional — é uma questão de sobrevivência empresarial e credibilidade no mercado.
Quais Dados Pessoais Sua Empresa Trata Sem Perceber?
A maioria dos empresários subestima a quantidade de dados pessoais que sua empresa coleta e processa diariamente. Dado pessoal é qualquer informação que possa identificar uma pessoa: nome, CPF, e-mail, telefone, endereço, IP, cookies de navegação, localização GPS, dados biométricos e até preferências de compra. Se sua empresa tem clientes, fornecedores, funcionários ou visitantes no site, você trata dados pessoais. Uma loja virtual, por exemplo, coleta nome, endereço, CPF, dados de pagamento, histórico de navegação, preferências de produtos e IP de acesso — são dezenas de dados pessoais em uma única transação.
O primeiro passo para a adequação é o mapeamento de dados: identificar quais dados pessoais sua empresa coleta, onde estão armazenados, quem tem acesso, por quanto tempo são mantidos e com quem são compartilhados. Muitas empresas descobrem nesse processo que compartilham dados com dezenas de fornecedores (processadores de pagamento, ferramentas de marketing, contabilidade, logística) sem nenhum contrato de proteção de dados. Esse mapeamento não precisa ser complexo — uma planilha detalhada já é um bom começo. Mas precisa ser honesto e abrangente, cobrindo todos os setores e processos que lidam com informações de pessoas físicas.
Quais São as Bases Legais para Tratar Dados Pessoais?
A LGPD define dez bases legais que autorizam o tratamento de dados pessoais. As mais relevantes para empresas são: o consentimento do titular (quando o cliente autoriza expressamente o uso dos dados), a execução de contrato (dados necessários para prestar o serviço contratado), o legítimo interesse do controlador (quando há uma expectativa razoável do titular, como marketing para clientes existentes), a obrigação legal (como reter dados fiscais por 5 anos) e a proteção de crédito (consultas de inadimplência). Cada finalidade de tratamento de dados deve estar amparada por pelo menos uma base legal documentada.
O erro mais comum é usar o consentimento como base legal para tudo. O consentimento é frágil: pode ser revogado a qualquer momento e exige gestão cuidadosa (registrar quando foi dado, para qual finalidade, como revogá-lo). Para muitos tratamentos, bases legais como execução de contrato e legítimo interesse são mais adequadas e estáveis. Por exemplo, enviar um e-mail de confirmação de compra não requer consentimento — está amparado pela execução do contrato. Já enviar promoções de novos produtos exige consentimento ou legítimo interesse com avaliação documentada. Definir corretamente a base legal para cada tratamento é uma das tarefas mais importantes da adequação e frequentemente requer orientação especializada.
O Que É o DPO e Toda Empresa Precisa de Um?
O DPO (Data Protection Officer), chamado de "encarregado" na LGPD, é a pessoa responsável por garantir que a empresa cumpra a legislação de proteção de dados. Suas funções incluem receber solicitações dos titulares de dados (como pedidos de exclusão ou acesso), interagir com a ANPD, orientar os funcionários sobre práticas de proteção de dados e monitorar a conformidade. A LGPD determina que toda empresa que trata dados pessoais deve indicar um encarregado, com nome e contato publicados no site. Em 2025, a ANPD regulamentou exceções para microempresas e empresas de pequeno porte, que podem designar um encarregado simplificado.
O DPO não precisa ser necessariamente um funcionário dedicado — pode ser acumulado por alguém do jurídico, compliance ou TI, desde que tenha conhecimento adequado. Também pode ser terceirizado, o que é a opção mais viável para PMEs. O chamado "DPO as a Service" custa entre R$ 800 e R$ 3.000 por mês e inclui o atendimento a solicitações dos titulares, a orientação em caso de incidentes de segurança, a atualização das políticas e o acompanhamento das regulamentações da ANPD. O investimento se justifica: além da obrigação legal, ter um DPO transmite confiança ao mercado e pode ser um diferencial competitivo em licitações e parcerias comerciais.
Quais São as Multas e Sanções da LGPD em 2026?
As sanções previstas na LGPD vão desde advertências até multa de 2% do faturamento da empresa no último exercício, limitada a R$ 50 milhões por infração. Em 2026, a ANPD já aplicou sanções em todas as categorias: advertências, multas simples, multas diárias, bloqueio dos dados pessoais e até eliminação dos dados. As multas mais comuns são por falta de base legal para o tratamento, ausência de política de privacidade, não atendimento a solicitações dos titulares dentro do prazo legal (15 dias) e incidentes de segurança não comunicados. A ANPD publica todas as sanções em seu site, o que gera um dano reputacional adicional significativo.
Além das multas da ANPD, empresas não adequadas enfrentam riscos judiciais crescentes. Ações individuais e coletivas por violação à LGPD se multiplicaram nos tribunais brasileiros, com indenizações que variam de R$ 5.000 a R$ 100.000 por titular afetado. O Ministério Público e os Procons também atuam fiscalizando empresas, especialmente em casos de vazamento de dados e marketing não autorizado. O custo total de não estar adequado — somando multas, ações judiciais, perda de contratos e dano à reputação — é invariavelmente maior que o investimento necessário para implementar a conformidade. Para a grande maioria das PMEs, o custo de adequação fica entre R$ 5.000 e R$ 30.000, um valor incomparavelmente menor que o risco.
Como Adequar Cookies e Consentimento no Seu Site?
Os cookies de rastreamento e analytics do seu site são dados pessoais segundo a LGPD, e seu uso requer consentimento explícito do visitante. O banner de cookies ("Aceitar todos" e "Gerenciar preferências") que você vê na maioria dos sites é a resposta prática a essa exigência. Um banner de cookies adequado deve: aparecer na primeira visita, antes de qualquer cookie ser instalado; permitir aceitar ou recusar cada categoria (necessários, analytics, marketing, personalização); registrar a escolha do visitante como prova de consentimento; e oferecer a opção de alterar preferências a qualquer momento.
A maioria das plataformas de site (WordPress, Shopify, Odoo) oferece módulos de cookie consent que podem ser configurados sem código. No Odoo, por exemplo, o módulo de website já inclui funcionalidade nativa de gerenciamento de cookies. Para sites custom, existem ferramentas especializadas como Cookiebot e OneTrust que fornecem banners prontos e compatíveis com a LGPD. O ponto crítico é que o banner não pode ser um teatro: os cookies de marketing e analytics devem realmente ser bloqueados até o visitante consentir. Sites que carregam Google Analytics, Facebook Pixel e outros rastreadores antes do consentimento violam a LGPD, mesmo tendo um banner bonito. Audite periodicamente seu site para garantir que os cookies são carregados apenas após o consentimento válido.
Como Criar uma Política de Privacidade Adequada?
A política de privacidade é o documento público onde sua empresa informa quais dados pessoais coleta, como os utiliza, com quem compartilha, por quanto tempo armazena e quais direitos o titular tem. A LGPD exige que essa política seja clara, acessível e completa. Uma boa política de privacidade deve conter: identificação do controlador (sua empresa) e do DPO, categorias de dados coletados, finalidades de cada tratamento, bases legais utilizadas, terceiros com quem os dados são compartilhados, prazos de retenção, medidas de segurança adotadas, direitos do titular e como exercê-los, e canal de contato para solicitações.
Evite políticas genéricas copiadas da internet — a ANPD já autuou empresas por terem políticas que não refletem a realidade do tratamento de dados. A política deve ser específica para o seu negócio e atualizada sempre que houver mudança nos processos. Publique-a em local de fácil acesso no site (geralmente no rodapé) e nos aplicativos. Se sua empresa atua em setores regulados (saúde, financeiro, educação), a política deve incluir informações adicionais específicas do setor. Uma política bem elaborada não apenas cumpre a lei — ela demonstra transparência e responsabilidade que os consumidores valorizam cada vez mais na escolha de com quem fazer negócio.
Quais São os Direitos dos Titulares de Dados?
A LGPD garante aos titulares de dados pessoais uma série de direitos que sua empresa deve estar preparada para atender. Os principais são: confirmação de tratamento (saber se a empresa tem seus dados), acesso aos dados (receber cópia de todos os dados armazenados), correção de dados incompletos ou desatualizados, anonimização ou bloqueio de dados excessivos, portabilidade para outro fornecedor, eliminação dos dados tratados com base no consentimento, informação sobre compartilhamento com terceiros e revogação do consentimento. Todos esses direitos devem ser atendidos em até 15 dias após a solicitação.
Para atender esses direitos de forma eficiente, sua empresa precisa de um processo estruturado: um canal dedicado para receber solicitações (e-mail, formulário no site ou telefone), um fluxo interno para identificar, localizar e extrair os dados solicitados de todos os sistemas, um responsável por validar a identidade do solicitante e coordenar a resposta, e um registro de todas as solicitações e respostas. Empresas que usam um ERP centralizado como o Odoo têm vantagem nesse processo, pois os dados dos clientes estão consolidados em um único sistema, facilitando a localização e extração. Ferramentas de automação podem gerar relatórios de dados pessoais automaticamente, reduzindo o tempo de resposta de dias para horas.
Como Fazer o Mapeamento de Dados da Sua Empresa?
O mapeamento de dados (ou inventário de dados) é a base de toda adequação à LGPD. Sem saber exatamente quais dados você tem e onde estão, é impossível protegê-los adequadamente. O processo consiste em entrevistar cada setor da empresa e documentar: quais dados pessoais são coletados, de quem (clientes, funcionários, fornecedores), com qual finalidade, onde são armazenados (sistemas, planilhas, arquivos físicos), quem tem acesso, por quanto tempo são mantidos, com quem são compartilhados e qual a base legal para o tratamento. O resultado é uma planilha ou sistema que mapeia todo o ciclo de vida dos dados pessoais na empresa.
Comece pelos setores que mais lidam com dados pessoais: RH (dados de funcionários), comercial (dados de clientes e leads), marketing (listas de e-mail, cookies, redes sociais), financeiro (dados bancários, notas fiscais) e TI (logs de acesso, backups). Para cada fluxo de dados identificado, avalie se o volume e o tipo de dados coletados são realmente necessários para a finalidade (princípio da minimização). Muitas empresas descobrem no mapeamento que coletam dados que nunca usam — um risco desnecessário que deve ser eliminado. O mapeamento não é um exercício único: deve ser revisado anualmente ou sempre que houver mudança significativa nos processos, sistemas ou parcerias da empresa.
Plano Prático de Adequação: Checklist para PMEs
A adequação à LGPD para uma PME pode ser organizada em quatro fases. Fase 1 — Diagnóstico (2 a 4 semanas): faça o mapeamento de dados, identifique as bases legais de cada tratamento, avalie os contratos com fornecedores que acessam dados pessoais e analise a maturidade das medidas de segurança da informação. Fase 2 — Documentação (2 a 4 semanas): elabore ou revise a política de privacidade, o aviso de cookies, os termos de uso, os contratos de tratamento de dados com fornecedores e o registro de operações de tratamento. Designe formalmente o DPO e publique seus dados de contato.
Fase 3 — Implementação técnica (4 a 8 semanas): configure o banner de cookies no site, implemente mecanismos de opt-in e opt-out nas comunicações de marketing, estabeleça o processo de atendimento a solicitações dos titulares, revise as permissões de acesso aos sistemas e implemente medidas de segurança (criptografia, backup, controle de acesso). Fase 4 — Governança contínua (permanente): treine os funcionários sobre proteção de dados, monitore incidentes de segurança, revise periodicamente o mapeamento de dados, acompanhe novas regulamentações da ANPD e mantenha um registro de todas as atividades de conformidade. A Novitatus Tecnologia pode auxiliar empresas nesse processo, especialmente nas fases de implementação técnica e integração com sistemas como o Odoo.
Perguntas Frequentes (FAQ)
- Minha empresa é pequena — a LGPD se aplica a mim?
- Sim. A LGPD se aplica a qualquer empresa que trate dados pessoais, independentemente do porte. Microempresas e EPPs têm procedimentos simplificados (regulamento da ANPD de 2022), mas não estão isentas. A simplificação se aplica a prazos, formato do registro de tratamento e indicação de DPO.
- O que acontece se minha empresa sofrer um vazamento de dados?
- Você deve comunicar a ANPD e os titulares afetados em prazo razoável (a ANPD recomenda até 2 dias úteis para comunicação inicial). A comunicação deve descrever os dados afetados, riscos, medidas adotadas e orientações aos titulares. Não comunicar pode agravar significativamente as sanções.
- Posso enviar e-mails marketing para minha base de clientes?
- Depende da base legal. Para clientes atuais, o legítimo interesse pode ser usado se os produtos são semelhantes aos já adquiridos e há opção fácil de opt-out. Para leads que nunca compraram, o consentimento explícito é geralmente necessário. Em todos os casos, o opt-out deve ser respeitado imediatamente.
- Quanto custa adequar uma PME à LGPD?
- O custo varia de R$ 5.000 a R$ 30.000 para o projeto de adequação (dependendo da complexidade), mais R$ 800 a R$ 3.000 mensais para manutenção com DPO terceirizado. Empresas menores e com processos simples ficam na faixa inferior; empresas com múltiplos canais digitais e grande volume de dados ficam na faixa superior.
- A LGPD se aplica a dados de empresas (CNPJ)?
- Não diretamente. A LGPD protege dados de pessoas físicas (CPF). Porém, dados de contato de funcionários de empresas (nome do gerente, e-mail corporativo, telefone direto) são dados pessoais e estão protegidos. Dados puramente empresariais (CNPJ, razão social, endereço comercial) não são alcançados pela LGPD.