Como este tema funciona no porte da sua empresa
Qualquer solo que coleta nome + email + telefone de cliente está tratando dado pessoal sob LGPD. Lei não exime ninguém. Custo de conformidade é mínimo (política de privacidade + consentimento escrito), mas ignorar traz risco de multa e reputação.
PME pequena pode ter CRM, WhatsApp com lista de clientes, planilha de fornecedores — todos já contêm dado pessoal sob LGPD. Mapeamento simples e política básica bastam, mas comunicação ao titular em caso de vazamento é obrigatória.
Maior escala de dados reforça obrigação. Possivelmente tem dados sensíveis (saúde, localização). RIPD formal começa a fazer sentido, assim como nomeação de DPO (Data Protection Officer).
A LGPD (Lei Geral de Proteção de Dados, Lei 13.709/18) é legislação brasileira que rege como você coleta, processa, armazena e compartilha dados pessoais de pessoas. Aplicação é universal — sem exceção por porte ou faturamento. Violação gera multa até R$ 50M ou 2% do faturamento anual (o que for maior).
O que é dado pessoal (segundo LGPD)
Dado pessoal é qualquer informação que identifica ou torna identificável pessoa natural.
Exemplos de dado pessoal comum:
- Nome, CPF, RG, CNH
- Email, telefone, endereço
- Data de nascimento
- Histórico de compra, preferência de consumo
- Localização geográfica (GPS, endereço IP)
- Foto, vídeo, impressão digital
- Perfil de comportamento online (clicks, tempo na página)
Dados sensíveis (proteção extra): origem racial/étnica, convicção religiosa, opinião política, filiação sindical, saúde, orientação sexual. Proteção é MUITO mais rigorosa para esses.
Qualquer informação que deixa pessoa identificável é dado pessoal. Até IP de computador conta.
O que significa "tratamento de dados"
Tratamento é qualquer ação sobre dado pessoal:
- Coleta: você pergunta nome/email em formulário.
- Processamento: você organiza dados em CRM, planilha, banco de dados.
- Armazenamento: você guarda dados no seu servidor, nuvem, ou computador.
- Compartilhamento: você envia dados a fornecedor, parceiro, agência de marketing.
- Deleção: você apaga dados (direito do titular).
Se você faz QUALQUER uma dessas ações, está tratando dado pessoal. LGPD se aplica.
Por que PME não é exceção: aplicação é universal
Mito comum: "LGPD é só para empresa grande / para quem tem muitos dados / para quem é obrigado por lei".
Verdade: LGPD se aplica a TODAS as empresas, sem limite de tamanho, sem limite de faturamento, sem exceção por porte.
Você é solo, MEI, pequena empresa, média — não importa. Se coleta dado pessoal, está sujeito a LGPD.
Consequência: se viola, é multado igual. Multa pode ser menor em PME (ANPD considera tamanho), mas é multa.
Quem fiscaliza: ANPD (Autoridade Nacional de Proteção de Dados)
ANPD é órgão do governo criado em 2019 para enforçar LGPD. Recebe reclamações, abre investigações, aplica sanções.
Como ANPD descobre violação:
1. Reclamação de pessoa: cliente seu reclamou que você coleta sem consentimento, compartilha indevidamente, ou perdeu dados dele. Ele notifica ANPD.
2. Vazamento noticiado: dados vazam, imprensa cobre, ANPD vê notícia e abre investigação.
3. Denúncia de concorrente ou terceiro: alguém denuncia sua falta de conformidade. ANPD investiga.
4. Investigação interna de ANPD: raro, mas ANPD pode iniciar investigação propositalmente.
Processo leva meses a anos. Mas você tem direito de se defender. Se está em conformidade, é seguro.
Compliance mínimo para ficar em conformidade
O que você PRECISA fazer para estar compliant:
1. Política de privacidade escrita e publicada. Explique: que dados você coleta, como trata, com quem compartilha, por quanto tempo guarda, direitos do titular (acessar, corrigir, deletar). Coloque no site ou envie via email. Não é opcional.
2. Consentimento claro do titular. Quando coleta dado, peça autorização explícita. "Você concorda que guardemos seu email?" com botão "Aceito". Não é "aceitar ao usar" — é consentimento específico para proteção de dados.
3. Mapeamento básico de dados. Documento simples: "Coletamos nome, email, história de compra. Guardamos em servidor X. Compartilhamos com agência de marketing Y. Guardamos por 2 anos." Não é complexo — é transparência.
4. Comunicação ao titular em caso de vazamento. Se seus dados vazam, você PRECISA avisar a pessoa e ANPD (em caso de risco alto). Prazo: logo que descobrir.
5. Documentação de base legal. Por que você trata o dado? Consentimento dele? Necessidade contratual? Obrigação legal? Tenha justificativa documentada.
Custo: zero a R$ 1.000 (se contratar alguém para escrever política). Benefício: proteção legal + reputação + confiança do cliente.
LGPD vs Marco Civil da Internet: qual é a diferença?
Marco Civil (Lei 12.965/14) é lei anterior que trata de liberdade de expressão online, direito ao esquecimento, responsabilidade de provedores. Mais ampla, menos focada em proteção de dados.
LGPD (Lei 13.709/18) é específica em proteção de dados. Mais rigorosa, com multas maiores.
Relação: ambas se aplicam. Marco Civil é contexto geral (internet brasileira); LGPD é proteção específica (dados pessoais). LGPD é mais rigorosa e prevalece em conflito.
Erros comuns que PME comete
Erro 1: "Se sou pequenininha, não preciso cumprir". Falso. Aplicação é universal. Tamanho não importa.
Erro 2: "Só preciso de LGPD se coleto dado sensível". Falso. Dados comuns (email, telefone) também obrigam conformidade. Sensível é AINDA MÁS rigoroso.
Erro 3: "Se tenho consentimento, posso fazer qualquer coisa". Falso. Há bases legais específicas (consentimento, contrato, obrigação legal, etc.). Nem todo uso precisa de consentimento, mas precisa de BASE LEGAL.
Erro 4: "Nunca tive vazamento, então LGPD não importa". Falso. LGPD também protege dever de cuidado (política, consentimento claro) — não é só quando vaza.
Erro 5: "Contador vai cuidar de LGPD". Contador cuida de imposto. LGPD é responsabilidade do dono. Contador pode ajudar, mas você é responsável legalmente.
Sinais de que sua PME precisa começar com LGPD agora
Se você se reconhece em três ou mais cenários, é hora de agir:
- Você coleta nome e email de cliente mas não tem política de privacidade escrita
- Coleta dados sem pedir consentimento expresso (só menção em termo geral)
- Compartilha dados com fornecedor (agência, plataforma) sem contrato formal
- Nunca mapeou que dados coleta e onde guarda
- Recebeu reclamação de cliente sobre privacidade e ignorou
- Teve vazamento de dados e não sabe se deve avisar cliente ou ANPD
Caminhos para começar a estar em conformidade com LGPD
Não espere ANPD notificar. Comece agora.
Você escreve política de privacidade básica (3–4 páginas), publica no site, treina time sobre consentimento, cria mapeamento simples de dados.
- Perfil necessário: você, 3–4 horas, acesso ao website.
- Tempo estimado: 1–2 semanas.
- Faz sentido quando: operação é simples, dados são poucos, você tem template.
- Risco principal: política incompleta; falta de comunicação ao time; mapeamento impreciso.
Advogado especializado em LGPD ou consultoria de conformidade faz auditoria, escreve política customizada, treina equipe. Custos: R$ 2–5k.
- Tipo de fornecedor: Advogado especializado em LGPD, Consultoria de conformidade, Consultoria de privacidade.
- Vantagem: conformidade completa, documentação robusta, defesa se ANPD investigar.
- Faz sentido quando: dados são sensíveis, você quer segurança total, budget permite.
- Resultado típico: política pronta, mapeamento completo, treinamento em 4 semanas.
Sua PME já tem política de privacidade escrita?
Na oHub, você se conecta com advogados especializados em LGPD que escrevem política de privacidade customizada, fazem mapeamento de dados, e estruturam conformidade completa. Sem risco, sem multa surpresa.
Encontrar fornecedores de PME no oHub
Sem custo, sem compromisso. Você recebe propostas e decide se e com quem avançar.
Perguntas frequentes
A LGPD se aplica ao meu negócio pequeno?
Sim, sem exceção. Aplicação é universal — não importa tamanho, porte ou faturamento. Se coleta dado pessoal, LGPD se aplica.
Qual é a multa por não cumprir LGPD?
Até R$ 50 milhões por infração, OU 2% do faturamento anual no Brasil (o que for maior). PME típica paga R$ 5–500k dependendo de gravidade.
O que eu preciso fazer para estar em conformidade?
Política de privacidade escrita e publicada, consentimento claro na coleta, mapeamento de dados, comunicação em caso de vazamento, documentação de base legal. Custo: zero a R$ 1k.
A LGPD vale para solo e MEI?
Sim, sem exceção. Qualquer pessoa (física ou jurídica) que coleta dado pessoal está sujeita a LGPD.
Quem fiscaliza a LGPD?
ANPD (Autoridade Nacional de Proteção de Dados). Recebe reclamações, abre investigações, aplica sanções. Processo leva meses a anos, mas você tem direito de se defender.