Neste artigo: Como este tema funciona no porte da sua empresa O que é LGPD e por que existe Quem está sujeito à LGPD Conceitos principais (sem jargão) Obrigações de uma PME Erros comuns de PME (e como evitar) Multa e supervisão (o que realmente importa) Sinais de que sua empresa não está conforme LGPD Caminhos para começar a estar conforme LGPD Sua empresa consegue responder em 30 dias se cliente pedir seus dados? Perguntas frequentes Minha PME é obrigada a cumprir LGPD? Qual é a multa de não cumprir LGPD? Preciso de DPO? Preciso de advogado? Por quanto tempo devo guardar dados de cliente? LGPD vale para dados de cliente ou também funcionário? Se meu servidor não é criptografado e vaza, o que acontece? Fontes e referências

oHub Base PME Tecnologia e Dados › Segurança e LGPD Prática

O que é a LGPD na prática para o dono de PME

A LGPD aplicada à realidade da PME, sem virar projeto de compliance gigante.

Atualizado em: 08 de maio de 2026

Este conteúdo foi gerado por IA e pode conter erros. |

Como este tema funciona no porte da sua empresa

Solo / Microempresa (até 9 pessoas)

Você coleta email/CPF de cliente (contato, venda). Obrigações mínimas: aviso de privacidade simples, não compartilhar sem consentimento, responder em 15 dias se cliente pedir dados. Não precisa DPO. Custo: 0-2k/ano.

Pequena empresa (10–49 pessoas)

Volume maior de dados. Precisa ter política de privacidade documentada, registrar por quanto tempo guarda cada dado, documentar base legal ("por que tenho seu CPF?"). Não precisa DPO. Custo: 5-15k/ano.

Média empresa (50–200 pessoas)

LGPD estruturada como processo. DPO designado, RIPD (Relatório de Impacto), auditoria anual. Base legal clara, fluxo de resposta a vazamento. Custo: 20-50k/ano.

LGPD (Lei 13.709/18) é lei de proteção de dados. Qualquer empresa que coleta dado pessoal (nome, email, CPF, telefone, foto, localização) está sujeita. Não é "para grande empresa"; é para você. Mas obrigações são proporcionais ao porte. PME não precisa de estrutura gigante — precisa de básico feito certo.

O que é LGPD e por que existe

LGPD é Lei 13.709/18 (Brasil). Entrou em vigor 2020. Inspirada em GDPR europeia. Por quê? Privacidade é direito fundamental. Empresa coleta seu dado; você merece saber por quê, por quanto tempo, e poder exigir exclusão.^[1]

Não é castigo. É regra do jogo. Como você não pode cobrar cliente sem nota fiscal, também não pode coletar dado sem consentimento/base legal.

Quem está sujeito à LGPD

Qualquer pessoa ou empresa que trata dado pessoal. Inclui:

Solo: coleta email de cliente para newsletter. Sujeito à LGPD.

PME: trata CPF de cliente para duplicata. Sujeito.

RH: coleta dado de funcionário (CPF, endereço, data de nasc). Sujeito.

Mito: "Sou pequeno, não é obrigatório." Falso. Lei diz "qualquer empresa", não "grandes empresas".

Realidade: Obrigações são proporcionais. Solo não precisa de DPO nem auditoria anual; precisa só de aviso de privacidade + não compartilhar sem permissão.

Conceitos principais (sem jargão)

Dado Pessoal: Tudo que identifica você. Nome, CPF, email, IP, foto, biometria, localização, histórico de compra. Seu contador sabe seu CPF; está sujeito à LGPD.

Dado Sensível: Tipo especial que muda a pena. Raça, religião, orientação sexual, saúde, dados de criança (<13 anos). Viola = multa maior.

Consentimento: Base legal mais comum. Você coleta email de cliente para newsletter; cliente clica em "sim, quero receber emails". Isso é consentimento. Registre (email de confirmação, tela com check).

Outras bases legais: Contato (cliente tem contrato; precisa de email para fatura). Obrigação legal (Lei exige CPF para emissão de recibo). Direito legal (CTPS exige data de nascimento).

Direitos do Titular (do cliente):
- Acessar (cópia de tudo que você tem)
- Corrigir (tirar informação errada)
- Deletar (direito ao esquecimento)
- Oposição (deixar de processar)
- Portabilidade (exportar em formato aberto)

Se cliente pede "me dê meus dados", você tem 15 dias para responder.^[2]

Obrigações de uma PME

1. Política de privacidade: Documento que diz: "Coletamos seu email para newsletter. Guardamos por 1 ano. Você pode se descadastrar." Publique em site ou contrato. Solo pode fazer em 1 página.

2. Segurança de dados: Backup criptografado, senhas fortes, acesso controlado (quem vê CPF?). Não precisa de tecnologia cara; precisa de básico feito certo.

3. Responder a solicitações: Cliente pede dados. Você tem 15 dias para compilar e entregar. Se nunca preparou, demora demais e viola lei.

4. Responder a vazamento: Se dado vaza, ANPD (autoridade) exige notificação em certo prazo. Cliente afetado deve ser informado. Documentar resposta.

5. Documentar: Manter registro: "Por que temos CPF de fulano? Até quando guardamos? Qual é base legal?" Não precisa de sistema caro; planilha funciona.

Erros comuns de PME (e como evitar)

Erro 1: Achar que é só para Google/Facebook. LGPD é para você. Se coleta email, está sujeito.

Erro 2: Coletar sem consentimento. Comprou lista de email de terceiro; manda newsletter sem aviso. Violação. Solução: aviso claro ("vamos enviar email sobre produtos") e opt-in (check "quero receber").

Erro 3: Guardar dado "para sempre". Você coleta CPF para venda; guarda 10 anos. LGPD exige proporcionalidade (guarde por tempo necessário, depois delete). Para venda: 5 anos (prescrição). Para newsletter: 1 ano.

Erro 4: Não responder a pedido de cliente. Cliente pede "me dê meus dados". Você ignora. Violação. Solução: sistema simples para compilar (CRM + email + extrato do banco = pasta de cliente).

Erro 5: Não ter backup. Servidor explode; clientes perdem dados. Resultado: ANPD notificada. Solução: backup simples em nuvem criptografada (Google Drive com senha).

Multa e supervisão (o que realmente importa)

Multa: Até 50 milhões de reais OU 2% da receita (o que for maior). Parece absurdo, mas é máximo; maioria das PMEs recebe multa pequena (1-10k) por primeira violação. ANPD não quer destruir PME; quer compliance.

Supervisão: ANPD (Autoridade Nacional de Proteção de Dados) é órgão que regulamenta. Pode investigar se receber denúncia. Risco real para PME: cliente vazou seu email em fórum, disse "empresa X me coleta sem consentimento". ANPD abre investigação.

Seguro: Existe seguro de "responsabilidade civil de LGPD". Cobre multa + defesa legal. Custa 1-2k/ano. Recomendado para PME que coleta muitos dados.

Sinais de que sua empresa não está conforme LGPD

Se você se reconhece em 3+ destes sinais, ação urgente:

Empresa coleta dados de cliente/funcionário sem documentar por quê
Se cliente pedir "me dê meus dados hoje", levaria > 30 dias para compilar
Marketing manda email para lista que nunca consentiu (opt-in não documentado)
Não há aviso de privacidade no site/contrato
Servidor/NAS com dados de cliente não é criptografado
Empresa não sabe se notificaria ANPD em caso de vazamento
Não há documentação de "por quanto tempo guardamos cada dado"

Caminhos para começar a estar conforme LGPD

Você pode fazer simples (interno, hoje) ou com apoio:

Implementação interna (solo/pequena)

Você monta política de privacidade (1-2 páginas), publica em site, setup de consentimento em contrato novo, backup criptografado, planilha de "quanto tempo guardamos cada dado".

Ação: Este mês: (1) crie política simples; (2) adicione checkbox em site; (3) criptografe backup.
Tempo: 4-6h total.
Ganho: Compliance básico, risco reduzido, cliente vê transparência.

Com apoio especializado

Consultoria LGPD (ou DPO externo) faz avaliação, recomenda, implanta políticas, treina time. Cobre lado operacional (técnico) e jurídico se necessário.

Tipo de fornecedor: Consultoria LGPD, DPO externo, consultoria de cibersegurança, advogado especializado.
Vantagem: Estrutura profissional, cobertura legal, responsabilidade documentada.
Faz sentido quando: Você coleta muitos dados, operação é complexa, quer seguro de responsabilidade.

Sua empresa consegue responder em 30 dias se cliente pedir seus dados?

LGPD não é opcional. Na oHub, você se conecta com consultores LGPD, DPOs externos e especialistas em privacidade que ajudam PMEs a estar conformes sem complicação. Sem custo inicial, sem compromisso.

Encontrar fornecedores de PME no oHub

Sem custo, sem compromisso. Você recebe propostas e decide se e com quem avançar.

Perguntas frequentes

Minha PME é obrigada a cumprir LGPD?

Sim, se coleta qualquer dado pessoal (email, CPF, telefone, foto). Lei diz "qualquer empresa", não "grandes empresas". Obrigações são proporcionais ao porte.

Qual é a multa de não cumprir LGPD?

Até 50 milhões de reais OU 2% da receita (máximo). Realidade: PME primeira violação costuma receber 1-10k. ANPD não quer destruir PME; quer compliance.

Preciso de DPO? Preciso de advogado?

Não obrigatoriamente. Solo/pequena: DPO não é mandatório (regra é "se processa em grande escala" — vago; consultoria pontual funciona). Advogado ajuda se tiver dúvida legal.

Por quanto tempo devo guardar dados de cliente?

Depende da base legal. Contrato/venda: 5 anos (prescrição). Newsletter: 1 ano (sem usar, delete). Funcionário: durante contrato + 2 anos pós (trabalhista). Documentar sempre.

LGPD vale para dados de cliente ou também funcionário?

Ambos. CPF de cliente, email de cliente, CPF de funcionário, endereço de funcionário — tudo é dado pessoal. LGPD cobre todos.

Se meu servidor não é criptografado e vaza, o que acontece?

Você notifica ANPD em certo prazo (quanto antes, melhor). Clientes afetados devem ser informados. Documentar resposta. Multa depende de gravidade. Prevenção (criptografia básica) custa 0-500 reais; resposta a vazamento custa muito mais.

Fontes e referências

LGPD (Lei 13.709/18). Planalto. https://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm
ANPD. Guias e Orientações. 2024. https://www.gov.br/anpd/pt-br