Como este tema funciona na sua empresa
Aqui está o grande mito. Muitos MEIs pensam "sou muito pequeno para LGPD". Falso. Se você tem clientes, tem dados pessoais de clientes (nome, telefone, e-mail, CPF, endereço). LGPD aplica. A boa notícia: para pequeno, conformidade pode ser simples (não precisa de time dedicado, precisa de checklist). Não ter estrutura não é desculpa — é risco.
Aplicabilidade é clara — opera com dados pessoais. Precisa estruturar conformidade com mais rigor (DPO, registros, contratos).
Aplicabilidade é óbvia e estrutura de conformidade é esperada.
Mito comum: LGPD é para grandes empresas. Realidade: LGPD se aplica a qualquer organização (pessoa física, MEI, startup, universidade, governo) que processe dados pessoais de residente brasileiro, independentemente de tamanho, setor, ou faturamento. Um consultor autônomo com lista de 10 clientes? LGPD aplica. Uma pequena clínica com banco de dados de pacientes? LGPD aplica. Uma startup de SaaS começando? LGPD aplica desde o primeiro cliente brasileiro. Critério de aplicabilidade não é tamanho — é tipo de dado (dados pessoais?) e localização do titular (residente brasileiro?)[1].
Critérios de aplicabilidade: o que realmente importa
Critério 1 – Tipo de dado: Você processa dados pessoais (nome, email, telefone, CPF, endereço, dados de saúde, dados de localização, IP)? Se sim, LGPD aplica. Dados anonimizados (impossível identificar pessoa) não se aplicam. Critério 2 – Localização do titular: Titular é residente do Brasil? Basta sim — não importa onde você está ou onde servidor está. Você está na Califórnia processando cliente brasileiro? LGPD aplica. Critério 3 – Tipo de processamento: Você coleta, armazena, acessa, compartilha, analisa, ou altera dados? Todos exigem conformidade LGPD. Critério 4 – Finalidade não importa: Negócio com lucro, ONG sem fins lucrativos, governo, pessoa física — todos têm LGPD se processam dados pessoais.
Exceções: quando LGPD NÃO se aplica
Dados completamente anonimizados: Se não é possível identificar pessoa (nem de forma indireta), LGPD não se aplica. Processamento exclusivamente pessoal: Se você coleta dados de amigos para agenda pessoal e não compartilha, pode estar fora. (Complexo — não recomendado confiar nesta exceção.)
Aplicabilidade de operações internacionais
Matriz em Brasil + subsidiária em Portugal: ambas precisam de conformidade LGPD? Só se processam dados de residentes brasileiros. Se Portugal processa apenas dados de clientes europeus, aplica GDPR (não LGPD). Se processa ambos, ambas as regulações se aplicam simultaneamente.
Transferência de dados: se você coleta dados no Brasil e envia para servidor nos EUA, LGPD continua aplicando — dado brasileiro está protegido por LGPD onde quer que vá.
Quando LGPD começa a aplicar
Não é "só quando coleta consentimento". É quando você começa a planejar coletar dados. Assim que decide "vou ter CRM", LGPD começa a aplicar — você precisa entender base legal, consentimento, retenção antes de implementar, não depois.
Sinais de que sua empresa precisa avaliar a aplicabilidade da LGPD
Se você se reconhece em três ou mais cenários abaixo, pode haver uma falsa sensação de que a LGPD não se aplica à sua operação.
- A liderança acredita que a empresa é "pequena demais" para a LGPD se aplicar
- Clientes ou parceiros já perguntaram sobre conformidade com LGPD e a empresa não soube responder
- A empresa coleta nome, email ou CPF de clientes mas nunca analisou se isso configura tratamento de dados pessoais
- Há operação com dados de residentes brasileiros, mas nenhuma avaliação formal de aplicabilidade foi feita
- A empresa transfere dados para servidores fora do Brasil sem saber se a LGPD continua valendo
- Não existe checklist de conformidade mínima nem responsável por avaliar obrigações legais de dados
Checklist simples: (1) Você processa dados pessoais? (2) Titular é residente brasileiro? Se sim a ambos, LGPD aplica. Não há "muito pequeno".
Começar: Checklist de conformidade mínima (finalidade, necessidade, segurança, documentação).
Avaliação de aplicabilidade: Consultoria especializada confirma se LGPD aplica (geralmente aplica).
Roadmap: Especialista mapeia cronograma e prazos realistas.
Perguntas frequentes
A LGPD se aplica a pequenas empresas?
Sim. LGPD se aplica a qualquer organização que processa dados pessoais de residente brasileiro, independentemente de tamanho.
Qual é o tamanho mínimo para LGPD?
Não há. Uma pessoa física com lista de clientes já está sujeita a LGPD se clientes são brasileiros.
MEI/freelancer precisa cumprir LGPD?
Se tem clientes (dados pessoais), sim. Conformidade pode ser simples (não precisa team, precisa checklist).
Se não sou do Brasil, LGPD me obriga?
Se processa dados de residentes brasileiros, sim. Localização da empresa não importa.
LGPD se aplica se coleto dados fora do Brasil?
Se dados são de residentes brasileiros, sim. Onde dados são coletados não importa.
Qual é o critério de aplicabilidade?
Tipo de dado (dados pessoais?) + Localização do titular (residente brasileiro?). Ambos sim = LGPD aplica. Tamanho não importa.