LGPD para PMEs

O que é a LGPD? Guia completo para empresas brasileiras

A Lei Geral de Proteção de Dados (Lei 13.709/18) mudou como empresas tratam dados pessoais no Brasil. Entenda os principais conceitos, obrigações e como começar a adequação.

M
MHSLGPD
10 de fevereiro de 2026 · 5 min de leitura

A Lei Geral de Proteção de Dados (LGPD), Lei nº 13.709/2018, entrou em vigor em setembro de 2020 e mudou para sempre como empresas brasileiras tratam dados pessoais. Inspirada no GDPR europeu, a LGPD se aplica a qualquer organização que processe dados pessoais no território nacional — independente do porte, setor ou se a operação é digital ou física.

Se sua empresa coleta nome, e-mail, CPF, telefone, IP, geolocalização ou qualquer informação que identifique uma pessoa, ela está sujeita à LGPD. E o desconhecimento da lei não isenta de multas — que podem chegar a R$ 50 milhões por infração aplicadas pela ANPD (Autoridade Nacional de Proteção de Dados).

Os princípios fundamentais da LGPD

O Art. 6º da LGPD elenca 10 princípios que regem todo tratamento de dados pessoais. Conhecer esses princípios é o primeiro passo da adequação:

  • Finalidade: tratamento para propósitos legítimos, específicos e informados ao titular;
  • Adequação: compatibilidade entre o tratamento e a finalidade informada;
  • Necessidade: limitação ao mínimo de dados necessários para alcançar a finalidade;
  • Livre acesso: garantia de consulta facilitada pelos titulares;
  • Qualidade dos dados: exatidão, clareza e atualização;
  • Transparência: informações claras sobre o tratamento;
  • Segurança: medidas técnicas e administrativas adequadas;
  • Prevenção: ações para prevenir danos;
  • Não discriminação: impossibilidade de tratamento para fins discriminatórios;
  • Responsabilização e prestação de contas: demonstração da adoção de medidas eficazes.

O que são dados pessoais e dados sensíveis?

A LGPD distingue duas categorias importantes:

Dados pessoais são informações que identificam ou podem identificar uma pessoa natural — nome completo, CPF, e-mail, telefone, endereço, número de cartão, IP, cookies, fotos, geolocalização. Tudo que, sozinho ou combinado, leva a uma pessoa específica.

Dados pessoais sensíveis, definidos no Art. 5º, II, recebem proteção reforçada: origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato, dados de saúde, vida sexual, dados genéticos ou biométricos. Tratá-los exige base legal específica e cuidados extras de segurança.

As 10 bases legais para tratar dados pessoais

Nenhum dado pessoal pode ser tratado sem uma base legal — não basta o consentimento. O Art. 7º da LGPD lista 10 hipóteses:

  1. Consentimento do titular;
  2. Cumprimento de obrigação legal ou regulatória;
  3. Execução de políticas públicas;
  4. Estudos por órgão de pesquisa;
  5. Execução de contrato;
  6. Exercício regular de direitos em processo judicial, administrativo ou arbitral;
  7. Proteção da vida ou da incolumidade física;
  8. Tutela da saúde;
  9. Legítimo interesse;
  10. Proteção do crédito.

Identificar a base legal correta para cada atividade de tratamento é parte do Relatório de Impacto à Proteção de Dados (RIPD) e do inventário de dados.

Os 9 direitos do titular

O Art. 18 garante ao titular o direito de:

  1. Confirmação da existência de tratamento;
  2. Acesso aos dados;
  3. Correção de dados incompletos, inexatos ou desatualizados;
  4. Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade;
  5. Portabilidade;
  6. Eliminação dos dados tratados com consentimento;
  7. Informação sobre com quem o controlador compartilha dados;
  8. Informação sobre a possibilidade de não consentir e suas consequências;
  9. Revogação do consentimento.

A empresa tem até 15 dias para responder a uma solicitação. Veja como estruturar esse atendimento em nosso post sobre o Art. 18.

Quem precisa ter um DPO (Encarregado)?

A LGPD obriga todo controlador de dados a indicar um Encarregado de Proteção de Dados (DPO). Não existe exceção por porte — uma padaria com cadastro de clientes também precisa. A ANPD, via Resolução CD/ANPD nº 2/2022, dispensou microempresas e empresas de pequeno porte da nomeação formal, mas a função das atribuições segue obrigatória.

Saiba mais em Como nomear um DPO.

Multas e penalidades

A ANPD pode aplicar:

  • Advertência;
  • Multa simples de até 2% do faturamento, limitada a R$ 50 milhões por infração;
  • Multa diária;
  • Publicização da infração;
  • Bloqueio ou eliminação dos dados;
  • Suspensão parcial do banco de dados (até 12 meses);
  • Suspensão da atividade de tratamento;
  • Proibição total ou parcial da atividade.

Em 2023-2025 a ANPD já aplicou multas relevantes — incluindo o caso Telekall Infoservice (R$ 14.400 por venda de dados), Serasa Experian (R$ 3,1 milhões) e outros. Cobertura completa em nosso post sobre multas da ANPD.

Por onde começar a adequação?

Recomendamos uma jornada em 6 etapas:

  1. Diagnóstico inicial: mapear todos os fluxos de dados pessoais da empresa;
  2. Inventário de dados (RIPD): consolidar atividades, finalidades, bases legais e prazos;
  3. Adequação de documentos: Política de Privacidade, Termos de Uso, contratos com fornecedores;
  4. Implementação técnica: banner de consentimento, controles de acesso, criptografia, retenção;
  5. Treinamento: capacitação dos times que tratam dados;
  6. Governança contínua: revisões periódicas, atendimento aos titulares, gestão de incidentes.

A LGPD não é um projeto com data de término — é uma jornada contínua de governança. Plataformas como o mhslgpd centralizam essa operação: inventário, RIPD, banner de consentimento, atendimento aos titulares e gestão documental num único lugar.

Conclusão

A LGPD veio para ficar e a ANPD está cada vez mais ativa em fiscalização. Empresas que adiam a adequação não só correm risco financeiro como perdem competitividade — fornecedores e parceiros estão cobrando comprovação de conformidade. Comece hoje: faça o diagnóstico inicial e dê o primeiro passo.

M
MHSLGPD
Equipe de especialistas em LGPD e privacidade de dados, com foco em ajudar empresas brasileiras a se adequarem à legislação de proteção de dados pessoais.

Leia também

Política de Privacidade: o que sua empresa precisa ter para estar conforme LGPD
A Política de Privacidade não é firula jurídica — é o documento que comprova transparência exigida pelo Art. 9º da LGPD. Veja o que incluir e os erros que viram multa.
MHSLGPD · 5 de maio de 2026
RIPD (Relatório de Impacto à Proteção de Dados): quando fazer e como estruturar
O RIPD é o documento-chave da LGPD para operações de alto risco. Veja quando é obrigatório, o que deve conter e como estruturar para passar em auditoria da ANPD.
MHSLGPD · 21 de abril de 2026