LGPD nas Pequenas Empresas: Obrigações Práticas de Adequação

Micro e pequenas empresas que coletam dados de clientes também estão submetidas à Lei Geral de Proteção de Dados, mas contam com regras simplificadas fixadas pela Autoridade Nacional de Proteção de Dados para se adequarem sem travar a operação.

O que a lei exige de quem coleta dados

A Lei nº 13.709/2018, conhecida como LGPD, alcança qualquer negócio que colete, armazene ou utilize dados de pessoas físicas, do salão de bairro ao comércio eletrônico. O porte da empresa não afasta a incidência da norma, apenas modula a forma de cumpri-la. Nome, telefone, endereço, número de cartão e até imagens captadas por câmeras são considerados dados pessoais e exigem tratamento responsável.

O ponto de partida é identificar uma base legal que autorize o uso da informação. O artigo 7º da LGPD lista hipóteses como o consentimento do titular, a execução de contrato, o cumprimento de obrigação legal e o legítimo interesse. Sem enquadrar cada coleta em uma dessas finalidades, o tratamento torna-se irregular, ainda que o empresário não tenha intenção de causar dano.

Além da base legal, a empresa precisa observar princípios como finalidade, necessidade e transparência. Isso significa coletar apenas o que for indispensável, informar ao cliente para que servem os dados e descartá-los quando deixarem de ser úteis. A acumulação de cadastros antigos, prática comum no varejo, costuma ser o primeiro foco de irregularidade.

Regras simplificadas para empresas de pequeno porte

A Resolução CD/ANPD nº 2, de 27 de janeiro de 2022, criou um regime diferenciado para os chamados agentes de tratamento de pequeno porte, categoria que abrange microempresas, empresas de pequeno porte, startups, pessoas jurídicas de direito privado sem fins lucrativos e empreendedores individuais. O objetivo foi adaptar as exigências à realidade de quem não dispõe de estrutura jurídica e de tecnologia robusta.

Entre as flexibilizações, a norma dispensa esses agentes da indicação obrigatória de um encarregado pelo tratamento de dados, o profissional que faz a ponte com os titulares e com a autoridade. Mesmo assim, permanece a obrigação de disponibilizar um canal de comunicação acessível, geralmente um e-mail ou formulário, para receber pedidos e reclamações.

A resolução também concede prazos ampliados. A comunicação de incidentes de segurança à autoridade e aos titulares, por exemplo, observa contagem em dobro quando comparada à regra geral. Documentos como o registro das operações de tratamento podem ser mantidos em modelo simplificado, desde que reflitam de forma fiel o que a empresa faz com os dados.

Adequação à LGPD não é projeto de grande corporação, é rotina mínima de governança que cabe na realidade do pequeno negócio.

Vale destacar que o regime simplificado não é uma isenção. As empresas continuam responsáveis por proteger os dados que detêm e por respeitar os direitos dos titulares. A diferença está na proporcionalidade das exigências formais, não na possibilidade de descumprir a finalidade protetiva da lei.

Passos práticos de adequação

O primeiro movimento concreto é mapear os dados. O empresário precisa saber quais informações coleta, onde estão guardadas, quem tem acesso e por quanto tempo são mantidas. Esse inventário revela cadastros desnecessários, planilhas compartilhadas sem controle e contratos com fornecedores que também manuseiam dados.

O segundo passo é elaborar uma política de privacidade clara, publicada no site ou exibida no estabelecimento, explicando quais dados são tratados e com qual finalidade. Em seguida, recomenda-se estruturar o atendimento aos titulares, já que o artigo 18 da LGPD garante direitos como acesso, correção, eliminação e portabilidade das informações.

A camada de segurança encerra o ciclo básico. Senhas fortes, controle de acesso, cópias de segurança e cuidado com o descarte de documentos físicos atendem ao artigo 46, que exige medidas técnicas e administrativas aptas a proteger os dados. Treinar a equipe sobre essas rotinas reduz de forma significativa o risco de vazamentos.

Riscos de ignorar a adequação

O descumprimento da LGPD sujeita a empresa às sanções do artigo 52, que vão da advertência à multa de até 2% do faturamento, limitada a cinquenta milhões de reais por infração. Embora o pequeno negócio dificilmente alcance o teto, a penalidade pecuniária e a publicização da infração podem comprometer a reputação construída com a clientela.

Para além da autuação administrativa, há o risco de responsabilização civil. Um titular que sofra dano em razão do uso indevido de seus dados pode pleitear reparação na esfera judicial. A adequação preventiva, nesse cenário, funciona como instrumento de redução de passivo e de fortalecimento da confiança do consumidor.

Leia tambem:

Perguntas Frequentes

Quem é considerado agente de tratamento de pequeno porte?

São microempresas, empresas de pequeno porte, startups, entidades sem fins lucrativos e empreendedores individuais que realizam tratamento de dados pessoais, conforme a Resolução CD/ANPD nº 2/2022. Essa classificação garante regras simplificadas, mas não dispensa o cumprimento dos princípios e das finalidades da LGPD.

É obrigatório ter um encarregado de dados na pequena empresa?

Não. A resolução da autoridade dispensa os agentes de pequeno porte da indicação obrigatória do encarregado. Permanece, contudo, o dever de manter um canal de comunicação acessível para que clientes possam exercer seus direitos e encaminhar reclamações sobre o tratamento de suas informações.

Como começar a adequação com poucos recursos?

O caminho mais eficiente é mapear quais dados a empresa coleta, definir a base legal de cada uso, publicar uma política de privacidade e adotar medidas básicas de segurança. Essas providências iniciais já reduzem boa parte do risco e podem ser implementadas de forma gradual, conforme a maturidade do negócio.