LGPD para Pequenas e Médias Empresas: Guia Simplificado

A LGPD não é exclusividade de grandes corporações: pequenas e médias empresas que ignoram a proteção de dados pessoais estão sujeitas a multas milionárias e podem perder a confiança de seus clientes.

O que é a LGPD e por que ela importa para PMEs

A Lei Geral de Proteção de Dados (Lei nº 13.709/2018) entrou em vigor com o objetivo de regulamentar o tratamento de dados pessoais por qualquer pessoa física ou jurídica, independentemente do porte da empresa. Quando analisamos o cenário das pequenas e médias empresas brasileiras, percebemos que muitos empresários ainda acreditam que a legislação se aplica apenas a grandes corporações ou empresas de tecnologia. Essa percepção equivocada coloca milhares de negócios em risco, pois a Autoridade Nacional de Proteção de Dados (ANPD) tem competência para fiscalizar e aplicar sanções a qualquer organização que realize o tratamento de dados pessoais de forma irregular.

Consideramos fundamental que os gestores de PMEs compreendam que “dados pessoais” não se limitam a informações digitais sofisticadas. O nome completo de um cliente registrado em uma planilha, o CPF anotado em um caderno de fiado, o número de telefone armazenado no WhatsApp comercial e até mesmo imagens de câmeras de segurança configuram dados pessoais protegidos pela LGPD. Portanto, praticamente toda empresa, do consultório odontológico à padaria de bairro, realiza alguma forma de tratamento de dados e precisa observar a legislação.

A ANPD publicou a Resolução CD/ANPD nº 2/2022, que estabelece um tratamento diferenciado e simplificado para agentes de tratamento de pequeno porte. Essa resolução reconhece que seria desproporcional exigir de uma microempresa a mesma estrutura de compliance de uma multinacional. Ainda assim, existem obrigações mínimas que precisam ser cumpridas, e o desconhecimento da lei não serve como justificativa para o descumprimento.

Mapeamento de dados: o primeiro passo da adequação

Quando iniciamos um processo de adequação à LGPD em uma pequena ou média empresa, o primeiro passo que recomendamos é o mapeamento de dados pessoais. Esse exercício consiste em identificar quais dados a empresa coleta, onde eles ficam armazenados, quem tem acesso a eles, com quem são compartilhados e por quanto tempo são retidos. Pode parecer complexo, mas na prática verificamos que a maioria das PMEs concentra seus dados em poucos sistemas: planilhas, softwares de gestão (ERP), e-mail corporativo, aplicativos de mensagens e, eventualmente, um site institucional com formulário de contato.

Para realizar esse mapeamento de forma eficiente, sugerimos que o empresário percorra cada setor da empresa (mesmo que sejam apenas dois ou três funcionários) e registre as seguintes informações: quais dados pessoais são coletados naquele setor, qual a finalidade da coleta, qual a base legal que justifica o tratamento, quem acessa esses dados internamente e se há compartilhamento com terceiros (como contadores, empresas de marketing ou plataformas de pagamento). Esse registro é o que chamamos de Registro de Operações de Tratamento (ROPA), e a boa notícia é que, para agentes de pequeno porte, a ANPD disponibiliza modelos simplificados.

Observamos que muitas PMEs ficam surpresas ao descobrir a quantidade de dados que tratam sem perceber. Um pequeno escritório de contabilidade, por exemplo, manipula dados sensíveis de dezenas ou centenas de pessoas físicas (informações financeiras, números de documentos, endereços). Uma clínica de estética armazena dados de saúde, que são classificados como dados sensíveis pela LGPD e exigem cuidados ainda mais rigorosos. O mapeamento traz essa consciência e permite que a empresa tome decisões informadas sobre como proteger essas informações.

Bases legais e consentimento: entendendo quando você pode tratar dados

Um dos pontos que mais gera confusão entre empresários é a questão das bases legais. A LGPD prevê dez hipóteses que autorizam o tratamento de dados pessoais, e o consentimento é apenas uma delas. Quando assessoramos PMEs, verificamos que muitos empresários acreditam que precisam obter consentimento para absolutamente tudo, o que além de desnecessário pode criar problemas operacionais significativos.

Analisamos brevemente as bases legais mais relevantes para o dia a dia das pequenas e médias empresas. A execução de contrato é a base legal que autoriza o tratamento de dados necessários para cumprir um contrato com o titular. Por exemplo, uma loja online precisa do endereço do cliente para entregar o produto comprado, e não precisa de consentimento separado para isso, pois o tratamento é inerente à relação contratual. A obrigação legal ou regulatória autoriza o tratamento quando existe uma lei que exige determinado processamento de dados, como a manutenção de registros contábeis e fiscais por prazos definidos na legislação tributária. O legítimo interesse permite o tratamento quando existe uma finalidade legítima da empresa que não colide com os direitos do titular, como o envio de comunicações sobre produtos similares aos já adquiridos por um cliente.

O consentimento, quando necessário, deve ser livre, informado, inequívoco e para uma finalidade específica. Recomendamos que as PMEs utilizem o consentimento como base legal apenas quando nenhuma das outras hipóteses se aplicar. Isso porque o consentimento pode ser revogado a qualquer momento pelo titular, o que pode criar dificuldades operacionais se a empresa depender exclusivamente dele para justificar tratamentos essenciais ao negócio.

A adequação à LGPD não precisa ser um processo caro ou complexo para pequenas empresas, mas precisa ser levada a sério: comece pelo mapeamento de dados e avance de forma gradual e consistente.

Medidas práticas de segurança para PMEs

Quando falamos em segurança da informação para pequenas e médias empresas, não estamos nos referindo a investimentos milionários em infraestrutura de TI. Existem medidas simples e de baixo custo que elevam significativamente o nível de proteção dos dados pessoais tratados pela empresa. Organizamos as principais recomendações que fazemos aos nossos clientes em categorias práticas.

Controle de acesso e senhas

Verificamos que uma das vulnerabilidades mais comuns em PMEs é o compartilhamento de senhas e o acesso irrestrito a sistemas. Recomendamos que cada colaborador tenha credenciais individuais, que as senhas tenham no mínimo doze caracteres (combinando letras, números e caracteres especiais) e que a autenticação em dois fatores seja ativada em todos os serviços que oferecem essa funcionalidade, especialmente e-mail corporativo, sistemas de gestão e contas bancárias. Além disso, o acesso a dados pessoais deve seguir o princípio do menor privilégio: cada funcionário deve acessar apenas os dados estritamente necessários para desempenhar sua função.

Backups e atualizações

Manter cópias de segurança regulares e armazenadas em local seguro (preferencialmente com criptografia) é uma medida essencial que protege a empresa tanto contra ataques cibernéticos quanto contra falhas de hardware. Igualmente importante é manter todos os softwares atualizados, incluindo sistemas operacionais, navegadores e aplicativos. Muitos ataques exploram vulnerabilidades já corrigidas em atualizações que simplesmente não foram instaladas.

Treinamento da equipe

Consideramos o treinamento dos colaboradores a medida de segurança mais importante e, ao mesmo tempo, a mais negligenciada. De nada adianta investir em tecnologia se um funcionário clica em um link de phishing e compromete todo o sistema. Sessões periódicas de conscientização sobre golpes digitais, boas práticas no uso de e-mail e procedimentos para descarte seguro de documentos físicos fazem diferença substancial no nível de segurança da organização.

Direitos dos titulares e como atendê-los

A LGPD garante aos titulares de dados pessoais uma série de direitos que as empresas precisam estar preparadas para atender. Entre os mais relevantes para o cotidiano das PMEs, destacamos o direito de acesso (o titular pode solicitar uma cópia dos dados que a empresa possui sobre ele), o direito de correção (solicitar a atualização de dados incompletos ou desatualizados), o direito de eliminação (solicitar a exclusão de dados tratados com base no consentimento) e o direito à portabilidade (solicitar a transferência dos dados para outro fornecedor).

Para atender a esses direitos de forma organizada, recomendamos que a empresa estabeleça um canal de comunicação específico para solicitações relacionadas à LGPD. Pode ser um endereço de e-mail dedicado ou até mesmo um formulário no site da empresa. O importante é que exista um responsável por receber, analisar e responder essas solicitações dentro do prazo legal. A Resolução CD/ANPD nº 2/2022 dispensa os agentes de pequeno porte da obrigação de indicar um Encarregado de Proteção de Dados (DPO), mas a empresa ainda precisa disponibilizar um canal de atendimento para os titulares.

Observamos que, na prática, as solicitações de titulares em PMEs são relativamente raras, mas quando ocorrem, a empresa precisa estar preparada para respondê-las adequadamente. O prazo para confirmação da existência de tratamento é de 15 dias, contados da data do requerimento do titular. Já para o fornecimento de declaração completa, o prazo é de até 15 dias, contados igualmente da data do requerimento. Manter o mapeamento de dados atualizado facilita enormemente o atendimento dessas solicitações.

Sanções e fiscalização: o que acontece se a empresa não se adequar

As sanções previstas na LGPD variam desde advertências até multas que podem chegar a 2% do faturamento da pessoa jurídica, limitadas a R$ 50 milhões por infração. Para uma PME, mesmo uma fração desse valor pode representar um impacto financeiro devastador. Além das multas, a ANPD pode determinar o bloqueio ou a eliminação dos dados pessoais tratados irregularmente, a suspensão parcial do banco de dados e até a proibição parcial ou total do exercício de atividades relacionadas ao tratamento de dados.

Quando analisamos o cenário de fiscalização, percebemos que a ANPD tem adotado uma postura inicialmente educativa, mas progressivamente mais rigorosa. As primeiras sanções administrativas já foram aplicadas, e a tendência é de intensificação da fiscalização nos próximos anos. Além da atuação da ANPD, verificamos um aumento significativo de ações judiciais movidas por titulares de dados, muitas vezes com pedidos de indenização por danos morais decorrentes de vazamentos ou uso indevido de dados pessoais.

Para além do aspecto punitivo, ressaltamos que a adequação à LGPD representa uma vantagem competitiva real para as PMEs. Empresas que demonstram cuidado com os dados de seus clientes constroem relações de confiança mais sólidas, e cada vez mais contratos comerciais (especialmente com empresas de maior porte) exigem comprovação de conformidade com a legislação de proteção de dados como condição para a contratação. Esse processo, conhecido como due diligence de dados, tem se tornado prática corrente no mercado brasileiro e pode ser o diferencial entre fechar ou perder um contrato importante.

As informações deste artigo são de caráter informativo e não substituem consulta jurídica individualizada.

As informações deste artigo são de caráter informativo e não substituem consulta jurídica individualizada.