A Lei Geral de Proteção de Dados — Lei 13.709/2018 — não é uma lei de grandes corporações com departamentos jurídicos estruturados. É uma lei que se aplica a qualquer empresa, de qualquer porte e de qualquer setor, que trate dados pessoais de pessoas naturais no Brasil. A microempresa que armazena o e-mail e o CPF de seus clientes em uma planilha, o prestador de serviços que processa dados de saúde de trabalhadores, a startup que coleta dados de comportamento de usuários: todos são agentes de tratamento sujeitos às obrigações e às sanções previstas na lei.

Desde a entrada em vigor do regime sancionatório, em agosto de 2021, e com a consolidação progressiva da atuação fiscalizatória da Autoridade Nacional de Proteção de Dados (ANPD), a conformidade com a LGPD deixou de ser opção estratégica para converter-se em obrigação jurídica com consequências mensuráveis. Multas, sanções administrativas e ações civis movidas por titulares de dados são riscos reais — e a maioria das empresas brasileiras ainda não completou seu processo de adequação.

Este artigo apresenta as principais obrigações da LGPD para empresas, o regime de sanções aplicável, o tratamento diferenciado para pequenas empresas e um roteiro prático de conformidade. É o segundo artigo da área de Direito Digital da Barbieri Advogados, em continuidade ao tema tratado em nosso artigo sobre inteligência artificial na advocacia e a proteção de dados dos clientes.—

O que é a LGPD para empresas e a quem ela se aplica

Conceito, fundamentos e princípios norteadores

A LGPD é a norma geral de proteção de dados pessoais no Brasil, que estabelece regras para o tratamento de informações relacionadas a pessoas naturais identificadas ou identificáveis. Tratamento, na definição do art. 5º, X, da lei, é qualquer operação realizada com dados pessoais: coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação, controle, modificação, comunicação, transferência, difusão ou extração.

A lei organiza-se em torno de dez princípios fundamentais (art. 6º), que funcionam como balizas interpretativas para todas as suas disposições: finalidade, adequação, necessidade, livre acesso, qualidade dos dados, transparência, segurança, prevenção, não discriminação e responsabilização e prestação de contas. O princípio da necessidade — que exige que apenas os dados estritamente necessários à finalidade declarada sejam coletados — é frequentemente violado por empresas que coletam dados em excesso por hábito ou conveniência, sem avaliar sua real necessidade.

A quem se aplica: porte, setor e origem não importam

O critério de aplicação da LGPD não é o porte da empresa, o setor de atuação, a forma jurídica ou a origem do capital. O critério é a operação de tratamento: qualquer pessoa natural ou jurídica, de direito público ou privado, que realize tratamento de dados pessoais estará sujeita à lei, desde que a operação seja realizada no território nacional, que o tratamento tenha por objetivo a oferta de bens ou serviços a pessoas no Brasil, ou que os dados tratados tenham sido coletados no Brasil (art. 3º).

Há exceções: tratamento realizado por pessoa natural para fins exclusivamente particulares e não econômicos, tratamento para fins jornalísticos, artísticos ou acadêmicos (com restrições), e tratamento para fins de segurança pública e defesa nacional têm regimes específicos ou são parcialmente excluídos do âmbito da lei. Para o universo empresarial, essas exceções têm aplicação residual.

A LGPD vale para empresas estrangeiras que operam no Brasil?

Sim. O art. 3º, II e III, da LGPD estabelece sua aplicação extraterritorial: a lei incide sobre o tratamento realizado por empresa estrangeira quando a atividade de tratamento destina-se à oferta de bens ou serviços a pessoas localizadas no território nacional, ou quando os dados objeto do tratamento foram coletados no Brasil. Plataformas digitais estrangeiras, empresas de e-commerce com operações no Brasil e prestadores de serviços SaaS com clientes brasileiros estão sujeitos à lei — independentemente de terem ou não estabelecimento físico no país.

Essa extraterritorialidade tem implicação direta para empresas brasileiras que contratam fornecedores estrangeiros de tecnologia: ao transferir dados de clientes brasileiros para servidores ou sistemas operados fora do Brasil, a empresa brasileira — na qualidade de controladora — continua responsável pela conformidade do tratamento, incluindo a adequação da transferência internacional de dados nos termos dos arts. 33 a 36 da LGPD.—

Quais são as obrigações das empresas sob a LGPD

Mapeamento de dados: o ponto de partida obrigatório

Antes de qualquer medida de conformidade, a empresa precisa saber quais dados pessoais trata, por que os trata, onde estão armazenados, por quanto tempo são mantidos e quem tem acesso a eles. Esse inventário — frequentemente chamado de mapeamento de dados ou data mapping — é o documento base de qualquer programa de conformidade com a LGPD. Sem ele, é impossível identificar quais bases legais se aplicam a cada operação, quais dados são desnecessários e devem ser eliminados, e quais fluxos de dados envolvem terceiros que precisam ser contratualmente comprometidos com a conformidade.

O mapeamento deve ser um documento vivo: atualizado sempre que novos sistemas são implementados, novos dados são coletados ou novas finalidades são adotadas. Empresas que realizam o mapeamento uma vez e o arquivam sem revisão periódica estão em conformidade apenas formal — e podem ser surpreendidas por uma fiscalização que revele divergências entre o mapeamento declarado e as operações reais.

Base legal para o tratamento: as hipóteses do art. 7º

Toda operação de tratamento de dados pessoais deve estar amparada em uma das dez bases legais previstas no art. 7º da LGPD. As mais relevantes para o contexto empresarial são: o consentimento do titular (inciso I), o cumprimento de obrigação legal ou regulatória (inciso II), a execução de contrato do qual o titular é parte (inciso V), o exercício regular de direitos em processo judicial, administrativo ou arbitral (inciso VI) e o legítimo interesse do controlador (inciso IX).

A escolha da base legal não é discricionária: deve refletir a realidade da operação de tratamento. O consentimento, embora intuitivo, é a base legal mais frágil — porque é revogável a qualquer tempo pelo titular, o que pode inviabilizar operações que dependam da continuidade do tratamento. O legítimo interesse, por outro lado, é a base mais flexível, mas exige que a empresa documente o balanceamento entre seu interesse legítimo e os direitos e expectativas dos titulares — um exercício que muitas empresas negligenciam.

Para dados sensíveis — dados sobre saúde, origem racial ou étnica, convicção religiosa, opinião política, filiação sindical, dado genético ou biométrico, vida sexual — as bases legais aplicáveis são mais restritas, previstas no art. 11 da LGPD, e o nível de rigor exigido é substancialmente maior.

Transparência e aviso de privacidade

O art. 9º da LGPD exige que o controlador informe o titular, de forma clara e adequada, sobre a finalidade do tratamento, a forma e duração do tratamento, a identidade do controlador, as informações de contato do encarregado de dados, o uso compartilhado dos dados e as responsabilidades dos agentes envolvidos, além dos direitos do titular. Essa obrigação materializa-se principalmente na Política de Privacidade — documento público que deve ser acessível e compreensível para o público-alvo da empresa.

A política de privacidade que simplesmente reproduz o texto da lei, sem descrever as operações concretas de tratamento da empresa, não cumpre a obrigação de transparência. A ANPD tem orientado que o documento deve ser específico, preciso e calibrado para o nível de sofisticação do público da empresa — o que, para plataformas B2C com usuários leigos, implica linguagem acessível e estrutura que facilite a compreensão.

Direitos dos titulares e o prazo de resposta

O art. 18 da LGPD confere aos titulares um rol de direitos que as empresas são obrigadas a atender: confirmação da existência de tratamento, acesso aos dados, correção de dados incompletos ou desatualizados, anonimização, bloqueio ou eliminação de dados desnecessários, portabilidade dos dados, informação sobre compartilhamento com terceiros, revogação do consentimento e revisão de decisões automatizadas. O atendimento deve ser gratuito e facilitado.

A ANPD regulamentou que o prazo para resposta a solicitações de titulares é de 15 dias corridos para confirmação de existência de tratamento, prorrogável por igual período mediante justificativa. Empresas que não têm um processo estruturado para receber, triagem e responder a essas solicitações correm o risco de incorrer em infração mesmo sem ter causado dano direto ao titular.

Medidas de segurança técnica e administrativa

O art. 46 da LGPD exige que os agentes de tratamento adotem medidas de segurança técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão. A lei não especifica as medidas exatas — o que é intencional, para permitir adequação tecnológica ao longo do tempo — mas o padrão exigido é o das “melhores práticas de mercado” para o porte e o risco da operação.

Na prática, medidas mínimas esperadas incluem: criptografia de dados em trânsito e em repouso; controle de acesso baseado em perfis e com autenticação adequada ao nível de sensibilidade dos dados; registro de auditoria das operações de tratamento; política de backup e recuperação; e plano de resposta a incidentes de segurança. Empresas que processam dados sensíveis ou dados de crianças e adolescentes devem adotar controles adicionais proporcionais ao risco elevado dessas categorias.—

LGPD para pequenas empresas: há tratamento diferenciado?

O que a lei e a ANPD preveem para MPEs

A LGPD, em sua redação original, não estabelece exceções por porte. O art. 55-J, XVIII, atribui à ANPD competência para editar regulamentos e procedimentos simplificados para microempresas e empresas de pequeno porte. A ANPD exerceu parcialmente essa competência ao publicar o Regulamento de Tratamento de Dados Pessoais por Agentes de Pequeno Porte (Resolução CD/ANPD nº 2/2022), que simplifica algumas obrigações para microempresas, empresas de pequeno porte, startups e pessoas naturais que tratam dados como atividade econômica.

As principais simplificações incluem: dispensa do Relatório de Impacto à Proteção de Dados Pessoais (RIPD) em determinadas hipóteses; possibilidade de indicação de encarregado externo; e registros de operações de tratamento em formato simplificado. O regime não dispensa, porém, as obrigações de base legal, transparência, segurança, atendimento a titulares e comunicação de incidentes — que se aplicam a todos os agentes de tratamento independentemente do porte.

Por onde começar sem estrutura de compliance dedicada

Para empresas de menor porte sem equipe jurídica interna, o ponto de partida prático é um mapeamento simplificado que responda a quatro perguntas: quais dados pessoais a empresa coleta; de quem são esses dados (clientes, funcionários, fornecedores); para que finalidade são usados; e onde estão armazenados. Com esse diagnóstico mínimo, é possível identificar as operações de maior risco — tratamento de dados sensíveis, compartilhamento com terceiros, coleta de dados de menores — e priorizar as medidas de conformidade com base no risco real, e não em um roteiro genérico.

A contratação de assessoria jurídica especializada para a fase de diagnóstico e estruturação do programa de conformidade é, em geral, mais eficiente do que a tentativa de construção interna sem orientação técnica — especialmente para empresas que tratam dados em escala ou em setores regulados. O custo de um processo de adequação bem estruturado é invariavelmente inferior ao custo de uma sanção da ANPD ou de uma ação civil movida por um titular prejudicado.—

Sanções da LGPD: o que a ANPD pode aplicar e como tem atuado

O rol de sanções do art. 52

As sanções administrativas aplicáveis pela ANPD estão previstas no art. 52 da LGPD e incluem, em ordem crescente de gravidade: advertência com prazo para adoção de medidas corretivas; multa simples de até 2% do faturamento da pessoa jurídica de direito privado no Brasil, limitada a R$ 50 milhões por infração; multa diária, observado o mesmo limite; publicização da infração após devidamente apurada e confirmada; bloqueio dos dados pessoais a que se refere a infração até sua regularização; eliminação dos dados pessoais; e suspensão parcial do banco de dados por até seis meses, prorrogável por igual período. A proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados é a sanção de última instância, reservada para casos de especial gravidade.

A dosimetria das sanções considera, entre outros fatores, a gravidade e a natureza das infrações e dos direitos pessoais afetados; a boa-fé do infrator; a adoção de medidas corretivas; o grau de dano; a situação econômica do infrator; a reincidência; e a adoção de política de boas práticas e governança (art. 52, §1º). A existência de programa de conformidade documentado e funcional é, portanto, fator atenuante real — não apenas formal.

Como a ANPD tem atuado na prática

A ANPD iniciou sua atividade fiscalizatória de forma gradual e prioritária em relação a setores e infrações de maior impacto. Os primeiros processos administrativos sancionatórios concentraram-se em casos de incidente de segurança com exposição massiva de dados e em situações de descumprimento do direito de acesso pelos titulares. A Autoridade também tem atuado por meio de fiscalizações temáticas setoriais, incluindo o setor financeiro, de telecomunicações e de saúde — setores que tratam dados em larga escala e frequentemente processam dados sensíveis.

Além das sanções administrativas, a ANPD celebrou termos de compromisso com agentes de tratamento em situações de infração menos graves, condicionando o encerramento do processo à adoção de medidas corretivas específicas. Essa prática indica que a Autoridade privilegia a correção do comportamento sobre a punição em primeira instância — o que reforça a importância de o agente de tratamento demonstrar boa-fé e disposição para adequação quando instado pela ANPD.

Responsabilidade civil direta: o titular pode processar a empresa

Paralelamente à via administrativa, o art. 42 da LGPD confere ao titular de dados o direito de requerer indenização por danos patrimoniais, morais, individuais ou coletivos decorrentes de violação à lei pelo agente de tratamento. A responsabilidade é objetiva para o controlador que causar dano em razão do exercício de atividade de tratamento de dados — o que significa que o titular não precisa provar culpa, apenas o nexo causal entre a violação e o dano.

O controlador pode eximir-se de responsabilidade apenas se provar que não realizou o tratamento que lhe é atribuído; que, embora tenha realizado o tratamento, não houve violação à legislação de proteção de dados; ou que o dano é decorrente de culpa exclusiva do titular ou de terceiro (art. 43). A inversão do ônus da prova em desfavor do controlador é um elemento que torna o risco de litígios especialmente relevante para empresas que tratam dados em volume ou que processam dados sensíveis.—

Os benefícios da LGPD para as empresas: além da conformidade

Redução de risco jurídico e reputacional

A conformidade com a LGPD é, antes de tudo, gestão de risco. Empresas que estruturam seu programa de proteção de dados reduzem a exposição a sanções administrativas, a ações civis e ao risco reputacional decorrente de incidentes de segurança. Um vazamento de dados que expõe informações de clientes gera consequências que vão além da sanção da ANPD: cobertura negativa na imprensa, perda de clientes, questionamentos de parceiros comerciais e, em setores regulados, interesse de outras autoridades. A prevenção é invariavelmente menos custosa que a gestão de crise.

Vantagem competitiva em contratos com grandes empresas e o setor público

Grandes corporações e entidades do setor público têm incorporado exigências de conformidade com a LGPD em seus processos de due diligence de fornecedores. Empresas que não podem demonstrar um programa mínimo de proteção de dados — política de privacidade atualizada, DPA disponível para assinatura, mecanismo de atendimento a titulares — estão sendo eliminadas de processos seletivos em que esse critério é avaliado. Para startups e empresas de médio porte que aspiram a contratos com grandes clientes corporativos ou com o poder público, a conformidade com a LGPD é um requisito de acesso ao mercado, não uma opção.

LGPD como fundamento de governança corporativa e ESG

A proteção de dados pessoais integra progressivamente os critérios de avaliação ESG (Environmental, Social and Governance) adotados por investidores, fundos e parceiros estratégicos. A dimensão “S” do ESG — fatores sociais — abrange diretamente a forma como a empresa trata as informações das pessoas com quem interage. Empresas que demonstram maturidade em governança de dados, com políticas documentadas, processos estruturados e histórico de conformidade, estão melhor posicionadas em avaliações de due diligence para fusões e aquisições, captação de investimentos e parcerias estratégicas.—

Como estruturar a conformidade: etapas práticas

Diagnóstico inicial: inventário de dados e fluxos de tratamento

O ponto de partida é um diagnóstico abrangente das operações de tratamento de dados da empresa. Esse diagnóstico deve mapear: quais dados pessoais são coletados e de quais categorias (comuns ou sensíveis); as finalidades de cada operação de tratamento; as bases legais correspondentes; os fluxos de dados — incluindo compartilhamentos com terceiros e transferências internacionais; os prazos de retenção; e as medidas de segurança existentes. O resultado é um inventário que funciona como linha de base para o programa de conformidade e como documento de evidência em eventual fiscalização.

Nomeação do Encarregado de Dados (DPO)

O Encarregado de Dados é o canal de comunicação entre o controlador, os titulares e a ANPD (art. 41 da LGPD). Suas atribuições incluem aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências; receber comunicações da ANPD e adotar providências; orientar os funcionários sobre as práticas de proteção de dados; e executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares. O encarregado pode ser pessoa física ou jurídica, com vínculo empregatício ou não — o que permite a empresas de menor porte recorrer a um assessor jurídico externo especializado para cumprir essa obrigação.

Política de privacidade, termos de uso e contratos com fornecedores

A adequação documental abrange três camadas. A primeira é externa — voltada aos titulares de dados: política de privacidade, aviso de cookies, termos de uso e formulários de coleta de dados com as informações exigidas pelo art. 9º da LGPD. A segunda é interna — voltada aos colaboradores: política de segurança da informação, código de conduta para tratamento de dados e treinamentos periódicos. A terceira é contratual — voltada aos fornecedores e parceiros que atuam como operadores: os contratos devem incluir cláusulas de proteção de dados que vinculem o operador às instruções do controlador e prevejam as obrigações de segurança, notificação de incidentes e eliminação de dados ao término da relação.

O uso de ferramentas de inteligência artificial no processamento de dados de clientes é um contexto que exige atenção especial a essa camada contratual — tema que abordamos em profundidade em nosso artigo sobre inteligência artificial na advocacia e a proteção de dados dos clientes, com análise das cláusulas essenciais em contratos com fornecedores de IA.

Plano de resposta a incidentes

O art. 48 da LGPD obriga o controlador a comunicar à ANPD e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares. A ANPD regulamentou esse dever por meio da Resolução CD/ANPD nº 4/2023, que estabelece prazo de três dias úteis para a comunicação inicial. Empresas sem plano de resposta a incidentes dificilmente conseguem cumprir esse prazo — e a comunicação tardia é circunstância agravante expressamente prevista na lei.

Um plano de resposta a incidentes deve definir: os responsáveis pela detecção e classificação do incidente; o fluxo de comunicação interna e externa; os critérios para avaliação do risco e da relevância do incidente; o conteúdo mínimo da comunicação à ANPD e aos titulares; e as medidas de contenção e remediação. A existência e a efetividade desse plano são avaliadas pela ANPD em processos de fiscalização e são consideradas na dosimetria das sanções.

O papel do assessor jurídico especializado

A conformidade com a LGPD não é tarefa exclusivamente técnica — é, fundamentalmente, jurídica. A identificação da base legal correta para cada operação de tratamento, a estruturação dos contratos com fornecedores, a análise de transferências internacionais de dados, a avaliação de risco em novas funcionalidades e a resposta a fiscalizações da ANPD são atividades que requerem conhecimento jurídico especializado em proteção de dados. O assessor jurídico que atua preventivamente no processo de adequação reduz o risco de infrações e posiciona a empresa para responder com eficiência a eventuais questionamentos regulatórios. Para uma avaliação da situação específica de sua empresa, entre em contato com a equipe da Barbieri Advogados.—

Perguntas frequentes

1) A LGPD se aplica à minha empresa se eu só trato dados de funcionários?

Sim. A LGPD não distingue o tipo de titular cujos dados são tratados: dados de funcionários, clientes, fornecedores e parceiros estão todos sujeitos à lei. O tratamento de dados de colaboradores — folha de pagamento, controle de ponto, benefícios, saúde ocupacional — deve observar base legal, transparência e segurança nos mesmos termos que os dados de clientes. Para dados de saúde dos trabalhadores, aplicam-se as regras mais rigorosas do art. 11 da LGPD, que rege dados sensíveis.

2) Qual a diferença entre controlador e operador de dados?

O controlador é quem decide sobre o tratamento — define finalidade e meios (art. 5º, VI). O operador é quem realiza o tratamento em nome do controlador, seguindo suas instruções (art. 5º, VII). A empresa que coleta dados de clientes é controladora; o fornecedor de software que processa esses dados em nome da empresa é operador. Ambos respondem por danos causados por violações à LGPD, mas com regimes de responsabilidade distintos: o controlador responde objetivamente; o operador responde quando descumprir a legislação ou as instruções do controlador.

3) Toda empresa precisa ter um DPO?

A LGPD exige a indicação de Encarregado de Dados para todos os controladores e operadores. A ANPD prevê simplificações para agentes de pequeno porte, incluindo a possibilidade de encarregado externo. A dispensa total não está regulamentada. Para empresas de menor porte, a solução mais comum e eficiente é a indicação de um assessor jurídico especializado como encarregado externo, com as obrigações definidas em contrato de prestação de serviços.

4) Qual a importância da LGPD para as empresas na prática?

A LGPD importa em três dimensões. Risco jurídico: violações podem resultar em sanções da ANPD de até 2% do faturamento (limitadas a R$ 50 milhões por infração) e em ações civis movidas por titulares. Risco reputacional: incidentes de segurança com dados de clientes geram cobertura negativa e erosão de confiança. Vantagem competitiva: empresas com conformidade demonstrável têm vantagem em licitações públicas e em contratos com grandes corporações que exigem due diligence de dados de seus fornecedores.

5) O que acontece se minha empresa sofrer um vazamento de dados?

Em caso de incidente de segurança com dados pessoais, a empresa tem obrigação de comunicar à ANPD e aos titulares afetados no prazo de três dias úteis para a comunicação inicial, conforme a Resolução CD/ANPD nº 4/2023. A comunicação tardia ou omissa é circunstância agravante na dosimetria das sanções. Além disso, a empresa fica exposta a ações de responsabilidade civil pelos titulares que comprovem dano, com inversão do ônus da prova em seu desfavor.

6) A LGPD se aplica a dados de pessoas jurídicas?

Não diretamente. A LGPD protege dados pessoais de pessoas naturais identificadas ou identificáveis (art. 5º, I). Dados exclusivamente de pessoas jurídicas não estão sujeitos à lei. Contudo, quando dados de empresas estão associados a pessoas físicas identificáveis — nome do sócio, e-mail corporativo com nome, dados do representante legal — a proteção da LGPD incide sobre essa dimensão individual, mesmo que o contexto seja empresarial.—

Conclusão

Conformidade com a LGPD não é custo burocrático — é gestão de risco com retorno mensurável. A empresa que estrutura seu programa de proteção de dados reduz sua exposição a sanções administrativas, ações civis e danos reputacionais; melhora sua posição competitiva em processos seletivos com grandes clientes; e fortalece sua governança corporativa em um ambiente de negócios em que a responsabilidade pelo tratamento de dados pessoais é progressivamente exigida e escrutinada.

O processo de adequação não é linear nem se conclui em um único projeto: é uma jornada contínua de avaliação, ajuste e documentação. Empresas que tratam isso como obrigação pontual — e não como processo permanente — estão em conformidade apenas no papel. A profundidade e a sustentabilidade do programa de conformidade são, ao final, o que distingue o risco gerenciado do risco latente.—

Este artigo foi redigido para fins de informação e debate, não devendo ser considerado uma opinião legal para qualquer operação ou negócio específico.

© 2026. Direitos Autorais reservados a Barbieri Advogados.