LGPD para Empresas: obrigações, sanções e conformidade jurídica

A Lei Geral de Proteção de Dados — Lei 13.709/2018 — não é uma lei de grandes corporações com departamentos jurídicos estruturados. É uma lei que se aplica a qualquer empresa, de qualquer porte e de qualquer setor, que trate dados pessoais de pessoas naturais no Brasil.

A microempresa que armazena o e-mail e o CPF de seus clientes em uma planilha, o prestador de serviços que processa dados de saúde de trabalhadores, a startup que coleta dados de comportamento de usuários: todos são agentes de tratamento sujeitos às obrigações e às sanções previstas na lei.

Desde a entrada em vigor do regime sancionatório, em agosto de 2021, e com a consolidação progressiva da atuação fiscalizatória da Autoridade Nacional de Proteção de Dados (ANPD), a conformidade com a LGPD deixou de ser opção estratégica para converter-se em obrigação jurídica com consequências mensuráveis.

Multas, sanções administrativas e ações civis movidas por titulares de dados são riscos reais — e a maioria das empresas brasileiras ainda não completou seu processo de adequação.

Este artigo apresenta as principais obrigações da LGPD para empresas, o regime de sanções aplicável, o tratamento diferenciado para pequenas empresas e um roteiro prático de conformidade.

É o segundo artigo da área de Direito Digital da Barbieri Advogados, em continuidade ao tema tratado em nosso artigo sobre inteligência artificial na advocacia e a proteção de dados dos clientes.

O que é a LGPD para empresas e a quem ela se aplica?

A LGPD é a norma geral de proteção de dados pessoais no Brasil, que estabelece regras para o tratamento de informações relacionadas a pessoas naturais identificadas ou identificáveis.

Tratamento, na definição do artigo 5º, inciso X, da lei, é qualquer operação realizada com dados pessoais:

• Coleta;
• Produção;
• Recepção;
• Classificação;
• Utilização;
• Acesso;
• Reprodução;
• Transmissão;
• Distribuição;
• Processamento;
• Arquivamento;
• Armazenamento;
• Eliminação;
• Avaliação;
• Controle;
• Modificação;
• Comunicação;
• Transferência;
• Difusão; ou
• Extração.

A lei organiza-se em torno de dez princípios fundamentais (artigo 6º), que funcionam como balizas interpretativas para todas as suas disposições:

• Princípio da finalidade;
• Princípio da adequação;
• Princípio da necessidade;
• Princípio do livre acesso;
• Princípio da qualidade dos dados;
• Princípio da transparência;
• Princípio da segurança;
• Princípio da prevenção;
• Princípio da não discriminação e responsabilização; e
• Princípio da prestação de contas.

O princípio da necessidade — que exige que apenas os dados estritamente necessários à finalidade declarada sejam coletados — é frequentemente violado por empresas que coletam dados em excesso por hábito ou conveniência, sem avaliar sua real necessidade.

A quem se aplica: porte, setor e origem não importam

O critério de aplicação da LGPD não é o porte da empresa, o setor de atuação, a forma jurídica ou a origem do capital.

O critério é a operação de tratamento: qualquer pessoa natural ou jurídica, de direito público ou privado, que realize tratamento de dados pessoais estará sujeita à lei, desde que a operação seja realizada no território nacional, que o tratamento tenha por objetivo a oferta de bens ou serviços a pessoas no Brasil, ou que os dados tratados tenham sido coletados no Brasil (artigo 3º).

Há exceções: tratamento realizado por pessoa natural para fins exclusivamente particulares e não econômicos, tratamento para fins jornalísticos, artísticos ou acadêmicos (com restrições), e tratamento para fins de segurança pública e defesa nacional têm regimes específicos ou são parcialmente excluídos do âmbito da lei.

Para o universo empresarial, essas exceções têm aplicação residual.

A LGPD vale para empresas estrangeiras que operam no Brasil?

Sim!

O artigo 3º, incisos II e III, da LGPD estabelece sua aplicação extraterritorial: a lei incide sobre o tratamento realizado por empresa estrangeira quando a atividade de tratamento destina-se à oferta de bens ou serviços a pessoas localizadas no território nacional, ou quando os dados objeto do tratamento foram coletados no Brasil.

Plataformas digitais estrangeiras, empresas de e-commerce com operações no Brasil e prestadores de serviços SaaS com clientes brasileiros estão sujeitos à lei — independentemente de terem ou não estabelecimento físico no país.

Essa extraterritorialidade tem implicação direta para empresas brasileiras que contratam fornecedores estrangeiros de tecnologia: ao transferir dados de clientes brasileiros para servidores ou sistemas operados fora do Brasil, a empresa brasileira — na qualidade de controladora — continua responsável pela conformidade do tratamento, incluindo a adequação da transferência internacional de dados nos termos dos artigos 33 a 36 da LGPD.

Quais são as obrigações das empresas sob a LGPD

As obrigações das empresas sob a LGPD são as seguintes:

• Mapeamento de dados: o ponto de partida obrigatório;
• Base legal para o tratamento: as hipóteses do artigo 7º;
• Transparência e aviso de privacidade;
• Direitos dos titulares e o prazo de resposta;
• Medidas de segurança técnica e administrativa.

Mapeamento de dados: o ponto de partida obrigatório

Antes de qualquer medida de conformidade, a empresa precisa saber quais dados pessoais trata, por que os trata, onde estão armazenados, por quanto tempo são mantidos e quem tem acesso a eles.

Esse inventário — frequentemente chamado de mapeamento de dados ou data mapping — é o documento base de qualquer programa de conformidade com a LGPD.

Sem ele, é impossível identificar quais bases legais se aplicam a cada operação, quais dados são desnecessários e devem ser eliminados, e quais fluxos de dados envolvem terceiros que precisam ser contratualmente comprometidos com a conformidade.

O mapeamento deve ser um documento vivo: atualizado sempre que novos sistemas são implementados, novos dados são coletados ou novas finalidades são adotadas.

Empresas que realizam o mapeamento uma vez e o arquivam sem revisão periódica estão em conformidade apenas formal — e podem ser surpreendidas por uma fiscalização que revele divergências entre o mapeamento declarado e as operações reais.

Base legal para o tratamento: as hipóteses do artigo 7º

Toda operação de tratamento de dados pessoais deve estar amparada em uma das dez bases legais previstas no artigo 7º da LGPD.

As mais relevantes para o contexto empresarial são:

• Consentimento do titular (inciso I);
• Cumprimento de obrigação legal ou regulatória (inciso II);
• Execução de contrato do qual o titular é parte (inciso V);
• Exercício regular de direitos em processo judicial, administrativo ou arbitral (inciso VI); e
• Legítimo interesse do controlador (inciso IX).

A escolha da base legal não é discricionária: deve refletir a realidade da operação de tratamento.

O consentimento, embora intuitivo, é a base legal mais frágil — porque é revogável a qualquer tempo pelo titular, o que pode inviabilizar operações que dependam da continuidade do tratamento.

O legítimo interesse, por outro lado, é a base mais flexível, mas exige que a empresa documente o balanceamento entre seu interesse legítimo e os direitos e expectativas dos titulares — um exercício que muitas empresas negligenciam.

Para dados sensíveis — dados sobre saúde, origem racial ou étnica, convicção religiosa, opinião política, filiação sindical, dado genético ou biométrico, vida sexual — as bases legais aplicáveis são mais restritas, previstas no artigo 11 da LGPD, e o nível de rigor exigido é substancialmente maior.

Transparência e aviso de privacidade

O artigo 9º da LGPD exige que o controlador informe o titular, de forma clara e adequada, sobre a finalidade do tratamento, a forma e duração do tratamento, a identidade do controlador, as informações de contato do encarregado de dados, o uso compartilhado dos dados e as responsabilidades dos agentes envolvidos, além dos direitos do titular.

Essa obrigação materializa-se principalmente na Política de Privacidade, um documento público que deve ser acessível e compreensível para o público-alvo da empresa.

A política de privacidade que simplesmente reproduz o texto da lei, sem descrever as operações concretas de tratamento da empresa, não cumpre a obrigação de transparência.

A ANPD tem orientado que o documento deve ser específico, preciso e calibrado para o nível de sofisticação do público da empresa — o que, para plataformas B2C com usuários leigos, implica linguagem acessível e estrutura que facilite a compreensão.

Direitos dos titulares e o prazo de resposta

O artigo 18 da LGPD confere aos titulares um rol de direitos que as empresas são obrigadas a atender:

• Confirmação da existência de tratamento;
• Acesso aos dados;
• Correção de dados incompletos ou desatualizados;
• Anonimização;
• Bloqueio ou eliminação de dados desnecessários;
• Portabilidade dos dados;
• Informação sobre compartilhamento com terceiros;
• Revogação do consentimento; e
• Revisão de decisões automatizadas.

O atendimento deve ser gratuito e facilitado.

A ANPD regulamentou que o prazo para resposta a solicitações de titulares é de 15 dias corridos para confirmação de existência de tratamento, prorrogável por igual período mediante justificativa.

Empresas que não têm um processo estruturado para receber, triagem e responder a essas solicitações correm o risco de incorrer em infração mesmo sem ter causado dano direto ao titular.

Medidas de segurança técnica e administrativa

O artigo 46 da LGPD exige que os agentes de tratamento adotem medidas de segurança técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão.

A lei não especifica as medidas exatas — o que é intencional, para permitir adequação tecnológica ao longo do tempo — mas o padrão exigido é o das “melhores práticas de mercado” para o porte e o risco da operação.

Na prática, medidas mínimas esperadas incluem:

• Criptografia de dados em trânsito e em repouso;
• Controle de acesso baseado em perfis e com autenticação adequada ao nível de sensibilidade dos dados;
• Registro de auditoria das operações de tratamento;
• Política de backup e recuperação; e
• Plano de resposta a incidentes de segurança.

Empresas que processam dados sensíveis ou dados de crianças e adolescentes devem adotar controles adicionais proporcionais ao risco elevado dessas categorias.

LGPD para pequenas empresas: há tratamento diferenciado?

A LGPD, em sua redação original, não estabelece exceções por porte.

O artigo 55-J, XVIII, atribui à ANPD competência para editar regulamentos e procedimentos simplificados para microempresas e empresas de pequeno porte.

A ANPD exerceu parcialmente essa competência ao publicar o Regulamento de Tratamento de Dados Pessoais por Agentes de Pequeno Porte (Resolução CD/ANPD nº 2/2022), que simplifica algumas obrigações para microempresas, empresas de pequeno porte, startups e pessoas naturais que tratam dados como atividade econômica.

As principais simplificações incluem:

• Dispensa do Relatório de Impacto à Proteção de Dados Pessoais (RIPD) em determinadas hipóteses;
• Possibilidade de indicação de encarregado externo; e
• Registros de operações de tratamento em formato simplificado.

O regime não dispensa, porém, as obrigações de base legal, transparência, segurança, atendimento a titulares e comunicação de incidentes — que se aplicam a todos os agentes de tratamento independentemente do porte.

Por onde começar sem estrutura de compliance dedicada?

Para empresas de menor porte sem equipe jurídica interna, o ponto de partida prático é um mapeamento simplificado que responda a quatro perguntas:

• Quais dados pessoais a empresa coleta;
• De quem são esses dados (clientes, funcionários, fornecedores);
• Para que finalidade são usados; e
• Onde estão armazenados.

Com esse diagnóstico mínimo, é possível identificar as operações de maior risco — tratamento de dados sensíveis, compartilhamento com terceiros, coleta de dados de menores — e priorizar as medidas de conformidade com base no risco real, e não em um roteiro genérico.

A contratação de assessoria jurídica especializada para a fase de diagnóstico e estruturação do programa de conformidade é, em geral, mais eficiente do que a tentativa de construção interna sem orientação técnica — especialmente para empresas que tratam dados em escala ou em setores regulados.

O custo de um processo de adequação bem estruturado é invariavelmente inferior ao custo de uma sanção da ANPD ou de uma ação civil movida por um titular prejudicado.

Sanções da LGPD: o que a ANPD pode aplicar e como tem atuado?

As sanções administrativas aplicáveis pela ANPD estão previstas no artigo 52 da LGPD e incluem, em ordem crescente de gravidade:

• Advertência com prazo para adoção de medidas corretivas;
• Multa simples de até 2% do faturamento da pessoa jurídica de direito privado no Brasil, limitada a R$50 milhões por infração;
• Multa diária, observado o mesmo limite;
• Publicização da infração após devidamente apurada e confirmada;
• Bloqueio dos dados pessoais a que se refere a infração até sua regularização;
• Eliminação dos dados pessoais; e
• Suspensão parcial do banco de dados por até seis meses, prorrogável por igual período.

A proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados é a sanção de última instância, reservada para casos de especial gravidade.

A dosimetria das sanções considera, entre outros fatores:

• A gravidade e a natureza das infrações e dos direitos pessoais afetados;
• A boa-fé do infrator;
• A adoção de medidas corretivas;
• O grau de dano;
• A situação econômica do infrator;
• A reincidência; e
• A adoção de política de boas práticas e governança (artigo 52, parágrafo 1º).

A existência de programa de conformidade documentado e funcional é, portanto, fator atenuante real — não apenas formal.

Como a ANPD tem atuado na prática?

A ANPD iniciou sua atividade fiscalizatória de forma gradual e prioritária em relação a setores e infrações de maior impacto.

Os primeiros processos administrativos sancionatórios concentraram-se em casos de incidente de segurança com exposição massiva de dados e em situações de descumprimento do direito de acesso pelos titulares.

A Autoridade também tem atuado por meio de fiscalizações temáticas setoriais, incluindo o setor financeiro, de telecomunicações e de saúde — setores que tratam dados em larga escala e frequentemente processam dados sensíveis.

Além das sanções administrativas, a ANPD celebrou termos de compromisso com agentes de tratamento em situações de infração menos graves, condicionando o encerramento do processo à adoção de medidas corretivas específicas.

Essa prática indica que a Autoridade privilegia a correção do comportamento sobre a punição em primeira instância — o que reforça a importância de o agente de tratamento demonstrar boa-fé e disposição para adequação quando instado pela ANPD.

Responsabilidade civil direta: o titular pode processar a empresa?

Paralelamente à via administrativa, o artigo 42 da LGPD confere ao titular de dados o direito de requerer indenização por danos patrimoniais, morais, individuais ou coletivos decorrentes de violação à lei pelo agente de tratamento.

A responsabilidade é objetiva para o controlador que causar dano em razão do exercício de atividade de tratamento de dados, o que significa que o titular não precisa provar culpa, apenas o nexo causal entre a violação e o dano.

O controlador pode eximir-se de responsabilidade apenas se provar que não realizou o tratamento que lhe é atribuído; que, embora tenha realizado o tratamento, não houve violação à legislação de proteção de dados; ou que o dano é decorrente de culpa exclusiva do titular ou de terceiro (artigo 43).

A inversão do ônus da prova em desfavor do controlador é um elemento que torna o risco de litígios especialmente relevante para empresas que tratam dados em volume ou que processam dados sensíveis.

Os benefícios da LGPD para as empresas: além da conformidade

Para as empresas, a LGPD traz uma série de benefícios:

• Redução de risco jurídico e reputacional;
• Vantagem competitiva em contratos com grandes empresas e o setor público;
• Governança corporativa e ESG.

Redução de risco jurídico e reputacional

A conformidade com a LGPD é, antes de tudo, gestão de risco.

Empresas que estruturam seu programa de proteção de dados reduzem a exposição a sanções administrativas, a ações civis e ao risco reputacional decorrente de incidentes de segurança.

Um vazamento de dados que expõe informações de clientes gera consequências que vão além da sanção da ANPD: cobertura negativa na imprensa, perda de clientes, questionamentos de parceiros comerciais e, em setores regulados, interesse de outras autoridades.

A prevenção é invariavelmente menos custosa que a gestão de crise.

Vantagem competitiva em contratos com grandes empresas e o setor público

Grandes corporações e entidades do setor público têm incorporado exigências de conformidade com a LGPD em seus processos de due diligence de fornecedores.

Empresas que não podem demonstrar um programa mínimo de proteção de dados — política de privacidade atualizada, DPA disponível para assinatura, mecanismo de atendimento a titulares — estão sendo eliminadas de processos seletivos em que esse critério é avaliado.

Para startups e empresas de médio porte que aspiram a contratos com grandes clientes corporativos ou com o poder público, a conformidade com a LGPD é um requisito de acesso ao mercado, não uma opção.

Governança corporativa e ESG

A proteção de dados pessoais integra progressivamente os critérios de avaliação ESG (Environmental, Social and Governance) adotados por investidores, fundos e parceiros estratégicos.

A dimensão “S” do ESG — fatores sociais — abrange diretamente a forma como a empresa trata as informações das pessoas com quem interage.

Empresas que demonstram maturidade em governança de dados, com políticas documentadas, processos estruturados e histórico de conformidade, estão melhor posicionadas em avaliações de due diligence para fusões e aquisições, captação de investimentos e parcerias estratégicas.

Como estruturar a conformidade: etapas práticas

Diagnóstico inicial: inventário de dados e fluxos de tratamento

O ponto de partida é um diagnóstico abrangente das operações de tratamento de dados da empresa.

Esse diagnóstico deve mapear:

• Quais dados pessoais são coletados e de quais categorias (comuns ou sensíveis);
• As finalidades de cada operação de tratamento;
• As bases legais correspondentes;
• Os fluxos de dados — incluindo compartilhamentos com terceiros e transferências internacionais;
• Os prazos de retenção; e
• As medidas de segurança existentes.

O resultado é um inventário que funciona como linha de base para o programa de conformidade e como documento de evidência em eventual fiscalização.

Nomeação do Encarregado de Dados (DPO)

O Encarregado de Dados é o canal de comunicação entre o controlador, os titulares e a ANPD (artigo 41 da LGPD).

Suas atribuições incluem aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências; receber comunicações da ANPD e adotar providências; orientar os funcionários sobre as práticas de proteção de dados; e executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.

O encarregado pode ser pessoa física ou jurídica, com vínculo empregatício ou não — o que permite a empresas de menor porte recorrer a um assessor jurídico externo especializado para cumprir essa obrigação.

Política de privacidade, termos de uso e contratos com fornecedores

A adequação documental abrange três camadas.

A primeira é externa — voltada aos titulares de dados: política de privacidade, aviso de cookies, termos de uso e formulários de coleta de dados com as informações exigidas pelo artigo 9º da LGPD.

A segunda é interna — voltada aos colaboradores: política de segurança da informação, código de conduta para tratamento de dados e treinamentos periódicos.

A terceira é contratual — voltada aos fornecedores e parceiros que atuam como operadores: os contratos devem incluir cláusulas de proteção de dados que vinculem o operador às instruções do controlador e prevejam as obrigações de segurança, notificação de incidentes e eliminação de dados ao término da relação.

O uso de ferramentas de inteligência artificial no processamento de dados de clientes é um contexto que exige atenção especial a essa camada contratual — tema que abordamos em profundidade em nosso artigo sobre inteligência artificial na advocacia e a proteção de dados dos clientes, com análise das cláusulas essenciais em contratos com fornecedores de IA.

Plano de resposta a incidentes

O artigo 48 da LGPD obriga o controlador a comunicar à ANPD e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares.

A ANPD regulamentou esse dever por meio da Resolução CD/ANPD nº 4/2023, que estabelece prazo de três dias úteis para a comunicação inicial.

Empresas sem plano de resposta a incidentes dificilmente conseguem cumprir esse prazo — e a comunicação tardia é circunstância agravante expressamente prevista na lei.

Um plano de resposta a incidentes deve definir:

• Os responsáveis pela detecção e classificação do incidente;
• O fluxo de comunicação interna e externa;
• Os critérios para avaliação do risco e da relevância do incidente;
• O conteúdo mínimo da comunicação à ANPD e aos titulares; e
• As medidas de contenção e remediação.

A existência e a efetividade desse plano são avaliadas pela ANPD em processos de fiscalização e são consideradas na dosimetria das sanções.

O papel do assessor jurídico especializado

A conformidade com a LGPD não é tarefa exclusivamente técnica — é, fundamentalmente, jurídica.

A identificação da base legal correta para cada operação de tratamento, a estruturação dos contratos com fornecedores, a análise de transferências internacionais de dados, a avaliação de risco em novas funcionalidades e a resposta a fiscalizações da ANPD são atividades que requerem conhecimento jurídico especializado em proteção de dados.

O assessor jurídico que atua preventivamente no processo de adequação reduz o risco de infrações e posiciona a empresa para responder com eficiência a eventuais questionamentos regulatórios.

Para uma avaliação da situação específica de sua empresa, entre em contato com um profissional de confiança.

Perguntas frequentes

A LGPD se aplica à minha empresa se eu só trato dados de funcionários?

Sim! A LGPD não distingue o tipo de titular cujos dados são tratados: dados de funcionários, clientes, fornecedores e parceiros estão todos sujeitos à lei. O tratamento de dados de colaboradores — folha de pagamento, controle de ponto, benefícios, saúde ocupacional — deve observar base legal, transparência e segurança nos mesmos termos que os dados de clientes. Para dados de saúde dos trabalhadores, aplicam-se as regras mais rigorosas do artigo 11 da LGPD, que rege dados sensíveis.

Qual a diferença entre controlador e operador de dados?

O controlador é quem decide sobre o tratamento — define finalidade e meios. O operador é quem realiza o tratamento em nome do controlador, seguindo suas instruções. A empresa que coleta dados de clientes é controladora; o fornecedor de software que processa esses dados em nome da empresa é operador. Ambos respondem por danos causados por violações à LGPD, mas com regimes de responsabilidade distintos: o controlador responde objetivamente; o operador responde quando descumprir a legislação ou as instruções do controlador.

Toda empresa precisa ter um DPO?

A LGPD exige a indicação de Encarregado de Dados para todos os controladores e operadores. A ANPD prevê simplificações para agentes de pequeno porte, incluindo a possibilidade de encarregado externo. A dispensa total não está regulamentada. Para empresas de menor porte, a solução mais comum e eficiente é a indicação de um assessor jurídico especializado como encarregado externo, com as obrigações definidas em contrato de prestação de serviços.

Qual a importância da LGPD para as empresas na prática?

A LGPD importa em três dimensões:

• Risco jurídico: violações podem resultar em sanções da ANPD de até 2% do faturamento (limitadas a R$50 milhões por infração) e em ações civis movidas por titulares;
• Risco reputacional: incidentes de segurança com dados de clientes geram cobertura negativa e erosão de confiança;
• Vantagem competitiva: empresas com conformidade demonstrável têm vantagem em licitações públicas e em contratos com grandes corporações que exigem due diligence de dados de seus fornecedores.

O que acontece se minha empresa sofrer um vazamento de dados?

Em caso de incidente de segurança com dados pessoais, a empresa tem obrigação de comunicar à ANPD e aos titulares afetados no prazo de três dias úteis para a comunicação inicial, conforme a Resolução CD/ANPD nº 4/2023. A comunicação tardia ou omissa é circunstância agravante na dosimetria das sanções. Além disso, a empresa fica exposta a ações de responsabilidade civil pelos titulares que comprovem dano, com inversão do ônus da prova em seu desfavor.

A LGPD se aplica a dados de pessoas jurídicas?

Não diretamente! A LGPD protege dados pessoais de pessoas naturais identificadas ou identificáveis (artigo 5º, I). Dados exclusivamente de pessoas jurídicas não estão sujeitos à lei. Contudo, quando dados de empresas estão associados a pessoas físicas identificáveis — nome do sócio, e-mail corporativo com nome, dados do representante legal — a proteção da LGPD incide sobre essa dimensão individual, mesmo que o contexto seja empresarial.

Conclusão

Conformidade com a LGPD não é custo burocrático — é gestão de risco com retorno mensurável.

A empresa que estrutura seu programa de proteção de dados reduz sua exposição a sanções administrativas, ações civis e danos reputacionais; melhora sua posição competitiva em processos seletivos com grandes clientes; e fortalece sua governança corporativa em um ambiente de negócios em que a responsabilidade pelo tratamento de dados pessoais é progressivamente exigida e escrutinada.

O processo de adequação não é linear nem se conclui em um único projeto: é uma jornada contínua de avaliação, ajuste e documentação.

Empresas que tratam isso como obrigação pontual — e não como processo permanente — estão em conformidade apenas no papel.

A profundidade e a sustentabilidade do programa de conformidade são, ao final, o que distingue o risco gerenciado do risco latente.