Quando o assunto é LGPD, a conversa quase sempre começa pela multa. Faz sentido - é o que aparece na manchete. "ANPD pode multar até R$ 50 milhões." Bom pra título de matéria, péssimo pra avaliação de risco real de uma PME.
A multa máxima quase nunca é o problema. O custo real de não fazer LGPD é uma soma de cinco fatores - e a multa, em geral, é o menor deles.
Os 5 custos reais
1. A multa propriamente dita
A LGPD prevê três tipos de sanção: advertência, multa simples (até 2% do faturamento, limitada a R$ 50M por infração) e multa diária. PME que sofreu primeira sanção pública da ANPD recebeu multa entre R$ 14k e R$ 30k - longe do teto, mas relevante pra empresa pequena.
Importante: ANPD costuma adotar tratamento pedagógico antes da multa - se houver evidência de boa-fé e tentativa de adequação. Empresa sem qualquer documento de conformidade não consegue invocar boa-fé.
2. Custo de tratar o incidente
Vazamento ou exposição de dado é onde o tombo é grande. Pra PME média (50-300 funcionários), um incidente custa tipicamente:
- Resposta forense / análise técnica: R$ 30-150k
- Notificação aos titulares afetados: R$ 5-30k (depende do volume)
- Assessoria jurídica especializada: R$ 50-200k
- Remediação técnica (corrigir falha): R$ 30-300k
- Eventual licença de software de monitoramento de identidade pra titulares: R$ 20-100k
Total típico de um incidente: R$ 150k a R$ 800k. Sem incluir multa.
3. Perda de cliente
Aqui mora o custo mais subestimado. Cliente B2B sério hoje pede evidência de conformidade LGPD em processo de homologação. Empresa sem RIPD, sem política, sem encarregado, é desclassificada antes mesmo da concorrência técnica.
Cenários reais que vejo:
- Empresa pequena perde contrato de 6 dígitos com cliente grande por não ter LGPD documentada
- Vendor que processa dado de paciente perde credenciamento em hospital após auditoria descobrir falta de controles
- Fornecedor de serviços de RH (folha, benefícios) perde grupo de empresas após uma delas exigir adequação contratual LGPD que ele não conseguiu cumprir
Perda de cliente único pode dizimar 5-15% da receita anual. É o custo mais silencioso porque não vira manchete - mas é o mais frequente.
4. Ação civil pública e indenização individual
O Ministério Público começou a usar LGPD como base pra ações civis públicas. Já há casos de empresas pequenas alvo de TAC (Termo de Ajustamento de Conduta) com obrigações específicas e multa por descumprimento.
No nível individual, titulares prejudicados podem mover ação por dano moral. Valores típicos no Brasil pra dano moral relacionado a vazamento de dado: R$ 3-15k por titular afetado. Em vazamento de mil registros, isso vira potencial R$ 3-15M.
Esses valores raramente saem - empresa fecha acordo bem antes - mas o acordo é em si um custo significativo.
5. Dano de imagem
O custo mais difícil de quantificar e potencialmente o maior. Vazamento ou denúncia LGPD vira matéria local, post viral, comentário em rede social. Cliente individual lê e migra pra concorrente.
Empresa B2C costuma ver queda de 5-15% em conversão por 6-12 meses após exposição. Empresa B2B sente em ciclo de vendas mais longo - prospecto que tinha empresa em consideração some quando pesquisa o nome no Google.
O cálculo agregado
Vamos juntar pra um caso típico - PME de 100 funcionários, B2B, processando dado de cliente e funcionário, sem nenhuma estrutura LGPD:
| Custo | Probabilidade em 5 anos | Valor médio | Custo esperado |
|---|---|---|---|
| Multa ANPD | 15% | R$ 50k | R$ 7,5k |
| Tratamento de incidente | 30% | R$ 350k | R$ 105k |
| Perda de cliente | 40% | R$ 200k | R$ 80k |
| Ação ou indenização | 10% | R$ 150k | R$ 15k |
| Dano de imagem | 25% | R$ 100k | R$ 25k |
| Total esperado em 5 anos | ~R$ 232k |
Esses números são estimativos e variam por setor, porte e exposição. Mas a ordem de grandeza é defensável: empresa nessa categoria tem custo esperado em LGPD de cerca de R$ 200-300k em 5 anos se não fizer nada.
O que custa fazer
Pra empresa do mesmo porte, fazer LGPD razoavelmente bem custa:
- Setup inicial (mapeamento, RIPD, política, contratos, plano de incidente): R$ 30-80k via consultoria, ou R$ 5-15k via plataforma com IA
- Manutenção anual: R$ 20-60k via consultoria, ou R$ 6-20k via SaaS
- 5 anos: R$ 130-380k consultoria, ou R$ 35-95k SaaS
O custo de fazer é uma fração do custo esperado de não fazer. E - mais importante - elimina o risco de cauda longa (multa máxima, vazamento gigante).
O ponto-chave
LGPD não é despesa. É seguro contra eventos raros e caros. A pergunta certa não é "vale a pena pagar?" - é "vale a pena ficar exposto?".
Empresa com LGPD em ordem dorme melhor. E quando o evento acontece - porque vazamento eventualmente acontece - ela responde rápido, contém o estrago, e sai com sanção pedagógica em vez de multa real.
Empresa sem nada documentado, no mesmo evento, paga o pacote completo: multa, custo de incidente, cliente perdido, ação civil, dano de imagem.
Sua empresa está exposta?
Diagnóstico LGPD em 5 minutos. Identifica os principais gaps de conformidade e gera plano priorizado com base no risco real - financeiro e reputacional.
Diagnóstico LGPD Solução LGPD