LGPD para empresas pequenas: o mínimo que evita multa

A LGPD entrou em vigor em 2020. Até 2023, a Autoridade Nacional de Proteção de Dados (ANPD) basicamente orientava. De 2024 em diante, começou a multar - e não só os gigantes. Pequenas empresas, escolas particulares, clínicas, escritórios de advocacia, e-commerces de bairro têm aparecido nos boletins da ANPD com sanções que vão de R$ 20 mil a R$ 300 mil.

O recado é claro: LGPD não é coisa de grande empresa. É coisa de empresa que processa dado pessoal - e isso inclui praticamente todas.

A boa notícia: pra PME, a ANPD não exige nem espera o nível de sofisticação de um banco. O que ela espera é evidência de diligência razoável. E diligência razoável cabe em 5 controles bem feitos.

Antes dos 5 controles: a pergunta que ninguém faz

"Que dado pessoal a gente trata, na prática?"

Empresa pequena costuma achar que trata "pouca coisa". Aí lista:

• Cadastro de clientes (CPF, endereço, telefone, email)
• Folha de pagamento (CPF, dados bancários, dependentes, atestados médicos)
• Currículos recebidos (mesmo de candidatos não contratados)
• Câmeras de segurança (imagem é dado pessoal sensível)
• Cookies do site (mesmo que só Google Analytics)
• Lista de email marketing (mesmo lista antiga não usada)

Em 30 minutos, a "pouca coisa" virou um inventário relevante. Esse inventário é o ponto zero - sem ele, nenhum controle funciona.

Controle 1: Mapeamento de dados (RIPD básico)

RIPD = Registro de Operações de Tratamento de Dados. Soa pomposo. Pra PME, é uma planilha de 7 colunas:

1. Que dado a gente coleta?
2. De quem? (cliente, funcionário, candidato, fornecedor)
3. Pra qual finalidade?
4. Qual a base legal? (consentimento, contrato, obrigação legal, interesse legítimo)
5. Onde fica armazenado? (sistema, planilha, drive, papel)
6. Quem tem acesso?
7. Por quanto tempo retém?

Esse documento sozinho responde 60% do que um auditor da ANPD perguntaria. E é a coisa mais comum de não existir nas PMEs que olho.

Controle 2: Política de privacidade visível

Tem que ter, e tem que estar acessível. Não a "Política de Privacidade copiada do site do concorrente" - mas uma que reflita as operações reais da empresa.

Pontos mínimos: que dados são coletados, com qual finalidade, com quem são compartilhados, por quanto tempo são guardados, e como o titular pode exercer seus direitos (acessar, corrigir, excluir, portar).

Se você tem site, a política precisa estar linkada do rodapé. Se você coleta dado em loja física, formulário em papel, ou app, a forma de acesso à política precisa estar visível ali.

Controle 3: Canal do titular

A LGPD dá ao titular do dado (cliente, ex-cliente, funcionário) direitos específicos: pedir confirmação de tratamento, pedir cópia, pedir correção, pedir exclusão, retirar consentimento.

A empresa precisa ter um canal acessível pra receber essas solicitações - e responder em até 15 dias. Pra PME, isso pode ser:

• Um email dedicado: privacidade@suaempresa.com.br
• Formulário no site
• Encarregado (DPO) nomeado, mesmo que não exclusivo

O importante: ter canal, ter responsável definido, ter prazo respeitado, e registrar cada solicitação recebida. Esse log é evidência crítica em caso de fiscalização.

Controle 4: Contratos com fornecedores que processam dados

Aqui mora um risco que PME quase sempre subestima.

Sua empresa contrata um sistema de email marketing? Folha de pagamento terceirizada? CRM em nuvem? Câmeras de segurança gerenciadas externamente? Cada um desses fornecedores está processando dado pessoal em seu nome - e a LGPD te responsabiliza pelo que eles fazem.

Pra cobrir isso, todo contrato com operador de dados precisa ter cláusula específica de LGPD - definindo finalidade, segurança mínima, prazo, e procedimento em caso de incidente.

Empresa pequena pode usar um modelo de aditivo de proteção de dados - mas precisa existir e estar assinado. Sem isso, você é responsável solidária pelo que o fornecedor fizer errado.

Controle 5: Plano de resposta a incidentes

O quinto é o que mais empresa nenhuma tem - e é o que mais multa quando dá errado.

Vazamento de dado vai acontecer. Estatisticamente, em algum momento, vai. O que importa pra ANPD é como você responde.

O plano mínimo precisa ter:

• Quem é acionado primeiro? (DPO, jurídico, segurança)
• Em que prazo a ANPD precisa ser notificada? (em geral, "em prazo razoável", normalmente 2 dias úteis)
• Como os titulares afetados são informados?
• Que registro fica documentado do incidente e da resposta?

Isso cabe em uma página. E é a página que pode dividir uma multa pesada de uma orientação leve.

O que IA muda nesse fluxo

Até pouco tempo, fazer LGPD direito custava - escritório especializado começa em R$ 30k pro pacote inicial pra PME, e R$ 5-15k/mês de manutenção. Pra empresa de 30 funcionários, é caro demais.

O que mudou: agentes de IA conseguem hoje guiar o levantamento (mapeamento), gerar minutas de política, sugerir cláusulas contratuais e manter o RIPD atualizado. Não substitui advogado especialista pra casos complexos - mas resolve 80% do que uma PME precisa, a custo de SaaS.

Na nossa solução de LGPD, o Benjamin opera o ciclo completo - mapeamento, RIPD, política de privacidade, canal do titular e plano de resposta - amarrado a evidência versionada. O que viraria projeto de 6 meses, vira setup guiado de 2 semanas.

O ponto-chave

LGPD pra PME não é sobre virar perfeito. É sobre existir documentalmente. Empresa que tem o RIPD básico, política coerente, canal funcional, contrato com fornecedor e plano de incidente está em posição muito melhor que 90% do mercado.

O risco real não é a multa máxima de R$ 50 milhões. É a multa proporcional de R$ 30-100 mil que mata caixa de PME, somada a danos de imagem e à perda do cliente que reclamou em primeiro lugar.

Adiar não é mais opção. Mas resolver também não precisa ser projeto monstro.