Pequenas e médias empresas também precisam se adequar à LGPD

terça-feira, 7 de abril de 2026

Existe um mito persistente no mercado de que a LGPD é coisa de empresa grande. Que PMEs (Pequenas e Médias Empresas) ficam de fora ou têm obrigações reduzidas. Isso não é verdade e continua custando caro para quem acredita nisso.

A LGPD se aplica a qualquer empresa que realize tratamento de dados pessoais no Brasil, independentemente do porte, desde que as atividades se enquadrem nas hipóteses da lei. A Resolução CD/ANPD nº 2/2022 criou um regime diferenciado para agentes de pequeno porte, com algumas flexibilizações procedimentais, como a dispensa de indicação formal de encarregado e prazos diferenciados para atendimento de solicitações de titulares, mas as obrigações centrais da LGPD continuam se aplicando integralmente.

O que muda para as PMEs é principalmente a forma e a profundidade da implementação. Uma empresa com 20 colaboradores não precisa de um escritório de privacidade com equipe dedicada. Mas precisa saber quais dados trata, ter uma base legal para cada tratamento, informar seus clientes e colaboradores sobre o uso dos dados e ter um processo mínimo para responder a solicitações de titulares. Isso é o básico e o básico ainda falta em boa parte das empresas.

Na prática, os pontos mais críticos para PMEs costumam ser três: o compartilhamento de dados com fornecedores sem qualquer cláusula contratual de proteção; o uso de ferramentas de terceiros (CRMs, plataformas de marketing, armazenamento em nuvem) sem avaliar minimamente quem está atuando como operador; e a ausência de qualquer canal ou procedimento para atender um titular que queira saber o que a empresa faz com seus dados.

Esses não são problemas caros de resolver. São problemas de organização e de cultura de privacidade.

A boa notícia é que a implementação para empresas menores pode ser mais ágil e menos custosa do que parece. Com um bom mapeamento dos dados tratados, cláusulas contratuais adequadas com fornecedores-chave, políticas compatíveis com o contexto da empresa e um fluxo básico de resposta a incidentes e solicitações de titulares, já é possível alcançar um nível razoável de conformidade. Não estou falando aqui de perfeição, mas de proporcionalidade.

A ANPD já demonstrou que o porte é um fator de dosimetria de sanções, não uma imunidade. A Resolução CD/ANPD nº 4/2023, que trata da dosimetria das penalidades, prevê o porte da empresa como critério de graduação, mas não como condição de isenção. Portante, a empresa pode pagar menos, mas ainda pode ser autuada e responsabilizada.