LGPD para PMEs: o guia definitivo para começar certo e evitar multas

Guia prático de LGPD para PMEs: passos essenciais, prioridades de risco, modelos e checklist para iniciar com segurança e evitar multas da ANPD.

Beatriz Hilkner

1/26/20266 min read

Para pequenas e médias empresas, a LGPD não é “coisa de big tech”. Ela impacta vendas, marketing, RH, contratos, atendimento e finanças. A boa notícia: conformidade é perfeitamente viável com prazos, escopo e custos realistas — desde que você comece com método e foco no risco.

A seguir, um guia prático, direto ao ponto, para você iniciar do jeito certo, construir evidências e reduzir o risco de sanções da ANPD, ações judiciais e perda de contratos.

Por que PMEs não podem adiar

  • Clientes exigem: grandes empresas e marketplaces cobram cláusulas de privacidade e auditorias.

  • Multas e sanções: a ANPD pode aplicar advertência, multa (até 2% do faturamento, limitada a R$ 50 milhões por infração), publicização da infração, bloqueio e eliminação de dados (LGPD, art. 52).

  • Reputação e vendas: incidentes e descumprimentos afetam confiança e conversão.

  • Eficiência: dados bem governados reduzem retrabalho, vazamentos e decisões erradas.

O “mínimo viável” que a LGPD exige

  • Princípios (art. 6º): finalidade, adequação, necessidade, transparência, segurança, prevenção, não discriminação e responsabilização.

  • Bases legais (art. 7º e art. 11 para dados sensíveis): defina a base antes de coletar.

  • Direitos dos titulares (art. 18): processos para atender solicitações em prazo razoável.

  • Segurança (art. 46): medidas técnicas e administrativas proporcionais ao risco.

  • Encarregado/DPO (art. 41): contato com titulares e ANPD, salvo exceções de agentes de pequeno porte.

  • Relato de incidentes (art. 48): comunicar à ANPD e aos titulares quando cabível.

  • Contratos com operadores (controlador x operador – art. 5º, VI e VII): obrigações claras de segurança e apoio a direitos.5

Atenção agentes de pequeno porte (PMEs): a Resolução CD/ANPD nº 2/2022 prevê simplificações (ex.: registros e RIPD simplificados, prazos estendidos e possível dispensa de DPO), mas não afasta obrigações de segurança, transparência e atendimento a titulares. Em tratamentos de alto risco, a simplificação pode não se aplicar.

Os erros que mais geram risco e sanções

  1. Coleta excessiva e sem finalidade clara (violação de necessidade e adequação).

  2. Marketing sem base legal adequada (consentimento inválido ou legítimo interesse sem LIA).

  3. Falta de política de privacidade e de transparência nos canais digitais.

  4. Terceiros sem contrato adequado (subcontratados descontrolados).

  5. Ausência de segurança básica (MFA, criptografia, backups, gestão de acessos).

  6. Ignorar direitos dos titulares e prazos de resposta.

  7. Não registrar e reportar incidentes relevantes.

  8. Não possuir evidências: “fazemos”, mas nada está documentado.

Roteiro de 90 dias para PMEs

Dias 0–30: Fundamentos e mapeamento

  • Patrocínio e escopo: defina responsável, áreas-alvo e objetivos.

  • Inventário de dados: mapeie fontes, sistemas, planilhas, formulários, campanhas, RH, fornecedores.

  • Registro de operações (ROPA) simplificado: quem trata, o quê, por quê, onde, por quanto tempo e com quem compartilha.

  • Matriz de bases legais:

    • Vendas/atendimento: execução de contrato ou procedimentos preliminares.

    • Faturamento/cobrança: obrigação legal.

    • Marketing direto: consentimento ou legítimo interesse com teste LIA e opt-out claro.

    • RH: obrigação legal, execução de contrato e proteção do crédito; dados sensíveis com hipóteses do art. 11.

  • Análise de riscos: identifique riscos altos (dados sensíveis, grande volume, crianças, geolocalização, saúde, biometria, incidentes recentes).

Entregáveis:

  • ROPA simplificado

  • Mapa de dados por processo

  • Matriz de bases legais

  • Lista de riscos priorizados (top 10)

Dias 31–60: Implementação enxuta

  • Políticas e avisos:

    • Política de Privacidade (site/app) clara e objetiva

    • Avisos de cookies (com preferência granular, se aplicável)

    • Política interna de classificação e retenção de dados

    • Normas de segurança para colaboradores e terceiros

  • Terceiros e contratos:

    • Adite contratos com operadores (DPA) com cláusulas de segurança, apoio a direitos e auditoria

    • Checklist de due diligence de fornecedores críticos (cloud, CRM, marketing, folha)

  • Segurança prática:

    • MFA em e-mail, ERP, CRM

    • Gestão de acessos por perfil e princípio do menor privilégio

    • Criptografia em repouso e em trânsito quando disponível

    • Backup 3-2-1 testado

    • Antivírus/EDR atualizados, correções e firewall básico

    • Registro de logs de acesso e ações críticas

  • Direitos dos titulares:

    • Formulário/canal dedicado

    • Procedimento com prazos, verificação de identidade e templates de resposta

  • Treinamento:

    • 1 hora de sensibilização para todos, com foco em casos reais da empresa

Entregáveis:

  • Políticas publicadas e comunicadas

  • Contratos aditados e checklist de due diligence

  • Controles de segurança ativados

  • Canal e procedimento de direitos de titulares

  • Registro de treinamento (lista de presença e conteúdo)

Dias 61–90: Operar, medir e evidenciar

  • RIPD (Relatório de Impacto) simplificado para processos de alto risco.

  • Plano de resposta a incidentes:

    • Critérios de gravidade, papéis, fluxo de comunicação à ANPD/titulares, modelos de notificação

  • Programa de cookies e marketing:

    • Revisão de tags e pixels

    • Consent mode/consent management platform quando necessário

    • Opt-out funcional em todas as comunicações

  • Métricas e auditoria leve:

    • KPIs (ver seção a seguir)

    • Auditoria amostral de acessos e descartes

  • Ciclo de melhoria:

    • Trate ações corretivas dos gaps encontrados

    • Agenda trimestral de revisão

Entregáveis:

  • RIPD(es) simplificados

  • Plano e playbook de incidentes

  • Inventário de cookies e tags com justificativas

  • Painel de KPIs e relatório de conformidade trimestral

Bases legais sem confusão: exemplos rápidos

  • Execução de contrato: entrega do produto/serviço, suporte ao cliente, cobrança.

  • Obrigação legal/regulatória: emissão de notas, retenção fiscal, obrigações trabalhistas.

  • Legítimo interesse: prevenção à fraude, segurança, análises internas e marketing B2B com teste LIA e opt-out.

  • Consentimento: newsletter, campanhas com perfis comportamentais, cookies não essenciais.

  • Proteção do crédito: análise de crédito, cobrança e prevenção a inadimplência.

  • Dados sensíveis (art. 11): cumprimento de obrigação legal, exercício regular de direitos, proteção da vida/saúde, e consentimento específico e destacado quando necessário.

Dica: documente a escolha da base legal e o teste LIA (quando aplicável). Essa evidência reduz risco na dosimetria de sanções (Resolução CD/ANPD nº 4/2023).

Direitos dos titulares: como cumprir sem travar a operação

  • Canal único: link no site “Privacidade e Dados” com formulário e e-mail dedicado.

  • SLA e verificação: padronize prazos, valide identidade e registre a decisão.

  • Templates de resposta:

    • Confirmação de tratamento e acesso

    • Correção, eliminação, portabilidade

    • Oposição/opt-out

    • Reclamações

  • Exceções: quando houver obrigação legal ou regulatória de retenção, explique de forma transparente.

  • Registro de casos: mantenha log de solicitações, prazos e soluções.

Cookies, marketing e vendas

  • Transparência: política de privacidade e aviso de cookies alinhados ao “Guia de Cookies” da ANPD.

  • Consentimento granular para cookies não essenciais; recusa tão fácil quanto aceitar.

  • Pixels e tags: inventário, finalidade, base legal e retenção. Evite instalar tags sem gestão.

  • E-mail/SMS/WhatsApp:

    • Base legal: consentimento ou legítimo interesse + opt-out simples

    • Prova de consentimento: data, origem, finalidade

    • Higienize bases: remova inativos e respeite opt-out

  • Ads e lookalike: avalie risco e base legal; preferir públicos de primeira parte e consentidos.

Terceiros e contratos: pontos críticos

  • Cláusulas essenciais com operadores:

    • Finalidades e instruções documentadas

    • Medidas de segurança e confidencialidade

    • Notificação de incidentes e cooperação com ANPD/titulares

    • Subcontratação mediante autorização

    • Deleção/devolução ao término do contrato

    • Auditoria/relatórios de conformidade

  • Due diligence: SOC 2/ISO 27001 (quando houver), localização de dados, histórico de incidentes, tempo de resposta e SLAs.

  • Transferência internacional: verifique países, salvaguardas e base legal.

Segurança da informação “enxuta”, porém efetiva

  • MFA para contas críticas (e-mail, ERP, CRM, cloud)

  • Gestor de senhas e política de complexidade/expiração

  • Menor privilégio e revisão trimestral de acessos

  • Criptografia em repouso e em trânsito sempre que disponível

  • Backup 3-2-1 com testes de restauração

  • Patching: sistema operacional e aplicações atualizados

  • Antivírus/EDR e bloqueio de USB onde fizer sentido

  • Treinamento anti-phishing com simulações periódicas

  • Logs de acesso e de ações administrativas

  • Segregação de ambientes e dados sensíveis

  • BYOD com MDM ou políticas claras

  • Plano de resposta a incidentes com teste anual

Retenção e descarte: pares essenciais da conformidade

  • Defina prazos por finalidade (fiscal, trabalhista, contratual, suporte, marketing).

  • Trave a retenção mínima legal; elimine ou anonimize após a finalidade.

  • Automatize quando possível (agendamentos, políticas de ciclo de vida).

  • Registre descartes e anonimizadores usados.

Agentes de pequeno porte: o que muda

De acordo com a Resolução CD/ANPD nº 2/2022:

  • Registros e RIPD podem ser simplificados.

  • Prazos para atendimento e incidentes podem ser estendidos em certas condições.

  • Possibilidade de dispensa de DPO, desde que exista canal de contato e boa governança.

  • Limites: tratamentos de alto risco podem afastar benefícios. Segurança e transparência permanecem integrais.

Métricas e evidências que convencem

  • Percentual de colaboradores treinados e revalidados

  • Tempo médio para atender solicitações de titulares

  • Inventário de contratos com DPAs assinados

  • Cobertura de MFA e backups testados

  • Incidentes reportados e tempo de contenção

  • Taxa de opt-out e qualidade da base de marketing

  • Auditorias amostrais de acesso e descarte

Organize as evidências em uma pasta/drive de “Prestação de Contas” com versões e datas.

Checklist final para começar certo e evitar multas

  • Mapa de dados e ROPA prontos

  • Matriz de bases legais definida e documentada

  • Políticas publicadas (privacidade, cookies) e políticas internas (segurança, retenção)

  • Contratos com operadores revisados e aditados

  • Canal de titulares funcional com SLA e templates

  • Controles de segurança mínimos implantados e auditáveis

  • Plano de resposta a incidentes testado

  • Treinamento realizado e registrado

  • RIPD(s) simplificados para processos de maior risco

  • KPIs e rotina de melhoria contínua ativados

Recursos úteis da ANPD e referências legais

  • LGPD – Lei nº 13.709/2018 (especialmente arts. 5º, 6º, 7º, 11, 18, 41, 46, 48 e 52)

  • Resolução CD/ANPD nº 2/2022 – Agentes de pequeno porte

  • Resolução CD/ANPD nº 4/2023 – Dosimetria e aplicação de sanções

  • Guia Orientativo de Cookies e Proteção de Dados Pessoais (ANPD)

BHOS

Transformando a complexidade legal em clareza estratégica. Especialistas em Compliance, LGPD e Culturas Organizacionais Éticas.

Redes Sociais
Contato

contato@bhosconsultcomply.com

(17) 3224-2014

(17) 99642-1420

São José do Rio Preto/SP

São Paulo/SP

Links Rápidos

AVISO DE PRIVACIDADE

Eventos

Serviços

Blog

Home

Sobre

Contato

© 2026 BHOS Consultoria e Compliance. Todos os direitos reservados.