LGPD para pequenas empresas: o que você precisa fazer agora

Muita gente ainda pensa que a LGPD (Lei Geral de Proteção de Dados) é só para grandes empresas. Mas não é assim — a lei se aplica a qualquer empresa que trate dados pessoais, independente do tamanho. E as multas podem chegar a 2% do faturamento.

O que é a LGPD?

A Lei nº 13.709/2018 regula o uso de dados pessoais no Brasil. "Dado pessoal" é qualquer informação que identifique ou possa identificar uma pessoa: nome, CPF, e-mail, telefone, endereço, dados de saúde, entre outros.

Se sua empresa coleta, armazena ou usa qualquer dado de clientes, fornecedores ou funcionários, você está sujeito à LGPD.

O que acontece se eu não cumprir?

A ANPD (Autoridade Nacional de Proteção de Dados) pode aplicar:

• Advertência com prazo para adequação
• Multa de até 2% do faturamento do último exercício, limitada a R$ 50 milhões por infração
• Publicização da infração (seu nome pode sair na imprensa como empresa que vazou dados)
• Bloqueio ou eliminação dos dados

O que minha empresa precisa fazer?

1. Mapear os dados que você coleta

Liste todos os dados pessoais que sua empresa coleta e de onde eles vêm:

• Formulários de cadastro de clientes


• Fichas de funcionários


• Dados de pacientes (se for saúde)


• Dados de processos (se for advocacia)


• Listas de contatos de e-mail marketing

2. Definir uma base legal para cada dado

A LGPD exige que você tenha um motivo legal para usar cada dado. Os mais comuns são:

• Execução de contrato: você precisa do CPF para emitir nota fiscal


• Legítimo interesse: você usa o e-mail para enviar atualizações do serviço


• Consentimento: você pediu autorização para enviar newsletter

3. Criar uma Política de Privacidade

Documente e publique como sua empresa usa os dados. Deve estar no seu site e ser de fácil acesso.

4. Implementar medidas de segurança

A LGPD exige que você proteja os dados contra vazamento:

• Senhas fortes e autenticação em dois fatores


• Antivírus e firewall atualizados


• Backup regular e seguro


• Acesso limitado: só quem precisa dos dados para trabalhar pode acessar

5. Nomear um DPO (Encarregado de Dados)

Toda empresa que trata dados precisa de um DPO — pode ser um funcionário, sócio ou empresa terceirizada. Ele é o ponto de contato com a ANPD e com os titulares dos dados.

6. Ter processo para responder solicitações

Se um cliente pedir para ver os dados que você tem sobre ele, ou pedir para deletar, você tem prazo para responder (15 dias para confirmar, prazos variáveis para atender).

Dados especialmente sensíveis

Alguns dados exigem cuidado extra:

• Dados de saúde (clínicas, médicos, farmácias)


• Dados de crianças e adolescentes


• Dados biométricos


• Dados religiosos, políticos ou de orientação sexual

Para esses dados, o nível de proteção exigido é maior.

Por onde começar?

• Faça um inventário dos dados que sua empresa tem
• Crie uma política de privacidade simples e publique no site
• Revise quem tem acesso aos sistemas com dados pessoais
• Implemente senhas fortes e backups
• Treine sua equipe sobre o que pode e o que não pode fazer com dados de clientes

A tecnologia ajuda na conformidade

Muitas medidas de adequação à LGPD passam por segurança de TI:

• Senhas seguras e autenticação em dois fatores


• Controle de acesso por perfil


• Criptografia de dados sensíveis


• Registro de quem acessou o quê e quando (logs de auditoria)


• Backup seguro e testado

A HelpDesk ajuda empresas em Presidente Prudente a implementar as medidas técnicas necessárias para conformidade com a LGPD. Entre em contato para uma avaliação inicial.