Minha empresa precisa de um DPO (Encarregado de Dados)?

Sim. A LGPD exige que toda empresa que realiza tratamento de dados pessoais nomeie um Encarregado de Proteção de Dados (DPO). A ANPD pode flexibilizar essa exigência para micro e pequenas empresas, mas a nomeação é a regra geral.

Quais são as multas por descumprir a LGPD?

As sanções incluem advertência, multa simples de até 2% do faturamento (limitada a R$ 50 milhões por infração), multa diária, publicização da infração, bloqueio e eliminação dos dados pessoais, e suspensão do banco de dados por até 6 meses.

Preciso de consentimento para todo tratamento de dados?

Não. O consentimento é apenas uma das 10 bases legais previstas na LGPD. Outras bases incluem cumprimento de obrigação legal, execução de contrato, legítimo interesse, proteção ao crédito e exercício regular de direitos.

Como adequar meu site à LGPD quanto a cookies?

Implemente banner de cookies com opção de aceitar ou recusar cookies não essenciais, política de cookies detalhada, e gestão de preferências do usuário. Cookies essenciais (funcionamento do site) não exigem consentimento, mas cookies de marketing e analytics sim.

Micro e pequenas empresas têm tratamento diferenciado na LGPD?

Sim. A Resolução CD/ANPD nº 2/2022 simplifica obrigações para agentes de tratamento de pequeno porte, incluindo dispensa de DPO dedicado (pode ser pessoa jurídica ou comitê), prazos diferenciados e procedimentos simplificados.

LGPD para Empresas: Guia de Compliance e Adequação

A Lei Geral de Proteção de Dados (LGPD — Lei 13.709/2018) transformou fundamentalmente a forma como empresas brasileiras devem tratar dados pessoais. Com a ANPD (Autoridade Nacional de Proteção de Dados) plenamente operacional e aplicando sanções desde 2023, a adequação à LGPD deixou de ser opcional para se tornar uma obrigação empresarial imediata. Saiba mais sobre nossos serviços de direito empresarial.

Este guia apresenta os requisitos essenciais de compliance, as etapas de adequação e os cuidados práticos que toda empresa deve observar. Saiba mais sobre nossos serviços de direito empresarial.

O Que É a LGPD e Por Que Importa?

A LGPD é a lei brasileira de proteção de dados pessoais, inspirada no GDPR europeu. Ela se aplica a qualquer operação de tratamento de dados pessoais realizada por pessoa física ou jurídica, de direito público ou privado, que:

Ocorra em território brasileiro
Tenha por objetivo ofertar bens ou serviços a indivíduos no Brasil
Envolva dados pessoais coletados no Brasil

A lei abrange todo o ciclo de vida dos dados: coleta, armazenamento, processamento, compartilhamento, transferência e eliminação.

Conceitos Fundamentais

Dados pessoais: qualquer informação que identifique ou torne identificável uma pessoa natural (nome, CPF, e-mail, IP, geolocalização)
Dados sensíveis: origem racial, convicção religiosa, dados de saúde, dados biométricos, orientação sexual, filiação sindical
Titular: pessoa natural a quem os dados se referem
Controlador: pessoa que decide sobre o tratamento dos dados
Operador: pessoa que realiza o tratamento em nome do controlador
Encarregado (DPO): pessoa indicada para comunicação entre controlador, titular e ANPD

As 10 Bases Legais para Tratamento de Dados

A LGPD estabelece que todo tratamento de dados pessoais deve ter uma base legal válida. As 10 bases são:

Consentimento do titular: manifestação livre, informada e inequívoca
Cumprimento de obrigação legal ou regulatória: ex. declaração de imposto de renda, eSocial
Execução de políticas públicas: pela administração pública
Realização de estudos por órgão de pesquisa: com anonimização quando possível
Execução de contrato: necessário para cumprimento do contrato com o titular
Exercício regular de direitos: em processo judicial, administrativo ou arbitral
Proteção da vida: do titular ou de terceiro
Tutela da saúde: por profissionais de saúde ou autoridade sanitária
Legítimo interesse: do controlador ou de terceiro, observado o teste de proporcionalidade
Proteção ao crédito: análise de risco de crédito

Quando Usar Cada Base Legal?

Situação	Base Legal Recomendada
Cadastro de cliente para venda	Execução de contrato
Envio de newsletter marketing	Consentimento
Registro de empregado no eSocial	Obrigação legal
Câmera de segurança no escritório	Legítimo interesse
Cobrança de dívida	Proteção ao crédito
Análise de dados para melhoria de produto	Legítimo interesse
Dados de paciente em clínica	Tutela da saúde
Defesa em processo trabalhista	Exercício regular de direitos

Etapas de Adequação à LGPD

1. Mapeamento de Dados (Data Mapping)

O primeiro passo é identificar todos os dados pessoais tratados pela empresa:

Quais dados são coletados (nome, CPF, e-mail, endereço, dados bancários)
De quem são os dados (clientes, funcionários, fornecedores, prospects)
Onde estão armazenados (sistemas, planilhas, arquivos físicos, nuvem)
Quem tem acesso (departamentos, funcionários, terceiros)
Por quanto tempo são retidos
Com quem são compartilhados (parceiros, prestadores de serviço, governo)
Qual a base legal para cada tratamento

2. Registro de Operações de Tratamento (ROPA)

O ROPA (Record of Processing Activities) é o documento que formaliza o mapeamento:

Descrição de cada atividade de tratamento
Categoria de dados tratados
Finalidade do tratamento
Base legal aplicável
Período de retenção
Compartilhamentos realizados
Medidas de segurança adotadas

3. Nomeação do Encarregado (DPO)

A LGPD exige a nomeação de um Encarregado de Proteção de Dados:

Funções do DPO:

Receber reclamações e comunicações dos titulares
Receber comunicações da ANPD
Orientar funcionários sobre práticas de proteção de dados
Executar as demais atribuições determinadas pelo controlador

Quem pode ser DPO:

Funcionário interno
Profissional terceirizado (DPO as a Service)
Pessoa jurídica
Comitê de privacidade (para pequenas empresas)

4. Revisão de Políticas e Documentos

Documentos essenciais para conformidade:

Política de Privacidade: informações sobre tratamento de dados no site/aplicativo
Política de Cookies: detalhamento dos cookies utilizados e suas finalidades
Termos de Uso: condições de uso dos serviços digitais
Política Interna de Proteção de Dados: regras para funcionários
Contratos com operadores: cláusulas de proteção de dados com fornecedores e parceiros
Termos de consentimento: formulários de autorização específicos

5. Relatório de Impacto à Proteção de Dados (DPIA)

O DPIA (Data Protection Impact Assessment) é obrigatório quando o tratamento pode gerar riscos significativos:

Tratamento de dados sensíveis em larga escala
Monitoramento sistemático de áreas públicas
Decisões automatizadas que afetem os titulares
Transferência internacional de dados

O relatório deve conter:

Descrição do tratamento
Avaliação da necessidade e proporcionalidade
Identificação de riscos
Medidas de mitigação
Manifestação do DPO

6. Medidas de Segurança da Informação

A LGPD exige medidas técnicas e administrativas de segurança:

Medidas técnicas:

Criptografia de dados em trânsito e em repouso
Controle de acesso baseado em função (RBAC)
Firewall e sistemas de detecção de intrusão
Backup regular com teste de restauração
Antivírus e antimalware atualizados
Gestão de vulnerabilidades e patches

Medidas administrativas:

Política de segurança da informação
Treinamento periódico de funcionários
Gestão de acessos (on/offboarding)
Plano de resposta a incidentes
Auditoria periódica de conformidade

7. Gestão de Incidentes

A LGPD exige comunicação de incidentes de segurança:

Prazo: comunicação à ANPD e aos titulares em prazo razoável (ANPD recomenda 2 dias úteis)
Conteúdo da comunicação: natureza dos dados afetados, titulares envolvidos, medidas técnicas adotadas, riscos identificados, medidas de mitigação

Sanções e Penalidades

A ANPD pode aplicar as seguintes sanções:

Sanção	Detalhamento
Advertência	Com prazo para adoção de medidas corretivas
Multa simples	Até 2% do faturamento, limitada a R$ 50 milhões por infração
Multa diária	Para obrigar cumprimento de determinação
Publicização	Divulgação pública da infração
Bloqueio de dados	Suspensão do tratamento até regularização
Eliminação de dados	Obrigação de excluir dados irregulares
Suspensão do banco de dados	Por até 6 meses, prorrogável

Além das sanções administrativas, empresas podem enfrentar:

Ações judiciais de titulares (danos morais e materiais)
Ações coletivas do Ministério Público ou associações de consumidores
Danos reputacionais significativos

Direitos dos Titulares

A empresa deve estar preparada para atender aos direitos dos titulares (art. 18 da LGPD):

Confirmação de tratamento: informar se trata dados do titular
Acesso aos dados: fornecer cópia dos dados tratados
Correção: retificar dados incompletos, inexatos ou desatualizados
Anonimização, bloqueio ou eliminação: de dados desnecessários ou excessivos
Portabilidade: transferir dados a outro fornecedor
Eliminação: dos dados tratados com consentimento
Informação sobre compartilhamento: identificar com quem dados são compartilhados
Informação sobre possibilidade de não consentir: e consequências
Revogação do consentimento: a qualquer momento

O prazo para resposta é de 15 dias a partir do requerimento do titular.

LGPD e Cookies

A gestão de cookies é um dos aspectos mais visíveis da adequação:

Categorias de Cookies

Essenciais: necessários para funcionamento do site (não exigem consentimento)
Funcionais: melhoram experiência do usuário (preferências, idioma)
Analytics: coletam dados de navegação (Google Analytics, Hotjar)
Marketing: rastreiam usuários para publicidade direcionada

Requisitos de Conformidade

Banner de cookies na primeira visita
Opção clara de aceitar ou recusar cookies não essenciais
Gestão de preferências granular (por categoria)
Política de cookies acessível e detalhada
Armazenamento do registro de consentimento
Possibilidade de revogação do consentimento

LGPD para Micro e Pequenas Empresas

A Resolução CD/ANPD nº 2/2022 flexibiliza obrigações para agentes de pequeno porte:

DPO: pode ser pessoa jurídica, comitê ou não ser dedicado exclusivamente
Registro de tratamento: formato simplificado
Comunicação de incidentes: prazo diferenciado (dobro do prazo regular)
Política de segurança: simplificada, proporcional ao porte
Transferência internacional: procedimentos simplificados

Considera-se agente de pequeno porte: microempresas, empresas de pequeno porte, startups e pessoas físicas que tratem dados para fins econômicos.

Transferência Internacional de Dados

A LGPD regulamenta a transferência de dados pessoais para outros países (art. 33):

Países com nível de proteção adequado (reconhecido pela ANPD)
Cláusulas-padrão contratuais
Normas corporativas globais (BCR)
Consentimento específico e informado do titular
Necessidade para execução de contrato
Cooperação jurídica internacional

Conclusão

A adequação à LGPD é um processo contínuo que exige comprometimento organizacional, investimento em segurança da informação e revisão permanente de práticas de tratamento de dados. As sanções são significativas, mas os benefícios da conformidade vão além da evitação de multas — incluem ganho de confiança de clientes, parceiros e investidores.

Para assessoria em adequação à LGPD e implementação de programas de compliance em proteção de dados, consulte nossos especialistas em direito empresarial.

Este artigo tem carater informativo e nao substitui consulta juridica individualizada. Cada caso possui particularidades que devem ser analisadas por um advogado.