Qual a multa por descumprir a LGPD?

A ANPD pode aplicar multa de até 2% do faturamento bruto da empresa, limitada a R$ 50 milhões por infração (art. 52 da Lei 13.709/2018). Além da multa, as sanções incluem advertência, publicização da infração, bloqueio e eliminação dos dados pessoais, e suspensão parcial ou total das atividades de tratamento.

Toda empresa precisa ter um DPO (encarregado de dados)?

Sim, em princípio. O art. 41 da LGPD exige a nomeação de um encarregado pelo tratamento de dados pessoais (DPO). A ANPD pode dispensar essa obrigação para agentes de tratamento de pequeno porte (Resolução CD/ANPD nº 2/2022), mas mesmo nesses casos a nomeação é recomendada como boa prática.

A LGPD se aplica a dados de pessoas jurídicas?

Não. A LGPD protege exclusivamente dados de pessoas naturais (art. 1º da Lei 13.709/2018). Dados de empresas (CNPJ, razão social, endereço comercial) não estão sob a proteção da lei. Contudo, dados de sócios, representantes legais e funcionários da empresa são dados pessoais e estão protegidos.

LGPD para Empresas: Guia Prático

“O direito à privacidade é a mãe de todas as liberdades.” — Stefano Rodotà

Sua empresa coleta dados pessoais? Então a LGPD se aplica a você. Não importa se é uma multinacional ou uma padaria com cadastro de clientes no WhatsApp. A lei não faz distinção.

A Lei Geral de Proteção de Dados Pessoais (LGPD), Lei nº 13.709/2018, transformou profundamente a forma como empresas de todos os portes devem tratar informações de clientes, colaboradores, fornecedores e parceiros comerciais. Desde sua entrada em vigor, em setembro de 2020, e com a aplicação de sanções administrativas a partir de agosto de 2021, a LGPD deixou de ser preocupação exclusiva de grandes corporações para se tornar uma obrigação legal de toda empresa que trate dados pessoais em território brasileiro.

O descumprimento da lei pode gerar consequências severas: multas de até 2% do faturamento bruto da empresa (limitadas a R$ 50 milhões por infração), bloqueio de dados, suspensão de atividades de tratamento e, em casos extremos, responsabilização civil e criminal dos gestores. Este guia apresenta, de forma prática e objetiva, os passos essenciais para adequar sua empresa à LGPD.

O que é a LGPD e por que ela importa para a sua empresa

A LGPD foi inspirada no Regulamento Geral sobre a Proteção de Dados (GDPR) da União Europeia e tem como objetivo proteger os direitos fundamentais de liberdade e de privacidade, bem como o livre desenvolvimento da personalidade da pessoa natural. A lei se aplica a qualquer operação de tratamento de dados pessoais realizada por pessoa natural ou jurídica, de direito público ou privado, independentemente do meio, do país de sede da empresa ou do país onde estejam localizados os dados, desde que:

O tratamento seja realizado em território brasileiro;
A atividade de tratamento tenha por objetivo a oferta de bens ou serviços a indivíduos localizados no Brasil; ou
Os dados pessoais tenham sido coletados em território brasileiro.

Na prática, virtualmente toda empresa que atua no Brasil está sujeita à LGPD — desde o escritório de advocacia que mantém fichas de clientes até a indústria que coleta dados de funcionários para a folha de pagamento.

O que são dados pessoais e dados sensíveis

A LGPD distingue entre dados pessoais e dados pessoais sensíveis, cada categoria com regras de tratamento distintas:

Dados pessoais

Dado pessoal é toda informação relacionada a pessoa natural identificada ou identificável. Isso inclui, mas não se limita a:

Nome, CPF, RG, endereço
E-mail, telefone, dados bancários
Endereço IP, cookies, geolocalização
Dados profissionais, acadêmicos e de consumo
Fotografias e imagens de câmeras de segurança

Dados pessoais sensíveis

São dados que, pela sua natureza, podem gerar discriminação e merecem proteção reforçada:

Origem racial ou étnica
Convicção religiosa ou opinião política
Filiação a sindicato ou organização de caráter religioso, filosófico ou político
Dados referentes à saúde ou à vida sexual
Dados genéticos ou biométricos

O tratamento de dados sensíveis exige bases legais mais restritas, e seu uso indevido pode acarretar sanções mais severas. Empresas que lidam com dados de saúde, biometria de funcionários ou informações sobre filiação sindical devem ter atenção redobrada.

As 10 bases legais para o tratamento de dados

Um dos pilares da LGPD é o princípio de que todo tratamento de dados pessoais precisa de uma base legal que o justifique. A lei prevê dez hipóteses taxativas no art. 7º:

Consentimento do titular: manifestação livre, informada e inequívoca do titular concordando com o tratamento. Deve ser específico e pode ser revogado a qualquer momento.
Cumprimento de obrigação legal ou regulatória: quando a lei exige o tratamento, como retenção de dados trabalhistas pelo empregador.
Execução de políticas públicas: aplicável à Administração Pública.
Estudos por órgão de pesquisa: com anonimização sempre que possível.
Execução de contrato: quando o tratamento é necessário para cumprir contrato do qual o titular seja parte.
Exercício regular de direitos: em processos judiciais, administrativos ou arbitrais.
Proteção da vida: em situações de emergência.
Tutela da saúde: exclusivamente em procedimento realizado por profissionais de saúde.
Legítimo interesse do controlador: a base mais flexível, mas que exige um teste de proporcionalidade (LIA: Legitimate Interest Assessment) e não pode se sobrepor aos direitos do titular.
Proteção do crédito: para consultas a órgãos de proteção ao crédito.

Ora, a empresa deve mapear cada operação de tratamento e identificar a base legal correspondente. Não basta coletar um consentimento genérico — a base legal deve ser adequada à finalidade específica do tratamento.

A Autoridade Nacional de Proteção de Dados (ANPD)

A ANPD é o órgão da Administração Pública responsável por zelar pela proteção dos dados pessoais, implementar e fiscalizar o cumprimento da LGPD. Suas competências incluem:

Elaborar diretrizes para a Política Nacional de Proteção de Dados
Fiscalizar e aplicar sanções em caso de descumprimento da lei
Promover ações de cooperação com autoridades de proteção de dados de outros países
Editar regulamentos e procedimentos sobre proteção de dados
Receber e apurar denúncias de titulares de dados

Desde 2023, a ANPD vem intensificando sua atuação fiscalizatória, com a publicação do Regulamento de Dosimetria e Aplicação de Sanções Administrativas e processos sancionadores em curso contra empresas de diversos setores. A tendência é que a fiscalização se torne cada vez mais rigorosa, especialmente em relação a incidentes de segurança e tratamento irregular de dados sensíveis.

Passo a passo para adequação à LGPD

1. Mapeamento de dados (data mapping)

O primeiro e mais determinante passo é o inventário completo de todos os dados pessoais tratados pela empresa. O mapeamento deve identificar:

Quais dados são coletados (nome, CPF, e-mail, dados bancários, etc.)
De quem são os dados (clientes, funcionários, fornecedores, visitantes)
Como são coletados (formulários, contratos, cookies, câmeras)
Para que finalidade são utilizados
Onde são armazenados (servidores, nuvem, planilhas, sistemas)
Com quem são compartilhados (parceiros, prestadores de serviço, governo)
Por quanto tempo são retidos
Qual a base legal que justifica cada tratamento

Esse mapeamento é o fundamento de todo o programa de conformidade. Sem ele, é impossível avaliar riscos, implementar medidas de segurança adequadas ou responder a solicitações de titulares.

2. Elaboração da política de privacidade

A política de privacidade é o documento que comunica ao titular como seus dados serão tratados. Deve ser redigida em linguagem clara e acessível, e conter, no mínimo:

Identificação do controlador e do encarregado (DPO)
Categorias de dados coletados e finalidades
Bases legais utilizadas
Prazo de retenção dos dados
Direitos do titular e como exercê-los
Informações sobre compartilhamento com terceiros
Medidas de segurança adotadas
Procedimentos em caso de incidente de segurança

A política deve ser disponibilizada de forma visível no site da empresa e atualizada sempre que houver mudanças no tratamento de dados.

3. Gestão de consentimento

Quando o tratamento se basear no consentimento do titular, a empresa deve implementar mecanismos que garantam:

Registro do momento e da forma de obtenção do consentimento
Possibilidade de revogação fácil a qualquer tempo
Separação do consentimento para cada finalidade específica
Consentimento específico e destacado para dados sensíveis

Na prática, isso inclui a implementação de banners de cookies no site, termos de uso claros em formulários e mecanismos de opt-in e opt-out em comunicações de marketing.

4. Nomeação do encarregado (DPO)

A LGPD exige a nomeação de um Encarregado pelo Tratamento de Dados Pessoais (Data Protection Officer — DPO), cuja identidade e informações de contato devem ser divulgadas publicamente. As funções do DPO incluem:

Aceitar reclamações e comunicações dos titulares
Receber comunicações da ANPD e adotar providências
Orientar os funcionários da empresa sobre práticas de proteção de dados
Executar as demais atribuições determinadas pelo controlador ou pela ANPD

A ANPD flexibilizou a exigência para agentes de tratamento de pequeno porte, que podem nomear um DPO simplificado ou, em certos casos, prescindir da nomeação. Ainda assim, é altamente recomendável que toda empresa tenha um responsável — interno ou terceirizado — pela governança de dados.

5. Implementação de medidas de segurança

A LGPD exige que o controlador adote medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados, destruição, perda, alteração ou qualquer forma de tratamento inadequado. As medidas devem incluir:

Medidas técnicas:

Criptografia de dados em trânsito e em repouso
Controle de acesso por perfis e níveis de permissão
Firewall, antivírus e sistemas de detecção de intrusão
Backup regular e testado
Anonimização e pseudonimização quando possível
Registro de logs de acesso

Medidas administrativas:

Política de segurança da informação documentada
Treinamento periódico dos colaboradores
Termos de confidencialidade com funcionários e terceiros
Procedimentos de descarte seguro de dados
Plano de resposta a incidentes

6. Gestão de contratos com terceiros

Toda empresa que compartilha dados pessoais com operadores (prestadores de serviço, fornecedores de tecnologia, contadores, etc.) deve incluir nos contratos cláusulas específicas de proteção de dados, contemplando:

Obrigações do operador quanto ao tratamento dos dados
Medidas de segurança exigidas
Limitação de finalidade do tratamento
Notificação imediata em caso de incidente
Devolução ou eliminação dos dados ao término do contrato
Responsabilidade solidária em caso de descumprimento

7. Plano de resposta a incidentes de segurança

A empresa deve ter um plano documentado para lidar com vazamentos e incidentes de segurança, que inclua:

Procedimentos de contenção imediata do incidente
Análise de impacto e avaliação de riscos
Comunicação à ANPD em prazo razoável (a regulamentação atual recomenda até 72 horas para incidentes que possam acarretar risco relevante aos titulares)
Comunicação aos titulares afetados
Documentação completa do incidente e das medidas adotadas
Ações corretivas para evitar recorrência

Sobre o tema de vazamento de dados e suas consequências, recomendamos a leitura do nosso artigo sobre vazamento de dados e responsabilidade civil e criminal.

Sanções previstas na LGPD

O art. 52 da LGPD prevê um rol de sanções administrativas que podem ser aplicadas pela ANPD em caso de descumprimento:

Advertência, com indicação de prazo para adoção de medidas corretivas
Multa simples de até 2% do faturamento da pessoa jurídica no seu último exercício, excluídos os tributos, limitada a R$ 50.000.000,00 por infração
Multa diária, observado o limite total acima
Publicização da infração, com potencial dano reputacional significativo
Bloqueio dos dados pessoais até a regularização
Eliminação dos dados pessoais a que se refere a infração
Suspensão parcial do funcionamento do banco de dados por até 6 meses
Suspensão do exercício da atividade de tratamento por até 6 meses
Proibição parcial ou total do exercício de atividades relacionadas ao tratamento de dados

As sanções são aplicadas conforme critérios de dosimetria que consideram a gravidade da infração, a boa-fé do infrator, a adoção de boas práticas de governança, a cooperação com a ANPD e a pronta adoção de medidas corretivas.

A intersecção entre LGPD e responsabilidade criminal

Embora a LGPD em si não preveja tipos penais específicos, o descumprimento de suas disposições pode ter repercussões na esfera criminal. Veja-se: a coleta e o tratamento irregular de dados pessoais podem, conforme as circunstâncias, configurar:

Invasão de dispositivo informático (art. 154-A do Código Penal, introduzido pela Lei Carolina Dieckmann): quando o acesso a dados se dá por meio de violação de mecanismo de segurança
Estelionato (art. 171 do CP): quando dados pessoais são usados para obter vantagem ilícita
Falsidade ideológica (art. 299 do CP): quando informações falsas são inseridas em documentos para fins de tratamento irregular
Crimes contra a honra (arts. 138 a 140 do CP): quando a exposição de dados causa dano à reputação do titular

Além disso, a Lei do Marco Civil da Internet (Lei 12.965/2014) prevê sanções para provedores que descumprirem obrigações de guarda e proteção de dados. Para uma análise mais aprofundada sobre crimes cibernéticos e a proteção legal de empresas no ambiente digital, confira nosso artigo sobre crimes cibernéticos e defesa empresarial.

Os sócios, administradores e gestores podem ser pessoalmente responsabilizados quando demonstrada negligência, imprudência ou dolo no tratamento de dados que resulte em dano a titulares. Essa responsabilização pode ocorrer tanto na esfera civil (ação de indenização por danos morais e materiais) quanto na esfera criminal, a depender da conduta praticada.

Boas práticas de governança em proteção de dados

Além dos requisitos mínimos legais, a adoção de um programa robusto de governança em privacidade pode servir como atenuante em eventuais processos sancionadores e demonstrar o comprometimento da empresa com a proteção de dados. Algumas boas práticas incluem:

Privacy by Design e Privacy by Default: incorporar a proteção de dados desde a concepção de produtos e serviços, com configurações de privacidade ativadas por padrão
Avaliação de Impacto à Proteção de Dados (DPIA/RIPD): realizar análises de risco para tratamentos de dados de alto impacto, como os que envolvem dados sensíveis ou monitoramento sistemático
Programa de treinamento contínuo: capacitar periodicamente todos os colaboradores, especialmente aqueles que lidam diretamente com dados pessoais
Canal de comunicação com titulares: disponibilizar canal acessível para que os titulares exerçam seus direitos (acesso, correção, exclusão, portabilidade, etc.)
Auditoria periódica: revisar regularmente as práticas de tratamento, atualizar o mapeamento de dados e verificar a conformidade dos operadores contratados
Documentação robusta: manter registros detalhados de todas as operações de tratamento, decisões tomadas e medidas implementadas

Considerações finais

A adequação à LGPD não é um projeto pontual. É um processo contínuo de governança. A proteção de dados pessoais deve ser incorporada à cultura organizacional, com comprometimento da alta direção e envolvimento de todos os setores da empresa.

Empresas que investem em conformidade não apenas evitam sanções. Ganham competitividade: a proteção de dados tornou-se um diferencial de mercado e um requisito cada vez mais exigido em relações comerciais, licitações e parcerias internacionais.

Quem trata dados com seriedade conquista confiança. Quem negligencia, paga caro — em dinheiro e em reputação.

Leia também:

O escritório SMARGIASSI Advogado, com atuação no Sul de Minas Gerais e em todo o Brasil, oferece assessoria jurídica especializada em proteção de dados, governança corporativa e Direito Penal Empresarial. Se sua empresa precisa de orientação para iniciar ou aprimorar seu programa de adequação à LGPD, entre em contato pelo WhatsApp para uma consulta personalizada.