Segurança e LGPD

LGPD na prática: 6 medidas que sua empresa precisa adotar agora

25 de março de 2026 · 5 min de leitura

A LGPD (Lei Geral de Proteção de Dados) está em vigor desde 2020, mas a grande maioria das pequenas e médias empresas brasileiras ainda não está em conformidade. E o risco é real: multas de até R$ 50 milhões ou 2% do faturamento anual.

Neste guia, vou explicar o que a LGPD exige na prática — sem juridiquês — e o que você pode implementar hoje na sua empresa.

O que é a LGPD?

A Lei nº 13.709/2018 regulamenta como empresas coletam, armazenam, processam e compartilham dados pessoais de pessoas físicas no Brasil. Ela se aplica a qualquer empresa que trate dados de pessoas que estejam no Brasil — independente do tamanho ou setor.

Dado pessoal é qualquer informação que identifique ou possa identificar uma pessoa: nome, CPF, e-mail, telefone, endereço IP, localização, histórico de compras, dados de saúde, e muito mais.

Quem fiscaliza?

A ANPD (Autoridade Nacional de Proteção de Dados) é o órgão responsável pela fiscalização e aplicação de sanções. As penalidades incluem:

  • Advertência
  • Multa simples de até 2% do faturamento anual (limite de R$ 50 milhões por infração)
  • Multa diária
  • Publicização da infração (dano à reputação)
  • Bloqueio ou eliminação dos dados tratados irregularmente

O que sua empresa precisa fazer na prática

1. Mapeie os dados que você coleta

O primeiro passo é saber quais dados pessoais sua empresa coleta e o que faz com eles. Perguntas que você precisa responder:

  • Quais dados coletamos de clientes, fornecedores e funcionários?
  • Onde esses dados estão armazenados? (servidor local, nuvem, planilha, e-mail?)
  • Quem tem acesso a esses dados?
  • Por quanto tempo guardamos esses dados?
  • Compartilhamos esses dados com terceiros?

2. Defina a base legal para cada tratamento

A LGPD exige que cada tratamento de dado tenha uma base legal. As mais comuns para PMEs são:

  • Consentimento: o titular autorizou expressamente (ex: newsletter)
  • Execução de contrato: necessário para cumprir um contrato (ex: dados de entrega)
  • Obrigação legal: exigido por lei (ex: dados para emissão de NF)
  • Legítimo interesse: interesse legítimo da empresa, desde que não prejudique o titular

3. Atualize sua política de privacidade

Seu site precisa ter uma Política de Privacidade clara e acessível, explicando:

  • Quais dados são coletados e por quê
  • Como os dados são usados e armazenados
  • Com quem são compartilhados
  • Como o usuário pode exercer seus direitos
  • Informações de contato do DPO ou encarregado

4. Implemente controles técnicos de segurança

A LGPD exige medidas técnicas para proteger os dados. Na prática, isso inclui:

  • Controle de acesso: cada funcionário acessa apenas os dados necessários para sua função (princípio do menor privilégio)
  • Criptografia: dados sensíveis armazenados e transmitidos com criptografia
  • Backup regular: com política de retenção e teste periódico de restauração
  • Log de acessos: registro de quem acessou quais dados e quando
  • Gestão de senhas: política de senhas fortes, autenticação em dois fatores
  • Antivírus e EDR: proteção contra malware e ransomware

5. Nomeie um DPO (Encarregado de Dados)

A LGPD exige a nomeação de um DPO (Data Protection Officer) — encarregado pelo tratamento de dados pessoais. Para PMEs, isso pode ser:

  • Um funcionário interno designado para a função
  • Um prestador externo (como um consultor de TI ou advogado especializado)

6. Prepare-se para responder a titulares

A LGPD garante direitos aos titulares dos dados. Sua empresa precisa estar preparada para responder a solicitações de:

  • Confirmação de que seus dados são tratados
  • Acesso aos dados
  • Correção de dados incompletos ou incorretos
  • Exclusão dos dados (“direito ao esquecimento”)
  • Portabilidade para outro fornecedor

Por onde começar se você ainda não fez nada

Se sua empresa ainda não tomou nenhuma ação em relação à LGPD, priorize nesta ordem:

  1. Faça o mapeamento de dados (o mais urgente)
  2. Corrija as vulnerabilidades técnicas mais críticas (senhas fracas, sem backup, sem controle de acesso)
  3. Publique ou atualize a política de privacidade no site
  4. Nomeie um encarregado de dados
  5. Documente as bases legais para cada tratamento

Conclusão

A LGPD não é um problema apenas jurídico — é também um problema de TI. A maioria das exigências da lei se resolve com boas práticas de segurança da informação: controle de acesso, criptografia, backup e log de acessos.

Empresas que tratam dados de saúde (clínicas, hospitais) ou dados jurídicos (escritórios de advocacia) têm exigências ainda mais rigorosas e devem priorizar a conformidade.

Precisa adequar a TI da sua empresa à LGPD em Curitiba?

Faço o diagnóstico técnico completo e implemento os controles necessários — controle de acesso, criptografia, backup e documentação.

👉 Entre em contato via WhatsApp ou acesse emersonmelo.com.br.

Precisa de ajuda com isso na sua empresa em Curitiba?

Faço o projeto, configuração e suporte completo para PMEs.

💬 Falar via WhatsApp
← OPNsense vs pfSense: 7 diferenças que… Migração para cloud: 5 sinais de… →