LGPD para empresas: guia prático de adequação sem paralisar a operação
Multa de até 2% do faturamento, teto de R$ 50 milhões, e a ANPD acordou. O que uma empresa média precisa fazer em 90 dias para estar em conformidade sem paralisar.

A LGPD entrou em vigor em 2020, mas foi entre 2024 e 2026 que a fiscalização virou realidade. A ANPD publicou dezenas de decisões, aplicou multas e passou a monitorar setores inteiros. A pergunta mudou de "isso vai pegar?" para "quando vai pegar aqui?".
A boa notícia: LGPD séria não paralisa negócio. Ela é um projeto de organização de dados com regras jurídicas e técnicas claras. Este guia mostra o caminho pragmático para uma empresa média se adequar sem virar refém de consultor caro nem parar a operação.
O básico do que a ANPD realmente cobra
- Base legal. Todo tratamento de dado pessoal precisa de uma das 10 bases (consentimento, execução de contrato, obrigação legal, legítimo interesse etc.).
- Inventário de tratamento. Documento que lista quais dados você trata, com que finalidade, por quanto tempo e com quem compartilha.
- Direitos do titular. Cliente pede acesso, correção, exclusão. Você tem 15 dias para responder.
- Segurança adequada. Medidas técnicas e administrativas proporcionais ao risco do dado.
- Comunicação de incidente. Vazamento sério comunicado à ANPD e aos afetados.
- Encarregado (DPO). Pessoa nomeada, com nome e contato públicos.
Roteiro pragmático de 90 dias
Dias 1-30:
- Mapear todos os sistemas que armazenam dado pessoal.
- Montar o inventário de tratamento (RIT) em planilha estruturada.
- Nomear o encarregado.
- Publicar a política de privacidade no site e nos pontos de coleta.
Dias 31-60:
- Definir base legal para cada tratamento (com apoio jurídico).
- Ajustar formulários e canais de coleta (consentimento explícito quando aplicável).
- Criar canal de atendimento ao titular (formulário no site, e-mail dedicado).
- Auditar contratos com fornecedores que tratam dado (operadores).
Dias 61-90:
- Implementar medidas técnicas mínimas (criptografia em trânsito e em repouso, controle de acesso, log).
- Fazer treinamento com a equipe (todos, não só TI).
- Definir plano de resposta a incidente.
- Rodar simulação de pedido de titular para validar o processo.
Medidas técnicas que a ANPD espera ver
- Criptografia em repouso no banco de dados.
- HTTPS obrigatório em tudo que trafega dado.
- Controle de acesso por perfil (não todo mundo vê tudo).
- Log de acesso a dado sensível.
- Backup regular com teste de restore.
- Segregação de ambiente (produção não é playground).
- Pseudonimização ou anonimização quando o uso permite.
Sinal de risco imediato
Erros caros comuns
- Pedir consentimento para tudo. Consentimento é uma das bases, e talvez a menos adequada em relação B2B.
- Não ter processo para pedido de titular. Quando o primeiro chega, é caos.
- Contratar SaaS internacional sem cláusula de operador. LGPD alcança fluxo transfronteiriço.
- Achar que política de privacidade genérica copiada resolve. ANPD verifica coerência entre política e prática.
Checklist prático
- Inventário de tratamento (RIT) atualizado.
- Base legal justificada para cada tratamento.
- Encarregado nomeado, com contato público.
- Canal para pedido de titular funcionando e testado.
- Criptografia em trânsito e em repouso ativa.
- Plano de resposta a incidente escrito, com responsáveis nomeados.
- Contratos com fornecedores revisados (cláusula de operador).
Perguntas frequentes
Minha empresa é pequena, LGPD se aplica?+
Sim. LGPD se aplica a quase todo tratamento de dado pessoal. Existe regime simplificado para pequeno porte, mas não isenção.
Preciso contratar DPO externo?+
Não obrigatoriamente. Pode ser colaborador interno. Só não pode acumular função conflitante (por exemplo, quem decide sobre coleta não deve ser o encarregado).
Multa acontece de verdade?+
Sim. A ANPD aplicou dezenas de multas entre 2023 e 2026, algumas milionárias. Setor financeiro, saúde e e-commerce estão sob atenção maior.
IA local ajuda em LGPD?+
Muito. Ao processar dado pessoal dentro da sua infraestrutura, você elimina o risco de fluxo transfronteiriço e reduz drasticamente a superfície de exposição.
Sua empresa está em conformidade com a LGPD?
Fazemos diagnóstico técnico de LGPD em 3 semanas: inventário de dados, análise de bases legais, avaliação de segurança e plano de adequação priorizado.

