EJC Advocacia
Precisa de orientação jurídica?Fale com um especialista
Voltar ao Blog
LGPD para Empresas: Como se Adequar à Lei de Proteção de Dados

LGPD para Empresas: Como se Adequar à Lei de Proteção de Dados

21 de abril de 2026EJC Advocacia6 min de leituraDireito Empresarial

O Que É a LGPD e Por Que Sua Empresa Precisa se Adequar

A Lei Geral de Proteção de Dados (Lei 13.709/2018), conhecida como LGPD, entrou em vigor em setembro de 2020 e suas sanções administrativas passaram a ser aplicadas a partir de agosto de 2021. A lei regulamenta o tratamento de dados pessoais por pessoas físicas e jurídicas, públicas ou privadas, com o objetivo de proteger os direitos fundamentais de liberdade, privacidade e livre desenvolvimento da personalidade.

Toda empresa que coleta, armazena, utiliza ou compartilha dados pessoais — sejam de clientes, funcionários, fornecedores ou parceiros — está sujeita às obrigações da LGPD. O descumprimento pode resultar em sanções severas, incluindo multas de até 2% do faturamento da empresa.

Conceitos Fundamentais da LGPD

Dados Pessoais e Dados Sensíveis

  • Dado pessoal: qualquer informação relacionada a pessoa natural identificada ou identificável (nome, CPF, e-mail, endereço IP, localização)
  • Dado pessoal sensível: dados sobre origem racial, convicção religiosa, opinião política, saúde, vida sexual, dado genético ou biométrico (art. 5º, II, LGPD)

Agentes de Tratamento

  • Controlador: pessoa que toma as decisões sobre o tratamento dos dados (normalmente a empresa)
  • Operador: pessoa que realiza o tratamento em nome do controlador (ex.: empresa de TI, escritório contábil)
  • Encarregado (DPO): pessoa indicada pelo controlador para atuar como canal de comunicação entre o controlador, os titulares e a ANPD

Bases Legais para Tratamento de Dados

A LGPD estabelece 10 bases legais que autorizam o tratamento de dados pessoais (art. 7º). As mais relevantes para empresas são:

  1. Consentimento do titular — manifestação livre, informada e inequívoca
  2. Cumprimento de obrigação legal ou regulatória — ex.: obrigações trabalhistas, fiscais
  3. Execução de contrato — quando o tratamento é necessário para cumprir um contrato
  4. Legítimo interesse do controlador — desde que não prevaleçam direitos fundamentais do titular (exige teste de proporcionalidade)
  5. Proteção do crédito — para análise de crédito e cobrança
  6. Exercício regular de direitos em processo judicial, administrativo ou arbitral

É fundamental que cada tratamento de dados realizado pela empresa esteja vinculado a pelo menos uma base legal válida e documentada.

Direitos dos Titulares de Dados

A LGPD assegura aos titulares os seguintes direitos (art. 18):

  • Confirmação da existência de tratamento
  • Acesso aos dados pessoais tratados
  • Correção de dados incompletos, inexatos ou desatualizados
  • Anonimização, bloqueio ou eliminação de dados desnecessários
  • Portabilidade dos dados a outro fornecedor
  • Eliminação dos dados tratados com consentimento
  • Revogação do consentimento
  • Informação sobre compartilhamento com terceiros

As empresas devem estar preparadas para atender a essas solicitações dentro de prazo razoável, conforme regulamentação da ANPD.

Obrigações das Empresas

Nomeação do Encarregado (DPO)

Toda empresa controladora deve indicar um Encarregado de Proteção de Dados (Data Protection Officer — DPO), cuja identidade e dados de contato devem ser divulgados publicamente, preferencialmente no site da empresa (art. 41, LGPD).

A ANPD publicou a Resolução CD/ANPD nº 2/2022, que flexibiliza certas obrigações para agentes de tratamento de pequeno porte, incluindo a dispensa da nomeação de DPO para microempresas e empresas de pequeno porte, desde que disponibilizem canal de comunicação com os titulares.

Registro das Atividades de Tratamento (ROPA)

É obrigatório manter um registro das operações de tratamento de dados pessoais realizadas pela empresa, especialmente quando baseadas no legítimo interesse (art. 37).

Relatório de Impacto à Proteção de Dados (RIPD)

A ANPD pode determinar a elaboração de RIPD quando o tratamento envolver riscos significativos aos titulares. O relatório deve descrever os processos de tratamento, medidas de segurança e análise de proporcionalidade.

Medidas de Segurança

A empresa deve adotar medidas técnicas e administrativas para proteger os dados pessoais contra acessos não autorizados, destruição, perda ou alteração (art. 46):

  • Controle de acesso a sistemas e bancos de dados
  • Criptografia de dados sensíveis
  • Políticas de senhas e autenticação
  • Backups regulares
  • Treinamento de colaboradores

Sanções da ANPD

A Autoridade Nacional de Proteção de Dados pode aplicar as seguintes sanções administrativas (art. 52):

  • Advertência com indicação de prazo para adoção de medidas corretivas
  • Multa simples de até 2% do faturamento da empresa no último exercício, limitada a R$ 50 milhões por infração
  • Multa diária para compelir o cumprimento de determinação
  • Publicização da infração
  • Bloqueio dos dados pessoais objeto da infração
  • Eliminação dos dados pessoais
  • Suspensão parcial do funcionamento do banco de dados
  • Proibição parcial ou total do exercício de atividades de tratamento

A ANPD já iniciou processos sancionadores e a tendência é de fiscalização crescente, especialmente após a regulamentação do processo de dosimetria das sanções.

Passos Práticos para Adequação

1. Mapeamento de Dados

Identifique todos os dados pessoais tratados pela empresa: quais dados são coletados, onde são armazenados, quem tem acesso, por quanto tempo são retidos e com quem são compartilhados.

2. Análise de Base Legal

Para cada operação de tratamento, identifique a base legal aplicável e documente essa análise.

3. Revisão de Contratos

Atualize contratos com clientes, fornecedores e parceiros para incluir cláusulas de proteção de dados, definindo responsabilidades entre controlador e operador.

4. Política de Privacidade

Elabore ou atualize a Política de Privacidade da empresa, informando de forma clara e acessível como os dados são tratados.

5. Implementação de Medidas de Segurança

Adote controles técnicos e administrativos proporcionais aos riscos identificados.

6. Treinamento da Equipe

Capacite colaboradores sobre as obrigações da LGPD e boas práticas no tratamento de dados pessoais.

7. Plano de Resposta a Incidentes

Estabeleça procedimentos para identificação, contenção e comunicação de incidentes de segurança à ANPD e aos titulares afetados, conforme art. 48 da LGPD.

Impacto para Pequenas e Médias Empresas

A Resolução CD/ANPD nº 2/2022 trouxe flexibilizações importantes para agentes de tratamento de pequeno porte, como a simplificação do registro de tratamento e a dispensa de DPO. No entanto, isso não isenta essas empresas de cumprir os princípios fundamentais da LGPD.

A adequação à LGPD deve ser vista como um investimento em segurança e credibilidade, e não apenas como um custo regulatório. Empresas que demonstram respeito à privacidade dos dados conquistam a confiança de seus clientes e parceiros.

Para orientação sobre como adequar sua empresa à LGPD, um advogado especializado em Direito Empresarial pode conduzir o processo de conformidade de forma segura e eficiente.

Precisa de orientação jurídica? A EJC Advocacia está à disposição para ajudar. Entre em contato conosco.

Este artigo tem caráter meramente informativo e não substitui a consulta com um advogado. Cada caso possui particularidades que devem ser analisadas individualmente por um profissional qualificado.

Precisa de orientação jurídica?

Fale ConoscoFalar com a Aurora

Este artigo tem caráter informativo e não substitui consulta com advogado.