O que a LGPD exige de pequenas empresas e MEI na prática

O que a LGPD exige de uma pequena empresa ou MEI na prática: dado pessoal e sensível, bases legais, direitos do titular, deveres do dia a dia, o papel da ANPD e os mitos mais comuns. Conteúdo educativo.

Revisado pela equipe editorial ValorFinalANPD (gov.br/anpd) e Lei 13.709/2018 (Planalto)
Calcule agora: Senha ForteResultado na hora, de graça e sem cadastro.

A LGPD, a Lei Geral de Proteção de Dados (Lei 13.709/2018), define como qualquer empresa no Brasil pode coletar, usar e guardar dados pessoais. E ela não é assunto só de banco ou de gigante da tecnologia: se você tem uma lista de clientes, um cadastro no caixa ou um grupo de contatos, a lei vale para o seu negócio, MEI incluído. Este guia é educativo, não é parecer jurídico, e mostra na prática o que a lei espera de um pequeno negócio, sem juridiquês. Para estudar o tema com aulas passo a passo, exercícios e certificado, use o curso de LGPD Essencial, gratuito.

Resposta rápida

  • A LGPD vale para MEI e pequena empresa; não existe isenção por porte, só cumprimento proporcional.
  • Toda coleta de dado precisa de uma base legal, e consentimento é só uma delas.
  • O cliente tem direito de acessar, corrigir e excluir seus dados, e você precisa saber responder.
  • Deveres básicos: coletar só o necessário, informar a finalidade, proteger e avisar em caso de vazamento.

O que é dado pessoal e dado sensível

Antes de cumprir a lei, é preciso enxergar o que ela protege. Dado pessoal é qualquer informação que identifica ou permite identificar uma pessoa: nome, CPF, e-mail, telefone, endereço, foto, o número do pedido ligado a um cliente. Se o seu comércio guarda uma planilha de clientes ou se você anota o WhatsApp de quem compra, já trata dados pessoais e a LGPD se aplica.

Existe uma categoria mais delicada, o dado pessoal sensível: informação sobre saúde, religião, opinião política, filiação a sindicato, vida sexual, dados genéticos ou biométricos. Uma clínica que registra o histórico de saúde, ou uma academia que usa digital na catraca, trata dado sensível. Esse tipo exige cuidado redobrado e, na maioria dos casos, consentimento específico e destacado da pessoa. A regra de ouro para o pequeno negócio é simples: não colete dado sensível se o seu serviço não precisa dele.

As bases legais: por que você pode usar aquele dado

A LGPD não proíbe usar dados. Ela exige que cada uso tenha uma justificativa prevista em lei, chamada base legal. São dez ao todo, mas no dia a dia de um pequeno negócio quatro resolvem quase tudo. O erro mais comum é achar que consentimento é sempre necessário. Não é: em muitos casos existe base melhor e mais estável.

Base legalExemplo no pequeno negócio
Execução de contratoGuardar o endereço do cliente para entregar o produto que ele comprou
Obrigação legalManter dados da nota fiscal e do pagamento por exigência fiscal
Legítimo interesseAvisar um cliente antigo sobre um serviço parecido, com cautela e opção de sair
ConsentimentoEnviar newsletter ou promoção para quem se cadastrou por vontade própria

Repare que o consentimento é a base certa quando não há nenhuma outra justificativa. E ele precisa ser livre e claro: nada de caixa já marcada ou de esconder a autorização no meio de um texto enorme. Quem dá o consentimento pode retirá-lo depois, e você precisa respeitar.

Os direitos do titular

A pessoa dona dos dados, que a lei chama de titular, tem direitos que o seu negócio precisa saber atender. Os principais no dia a dia são o acesso (saber quais dados você tem sobre ela), a correção (arrumar um dado errado, como um endereço trocado) e a exclusão ou eliminação (apagar os dados quando não há mais motivo para guardá-los). Há também o direito de saber com quem você compartilhou os dados e de retirar o consentimento.

Na prática, isso significa ter um canal onde o cliente peça essas coisas e receber uma resposta em prazo razoável. Não precisa de um sistema caro: um e-mail de contato divulgado e a disposição de atender já cumprem o espírito da lei para um negócio pequeno. O que não pode é ignorar o pedido.

Os deveres práticos do pequeno negócio

Traduzindo a lei para tarefas concretas, é isso que o dono de um MEI ou de uma pequena empresa deve fazer:

O papel da ANPD

A ANPD, a Autoridade Nacional de Proteção de Dados, é o órgão do governo que fiscaliza e orienta o cumprimento da LGPD. É ela quem edita regras mais detalhadas, atende denúncias e pode aplicar sanções, que vão de advertência a multa. Para o pequeno negócio, a boa notícia é que a ANPD publicou orientações e um guia específico reconhecendo que microempresas, empresas de pequeno porte, startups e o MEI cumprem a lei de forma simplificada e proporcional. A postura da autoridade tem sido mais de orientar do que de punir de imediato, mas isso não é desculpa para ignorar os deveres básicos.

O curso de LGPD Essencial mostra como aplicar cada um desses passos no seu negócio, com exemplos reais, modelo de política de privacidade e certificado, sem custo. É conteúdo educativo pensado para o dono de pequena empresa entender e agir sem depender de consultoria cara.

Mitos que atrapalham quem tem negócio pequeno

Fontes

Conclusão

A LGPD pede do pequeno negócio algo mais simples do que parece: colete só o dado que você usa, deixe claro para que serve, escolha a base legal certa em vez de pedir consentimento para tudo, proteja o que guarda e saiba atender quando alguém pedir acesso, correção ou exclusão. MEI e pequena empresa não estão fora da lei, mas cumprem de forma proporcional ao porte. Este guia é educativo e não substitui a orientação de um profissional para casos específicos. Para aprender a aplicar tudo isso passo a passo, use o curso de LGPD Essencial e conheça todos os cursos gratuitos do ValorFinal.

Calculadoras deste guia

Fontes oficiais

Links externos para os documentos oficiais consultados na construção desta página. O conteúdo deles pode mudar sem aviso; em caso de divergência, vale sempre a fonte oficial.

Como validamos os cálculos

Os valores citados neste guia são estimativos e baseados em fontes oficiais (ANPD (gov.br/anpd) e Lei 13.709/2018 (Planalto)). Eles podem variar conforme convenção coletiva, situação individual e atualizações da legislação. Entenda nossa metodologia em como validamos os cálculos.

Perguntas frequentes

A LGPD vale para MEI e pequena empresa?
Sim. A Lei Geral de Proteção de Dados (Lei 13.709/2018) vale para qualquer pessoa ou empresa que trate dados pessoais no Brasil, do MEI à grande corporação. Não existe faixa de faturamento que dispense a lei. O que a ANPD reconhece é que pequenos negócios podem cumprir de forma proporcional ao seu porte e ao risco: menos burocracia, prazos mais flexíveis, mas os deveres básicos continuam valendo.
O que conta como dado pessoal?
Dado pessoal é qualquer informação que identifica ou permite identificar uma pessoa: nome, CPF, e-mail, telefone, endereço, foto, placa do carro, número do pedido ligado a um cliente. Se você guarda um cadastro de clientes ou uma lista de contatos, já trata dados pessoais. Há ainda os dados sensíveis (saúde, religião, biometria, opinião política, orientação sexual), que exigem cuidado redobrado e quase sempre consentimento específico.
Preciso pedir consentimento para tudo?
Não. Consentimento é só uma das dez bases legais da LGPD. Para emitir uma nota fiscal você usa a obrigação legal; para entregar um produto que a pessoa comprou, a execução do contrato. Pedir consentimento para tudo, inclusive para o que já tem outra base, costuma ser erro. O consentimento faz sentido quando não há outra justificativa, como enviar promoções por e-mail para quem não é cliente ainda.
Toda pequena empresa precisa de um DPO ou encarregado?
Não obrigatoriamente. A ANPD dispensou os agentes de tratamento de pequeno porte da obrigação de indicar um encarregado formal, desde que ofereçam um canal de contato para o titular. Ou seja, você não precisa contratar um profissional dedicado, mas precisa de um e-mail ou formulário onde o cliente possa pedir acesso, correção ou exclusão dos dados e receber resposta.
O que fazer se houver um vazamento de dados?
Se um incidente puder causar risco ou dano relevante aos titulares (vazamento de uma lista de clientes, invasão do sistema, perda de um dispositivo com cadastros), você deve comunicar a ANPD e as pessoas afetadas em prazo razoável. O aviso descreve o que aconteceu, quais dados foram atingidos e o que a empresa está fazendo. Guardar registro de como você trata e protege os dados ajuda muito nessa hora.
Onde aprendo a aplicar a LGPD no meu negócio passo a passo?
O curso de LGPD Essencial do ValorFinal ensina isso de forma prática e gratuita: o que é dado pessoal, quais bases legais usar em cada situação, como escrever uma política de privacidade simples, como responder a pedidos dos titulares e o que fazer diante de um incidente. É conteúdo educativo, feito para o dono de pequeno negócio entender e agir sem depender de juridiquês.