O que a LGPD exige das empresas de tecnologia?
A Lei Geral de Proteção de Dados (Lei 13.709/2018) se aplica a toda empresa que coleta, armazena ou processa dados pessoais. Para empresas de tecnologia — SaaS, apps, plataformas digitais — as obrigações são particularmente extensas porque o dado pessoal é parte central do produto. A ANPD (Autoridade Nacional de Proteção de Dados) intensificou a fiscalização em 2025, aplicando 47 sanções e R$ 38 milhões em multas, com 62% das penalidades direcionadas a empresas de tecnologia.
| Obrigação LGPD | Descrição | Prazo | Penalidade |
|---|---|---|---|
| Base legal documentada | Definir base legal para cada tratamento | Contínuo | Até 2% do faturamento |
| Registro de operações (ROPA) | Mapa de todos os tratamentos de dados | Contínuo | Advertência a multa |
| DPO nomeado | Encarregado de dados designado | Imediato | Advertência |
| DPIA (Relatório de Impacto) | Avaliação de riscos para tratamento de alto risco | Antes do tratamento | Suspensão do tratamento |
| Política de privacidade | Informar titular sobre tratamento | Contínuo | Multa + publicização |
| Canal de direitos do titular | Mecanismo para pedidos de acesso/exclusão | Contínuo | Multa |
| Notificação de incidentes | Comunicar ANPD em caso de vazamento | 72 horas | Multa agravada |
| Contratos com operadores | Cláusulas LGPD com fornecedores | Contínuo | Responsabilidade solidária |
Bases legais para empresas de tecnologia
A LGPD define 10 bases legais para tratamento de dados pessoais (Art. 7). Para empresas de tecnologia, as mais relevantes são:
Consentimento (Art. 7, I) — Necessário para marketing, cookies não essenciais, compartilhamento com terceiros. Deve ser livre, informado, inequívoco e específico. Cookie banners genéricos ("aceitar tudo") não atendem ao requisito de granularidade.
Execução de contrato (Art. 7, V) — Base legal para processar dados necessários à prestação do serviço contratado. Um SaaS de gestão que armazena dados de clientes do usuário opera sob esta base. Abrange nome, email, dados de uso, histórico de transações — desde que necessários à entrega do serviço.
Legítimo interesse (Art. 7, IX) — Base legal mais flexível, mas exige LIA (Legitimate Interest Assessment). Aplicável a analytics internos, prevenção de fraude, melhoria de produto. Não cobre marketing direto sem opt-in prévio.
Obrigação legal (Art. 7, II) — Para retenção de dados exigida por lei: notas fiscais (5 anos), registros contábeis (5 anos), logs de acesso (Art. 15, Marco Civil da Internet — 6 meses).
DPO: Encarregado de Proteção de Dados
Toda empresa de tecnologia que trata dados pessoais deve nomear um DPO (Data Protection Officer), chamado de "Encarregado" na LGPD. O DPO é o ponto de contato entre a empresa, titulares dos dados e ANPD. Pode ser funcionário interno ou terceirizado (DPO as a Service), com custo entre R$ 2.000 e R$ 15.000/mês para empresas de tecnologia de pequeno e médio porte.
DPIA: Relatório de Impacto à Proteção de Dados
O DPIA (Data Protection Impact Assessment) é obrigatório quando o tratamento apresenta alto risco aos direitos dos titulares. Para empresas de tecnologia, os cenários que exigem DPIA incluem: tratamento de dados sensíveis (saúde, biometria, dados judiciais), decisões automatizadas que afetem o titular, monitoramento sistemático em larga escala e uso de IA para perfilamento ou scoring.
| Cenário | DPIA Obrigatório? | Exemplo |
|---|---|---|
| SaaS com dados de saúde | Sim | Portal do Dentista |
| CRM com scoring de leads | Sim | PropTechBR |
| IA para análise jurídica | Sim | Advogando.AI |
| E-commerce com pagamento | Não (dados financeiros são do processador) | — |
| Blog com analytics | Não (dados anonimizados) | — |
| App com geolocalização | Sim | — |
Checklist prático de conformidade LGPD
A implementação de compliance LGPD para uma empresa de tecnologia típica leva de 60 a 120 dias. O checklist abaixo organiza as tarefas por prioridade.
Semana 1-2: Nomear DPO (interno ou terceirizado), publicar política de privacidade e termos de uso, implementar banner de cookies com granularidade e criar canal de direitos do titular (formulário ou email dedicado).
Semana 3-6: Mapear todos os tratamentos de dados (ROPA), definir base legal para cada tratamento, revisar contratos com fornecedores (cláusulas de operador) e implementar log de consentimentos.
Semana 7-10: Realizar DPIA para tratamentos de alto risco, implementar processo de resposta a incidentes (72 horas para notificar ANPD), treinar equipe (desenvolvimento, suporte, marketing) e implementar Privacy by Design no ciclo de desenvolvimento.
Semana 11-12: Auditoria interna de conformidade, testes de processos (pedido de exclusão, portabilidade) e documentação final.
Perguntas Frequentes
Quanto custa a conformidade LGPD para uma startup?
O custo varia de R$ 15.000 a R$ 80.000 para implementação inicial, dependendo da complexidade. Um DPO terceirizado custa R$ 2.000-5.000/mês para startups. Ferramentas de gestão de consentimento (OneTrust, Cookiebot) custam de R$ 200 a R$ 2.000/mês. O custo de NÃO estar em conformidade é significativamente maior: multas de até R$ 50 milhões por infração.
Empresa pequena precisa se adequar à LGPD?
Sim. A LGPD se aplica a toda empresa que trate dados pessoais, independente do porte. A ANPD publicou a Resolução CD/ANPD 2/2022 com regras simplificadas para pequenas empresas, microempresas e startups, incluindo dispensa de DPO dedicado e prazos maiores para responder titulares. Contudo, as obrigações fundamentais (base legal, segurança, notificação de incidentes) se mantêm.
Quais dados são considerados sensíveis pela LGPD?
Dados sensíveis incluem: origem racial ou étnica, convicção religiosa, opinião política, filiação sindical, dados de saúde, dados genéticos, dados biométricos e dados sobre orientação sexual. Dados judiciais (processos, condenações) também recebem proteção especial. O tratamento de dados sensíveis exige consentimento específico ou base legal restrita (Art. 11).
O que fazer em caso de vazamento de dados?
O controlador deve: avaliar o risco aos titulares em até 24 horas, comunicar a ANPD em até 72 horas (Resolução CD/ANPD 15/2024), comunicar os titulares afetados sem prazo definido (mas sem demora injustificada), documentar o incidente e as medidas tomadas e implementar correções para prevenir recorrência. A não notificação agrava significativamente a penalidade.
LGPD se aplica a dados de empresas (B2B)?
A LGPD protege dados de pessoas físicas, não jurídicas. Contudo, dados de representantes legais, funcionários e contatos comerciais de empresas são dados pessoais protegidos. Um CRM B2B com nome, email e telefone de contatos comerciais está sujeito à LGPD.