LGPD para PME em 2026 — o que muda quando a ANPD começa a multar de verdade
A Lei Geral de Proteção de Dados Pessoais (Lei 13.709/2018) completou cinco anos de vigência em agosto de 2025 com um histórico de fiscalização que confunde quem leu apenas as manchetes. A Autoridade Nacional de Proteção de Dados (ANPD) aplicou sua primeira multa contra empresa privada em julho de 2023 — R$ 14.400 contra a Telekall Infoservice, microempresa que vendia listas de WhatsApp para campanhas eleitorais sem base legal e sem encarregado de dados nomeado. Em 2024, a autarquia encerrou cinco processos sancionadores e não aplicou nenhuma multa contra empresa privada — todos os autuados eram entes públicos, que pela própria LGPD não podem ser multados em dinheiro. Esse contraste virou justificativa para empresários assumirem que a LGPD é letra morta. É exatamente a leitura errada.
A tese deste guia é contraintuitiva: o risco material da LGPD para uma PME em 2026 não está na multa estatal — está no contrato comercial e no incidente público. Grandes contratantes (governo, varejistas-âncora, marketplaces, plataformas de pagamento) já exigem cláusulas LGPD com responsabilização solidária. Um vazamento de dados que escape do controle vira manchete antes de virar processo, e o custo reputacional precede o custo regulatório em 18 a 24 meses. Quando a ANPD finalmente multar, a empresa já terá perdido contratos, sofrido ação coletiva via Procon e enfrentado responsabilidade civil direta no Código de Defesa do Consumidor.
Quem está esperando a primeira multa de R$ 50 milhões para se adequar está olhando para o termômetro errado. O termômetro real é o último contrato que você não fechou porque o cliente exigiu DPO nomeado e você não tinha.
A boa notícia para o empreendedor brasileiro é que a ANPD reconheceu a assimetria entre micro/pequenas empresas e grandes corporações e publicou um regime simplificado específico — a Resolução CD/ANPD nº 2, de 27 de janeiro de 2022, que dispensa "agentes de tratamento de pequeno porte" (MEI, ME, EPP, startups) de várias obrigações formais. Mas dispensa não é isenção: a base legal e o tratamento adequado dos dados continuam exigíveis em qualquer porte.
Tabela canônica — obrigações LGPD por porte de empresa
A tabela abaixo consolida as obrigações em vigor em maio de 2026, distinguindo o que é exigível em cada porte e a sanção máxima cabível segundo o Regulamento de Dosimetria (Resolução CD/ANPD nº 4, de 24 de fevereiro de 2023).
| Obrigação LGPD | MEI | ME / EPP | PME médio porte | Scale-up / grande | Penalidade máxima |
|---|---|---|---|---|---|
| Base legal documentada (art. 7º) | Sim | Sim | Sim | Sim | Multa 2% faturamento, teto R$ 50 mi |
| Política de privacidade pública | Recomendado | Sim | Sim | Sim | Advertência → multa |
| Encarregado (DPO) nomeado e publicado | Dispensado | Recomendado | Obrigatório | Obrigatório | Multa simples |
| Registro de atividades de tratamento | Simplificado | Simplificado | Completo | Completo | Multa simples |
| Comunicação de incidente à ANPD (Res. 15/2024) | 6 dias úteis | 6 dias úteis | 3 dias úteis | 3 dias úteis | Multa diária até R$ 50 mi |
| Relatório de Impacto (RIPD) | Quando solicitado | Quando solicitado | Em alto risco | Em alto risco | Suspensão de atividade |
| Direitos dos titulares (prazo de atendimento) | 15 dias | 15 dias | 15 dias | 15 dias | Multa simples |
| Transferência internacional com salvaguardas | Sim | Sim | Sim | Sim | Bloqueio de dados |
| Auditoria periódica de segurança | Recomendada | Recomendada | Obrigatória de fato | Obrigatória de fato | Publicização da infração |
| Treinamento da equipe | Recomendado | Sim | Sim | Sim | Componente da dosimetria |
Fonte: Lei 13.709/2018, Resolução CD/ANPD nº 2/2022, Resolução CD/ANPD nº 4/2023, Resolução CD/ANPD nº 15/2024, Resolução CD/ANPD nº 18/2024.
Por que a fiscalização vai virar em 2026
A pergunta operacional para 2026 não é "a ANPD vai multar?" — é "quando o vetor de fiscalização passa de educacional para sancionatório?". Há três sinais convergentes que apontam para a virada.
Primeiro, o quadro de pessoal da ANPD finalmente está completo. A autarquia foi criada em 2018 como órgão sem autonomia administrativa, passou a ser autarquia em 2021, e só em 2023-2024 conseguiu estruturar a Coordenação-Geral de Fiscalização com servidores efetivos. Antes disso, a operação era principalmente educacional por escassez de mão de obra técnica. Em 2024, três processos sancionadores contra ByteDance Brasil (TikTok), Ministério da Saúde e Secretaria de Desenvolvimento Social foram iniciados — um deles contra empresa privada de grande porte. A engrenagem está montada.
Segundo, a Resolução CD/ANPD nº 15, de 24 de abril de 2024, criou prazos vinculantes para comunicação de incidentes. Antes da Resolução 15, a obrigação do art. 48 da LGPD existia mas o "prazo razoável" era subjetivo. Agora é objetivo: três dias úteis para grandes, seis dias úteis para PMEs. Um vazamento que demora dez dias para ser comunicado já é, em si, uma segunda infração — independentemente da gravidade do vazamento original. Isso muda o cálculo de risco: a omissão deixa de ser estratégia defensável.
Terceiro, a Resolução CD/ANPD nº 18, de 16 de julho de 2024, detalhou o papel do encarregado de dados (DPO) e tornou pública a obrigação de informar quem é o DPO no site da empresa. Para uma PME, isso significa que a ANPD pode varrer páginas web e identificar automaticamente empresas que não publicam DPO — um vetor de fiscalização escalável que dispensa denúncia individual.
Empresas brasileiras se acostumaram a planejar para a próxima multa. A regulação de proteção de dados, na sua maturação, exige planejar para a próxima fiscalização — porque advertência sem multa já é registro público que entra em due diligence de M&A, contrato governamental e qualificação de fornecedor.
Como cumprir a LGPD com orçamento de PME
A literatura jurídica brasileira tende a propor programas de adequação que envolvem consultoria externa de R$ 30 mil a R$ 150 mil, software de governança de dados e auditoria anual. Para uma empresa com faturamento abaixo de R$ 4,8 milhões, esse orçamento não fecha. O caminho real para PMEs envolve cinco entregas mínimas, executáveis internamente em 60-90 dias.
A primeira entrega é o inventário de dados pessoais. Listar em planilha todos os campos de dados pessoais que a empresa coleta, onde armazena (CRM, e-mail, planilhas, sistemas legados), por quanto tempo retém e com base em qual hipótese do art. 7º da LGPD (consentimento, execução de contrato, obrigação legal, legítimo interesse, proteção da vida, exercício regular de direitos, política pública, estudo por órgão de pesquisa, proteção do crédito, tutela da saúde). Sem inventário, todas as outras entregas são paliativas.
A segunda entrega é a política de privacidade pública, publicada no site e no rodapé de e-mails de marketing. O texto não precisa ser jurídico — precisa ser claro sobre quais dados são coletados, para qual finalidade e como o titular pode exercer seus direitos. Modelos abertos do Sebrae e da própria ANPD bastam para começar.
A terceira entrega é a nomeação de encarregado (DPO), mesmo que dispensável para o porte. Em uma PME, o DPO pode ser um sócio ou o responsável pelo financeiro. O que importa é ter uma pessoa identificada com e-mail público (formato dpo@empresa.com.br ou privacidade@empresa.com.br) para receber demandas de titulares. A Resolução CD/ANPD nº 18/2024 detalha as atribuições.
A quarta entrega é o fluxo de resposta a incidentes, documentado em uma página: quem identifica, quem decide se comunica à ANPD, quem redige a notificação, qual é o canal (formulário no gov.br/anpd), qual é o prazo. Sem fluxo, o prazo de seis dias úteis evapora.
A quinta entrega é o treinamento da equipe — duas horas por ano, gravadas, sobre o que é dado pessoal, o que é tratamento, quais são as bases legais e o que fazer diante de uma solicitação de titular. Treinamento documentado é fator atenuante explícito na dosimetria da Resolução 4/2023.
Quanto custa não cumprir — os números reais
A multa máxima da LGPD é de 2% do faturamento da empresa do último exercício, limitada a R$ 50 milhões por infração. Para uma PME com faturamento de R$ 4 milhões, isso significa multa máxima de R$ 80 mil por infração. Para uma scale-up com faturamento de R$ 100 milhões, R$ 2 milhões por infração. A dosimetria da Resolução CD/ANPD nº 4/2023 estabelece três níveis de gravidade — leve, médio e grave — com alíquotas-base diferentes e fatores agravantes e atenuantes.
Mas a multa direta é a menor parte do custo. O custo real tem quatro camadas. A primeira é a multa administrativa da ANPD, calculada pela dosimetria. A segunda é a responsabilidade civil direta, prevista nos arts. 42-45 da LGPD: o titular lesado pode pleitear indenização por danos morais e materiais, e a jurisprudência brasileira em 2024-2025 já fixou patamares de R$ 5 mil a R$ 15 mil por titular em casos de vazamento massivo. A terceira é a responsabilidade administrativa solidária quando a PME atua como operadora de dados de um controlador maior — o contrato com o controlador costuma transferir o risco da multa por backstop contratual. A quarta é a perda de contratos: cláusulas LGPD passaram a constar de RFP de grandes corporações desde 2023, e empresa sem DPO nomeado não passa pela qualificação inicial.
Em 2024, a ANPD ainda não havia aplicado multa contra empresa privada por incidente de segurança documentado em larga escala (caso INSS resultou em advertência por se tratar de órgão público, não passível de multa). A leitura conservadora para 2026 é que o primeiro caso público de multa elevada (acima de R$ 1 milhão) deve ocorrer antes do fim do ano, dado o avanço dos processos contra grandes plataformas em curso desde 2024. [FALTA EVIDÊNCIA] sobre valor específico de multa aplicada à TikTok Brasil em 2025 — caso ainda não havia decisão pública confirmada na pesquisa de maio de 2026.
Próximas mudanças regulatórias previstas
A ANPD publicou em sua agenda regulatória 2024-2025 três pendências que devem aterrissar em 2026 e impactar PMEs diretamente. A primeira é o regulamento de transferência internacional de dados, que vai detalhar as cláusulas-padrão exigíveis para transferir dados pessoais a operadores fora do Brasil (Estados Unidos, Europa). Empresas que usam SaaS estrangeiro (Google Workspace, AWS, Hubspot, Salesforce, Mailchimp) precisarão revisar contratos. A segunda é o regulamento sobre uso de dados pessoais em inteligência artificial generativa, em consulta pública desde 2024, com previsão de publicação ainda em 2026. A terceira é a regulamentação de decisões automatizadas (art. 20 da LGPD), particularmente relevante para fintechs e e-commerce que usam scoring para concessão de crédito ou aprovação de pedido — tema que conecta diretamente ao score de crédito PJ e à análise antifraude.
Para PMEs do setor financeiro, há sobreposição regulatória com o Banco Central — a Resolução CMN 4.658/2018 (cibersegurança), as resoluções de Open Finance e as obrigações de PLD-FT criam um arcabouço integrado. O detalhe das resoluções do BCB aplicáveis a fintechs e PSPs está em resoluções BCB para fintechs PME.
Próximo passo concreto
A entrega de maior alavancagem para uma PME que ainda não começou é o inventário de dados em planilha simples — 8 colunas, uma linha por sistema. Faça em 4 horas. Em seguida, nomeie o DPO interno e publique o e-mail no site. As outras três entregas vêm em ordem. O custo total dessa adequação mínima, sem consultoria externa, é de 40-60 horas de trabalho interno e zero reais em software. É menos do que o custo de uma única hora de defesa em processo sancionador.
Para entender como a LGPD se entrelaça com a abertura de conta corrente PJ — onde dados pessoais dos sócios são coletados pela instituição financeira sob a Resolução BCB 4.753/2019 — leia também nosso guia de KYC e KYB para conta PJ.
Perguntas frequentes
MEI precisa cumprir a LGPD?
Sim. A Resolução CD/ANPD nº 2/2022 dispensa MEI de várias obrigações formais (registro detalhado, DPO obrigatório, RIPD), mas as bases legais do art. 7º, o atendimento a direitos dos titulares e a comunicação de incidentes continuam exigíveis. Em termos práticos, o MEI precisa ter uma política de privacidade simples no site, responder a pedidos de titulares em 15 dias e comunicar incidentes à ANPD em até 6 dias úteis.
A multa da LGPD é de 2% do faturamento ou R$ 50 milhões?
É de 2% do faturamento da empresa do último exercício, limitado a R$ 50 milhões por infração. Para a maioria das PMEs, o teto efetivo é o percentual, não o valor absoluto. A dosimetria da Resolução CD/ANPD nº 4/2023 calcula uma alíquota-base conforme a gravidade da infração e aplica fatores agravantes (reincidência, dolo, exploração de vulnerabilidade) e atenuantes (cooperação, treinamento, programa de governança documentado).
Quem precisa nomear DPO?
A LGPD exige DPO para controladores de dados (art. 41). A Resolução CD/ANPD nº 2/2022 dispensa agentes de pequeno porte da nomeação obrigatória, desde que disponham de canal de comunicação com o titular. Na prática, médias e grandes empresas precisam de DPO formal; MEI e ME podem usar canal único de privacidade (e-mail dpo@) sem nomeação formal — mas a recomendação operacional é nomear mesmo assim, porque facilita demonstração de boa-fé em fiscalização.
O que acontece se eu não comunicar um vazamento à ANPD?
A não comunicação dentro do prazo (3 dias úteis para grandes, 6 dias úteis para pequenos, conforme Resolução CD/ANPD nº 15/2024) é infração autônoma, classificável como média ou grave. Em 2024, a ANPD aplicou advertência ao INSS justamente por essa omissão. Para empresa privada, o mesmo fato gera multa simples ou diária. Comunicar tarde é melhor do que não comunicar — e comunicar prevenindo é melhor do que comunicar reagindo.
LGPD vale para B2B ou só para B2C?
Vale para qualquer tratamento de dados pessoais — e o dado do CEO da empresa cliente é dado pessoal mesmo quando o contrato é B2B. CNPJ não é dado pessoal, mas e-mail corporativo nominal (nome.sobrenome@empresa.com), telefone do comprador e cadastros de prospecção são. Empresas B2B que mantém CRM com leads pessoais estão integralmente sujeitas à LGPD.
Posso usar o legítimo interesse para qualquer tratamento?
Não. O legítimo interesse (art. 7º, IX) é a base legal mais flexível e por isso a mais auditada. Exige teste de balanceamento documentado (LIA — Legitimate Interest Assessment) comparando o interesse do controlador com os direitos do titular. Não cabe para dados sensíveis (art. 11). Em marketing direto, é tolerado quando há relação prévia com o titular, mas pode ser questionado pela ANPD. Para prospecção fria em massa, o caminho mais seguro é consentimento ou execução de contrato.
Stone não patrocina este conteúdo. Para entender como dados pessoais são tratados na abertura de conta corrente PJ, consulte nosso guia de conta PJ completa. Valores e condições de produtos Stone em conteudo.stone.com.br.