FM Solutions
← Voltar para o blog
Compliance e LGPD·4 min de leitura

LGPD para PME — checklist prático para estar em dia em 90 dias

Um plano de ação realista para PMEs que ainda não se adequaram à Lei Geral de Proteção de Dados. Sem jargão jurídico, sem consultoria de seis dígitos.

Por Fabian Martinelli · 18 de abril de 2026

Em 2025 a ANPD (Autoridade Nacional de Proteção de Dados) começou a multar PMEs de verdade. Até então a autoridade estava focada em gigantes da tecnologia e telecom. Hoje, clínicas, agências, e-commerces e escritórios de serviços profissionais estão no radar.

Se sua empresa trata dados de pacientes, clientes ou colaboradores, ignorar LGPD é um risco financeiro que você não precisa correr. A boa notícia: estar em conformidade é mais simples do que parece, desde que você siga um plano sistemático.

Este é um checklist prático de 90 dias, testado em mais de 40 empresas clientes, para você chegar a um nível mínimo de aderência à lei.

Mês 1: Diagnóstico e mapeamento

Semana 1-2: Inventário de dados

Responda, com evidências:

  • Que dados pessoais coletamos? (CPF, nome, e-mail, telefone, endereço, dados de saúde, dados financeiros)
  • De quem? (clientes, funcionários, leads, fornecedores)
  • Onde esses dados ficam armazenados? (Google Drive, planilha local, CRM, sistema próprio, e-mails)
  • Quem tem acesso? (lista de pessoas e nível de permissão)

Esse mapeamento é a base de tudo. Sem ele, nada mais faz sentido.

Semana 3-4: Base legal

Para cada categoria de dado coletado, documente a base legal que autoriza o tratamento:

  • Consentimento (cliente marcou opt-in explícito)
  • Execução de contrato (dados necessários para entregar o serviço)
  • Interesse legítimo (prospecção comercial, análise de fraude)
  • Cumprimento de obrigação legal (dados fiscais, trabalhistas)

A ANPD vai perguntar "por que você tem esse dado?" e você precisa ter resposta clara.

Mês 2: Documentação e processos

Semana 5-6: Política de privacidade

Sua política de privacidade precisa ter, no mínimo:

  • Que dados você coleta e por quê
  • Com quem você compartilha (lista de processadores terceirizados)
  • Por quanto tempo você guarda
  • Como o titular exerce seus direitos (acesso, correção, exclusão, portabilidade)
  • Contato do DPO (encarregado)

Publique no site com link no rodapé de todas as páginas. E — ponto crítico — garanta que ela corresponde ao que você realmente faz na operação.

Semana 7-8: Canal de atendimento ao titular

Você precisa ter um canal (e-mail ou formulário) para que titulares peçam acesso, correção ou exclusão dos dados deles. A ANPD exige resposta em até 15 dias corridos.

Crie um endereço dedicado (ex: dpo@suaempresa.com.br ou privacidade@suaempresa.com.br) e documente o processo interno para responder pedidos.

Mês 3: Infraestrutura e treinamento

Semana 9-10: Segurança técnica

  • Criptografia em trânsito (HTTPS em todo o site e sistemas)
  • Criptografia em repouso (dados sensíveis criptografados no banco)
  • Controle de acesso (cada pessoa só vê o que precisa — princípio do menor privilégio)
  • Logs de acesso (quem acessou o quê e quando)
  • Backup regular (pelo menos diário, com teste de restauração)

Para operações pequenas, uma plataforma como Supabase ou AWS já entrega isso "de graça" desde que você configure corretamente.

Semana 11-12: Treinamento de equipe

Todo colaborador que lida com dados pessoais precisa de treinamento básico:

  • O que é LGPD e por que importa
  • Como identificar dado pessoal
  • O que fazer em caso de incidente (vazamento, perda)
  • Como reportar pedidos de titulares

Não precisa ser curso formal. Uma reunião de 1 hora por trimestre + documento de referência interno já te protege bastante.

O que a ANPD realmente fiscaliza

Em ordem de prioridade, baseado nos casos públicos:

  1. Política de privacidade ausente ou desatualizada — multa fácil, muito comum
  2. Consentimento não documentado (opt-in genérico no rodapé não vale)
  3. Falta de resposta a titulares em 15 dias
  4. Compartilhamento com terceiros sem informar
  5. Incidentes de segurança não comunicados à ANPD

Os pontos 1 a 4 você resolve com documentação e processo. O 5 é o mais complicado e exige infraestrutura.

Ferramentas que ajudam

Você pode fazer tudo isso com planilha, Google Docs e e-mail — e muitas empresas começam assim. Conforme cresce, compensa usar uma ferramenta integrada.

O Compliance Analyzer do marketplace faz exatamente esse diagnóstico em 40 minutos, identifica os gaps, e gera um plano de ação priorizado com responsável, prazo e esforço. Incluso no plano Pro.

Conclusão

LGPD não é bicho de sete cabeças, mas exige disciplina. O pior cenário é ignorar até chegar uma notificação — aí você tem 15 dias para responder e, sem preparo, vira caos.

Começar agora, com um plano de 90 dias bem executado, resolve 80% do risco regulatório. Os outros 20% são ajustes finos que você faz ao longo do tempo.

Fale conosco se precisar de ajuda para diagnosticar onde você está. As primeiras 30 empresas que se cadastrarem em 2026 recebem o diagnóstico Compliance Analyzer gratuitamente.

#lgpd#compliance#pme#anpd

Gostou do conteúdo?

Conheça o marketplace e comece a usar IA na sua PME hoje.

Ver planosFalar com o time