LGPD para pequenas empresas: o que a Resolução 2/2022 simplifica e o que continua obrigatório
"A LGPD foi feita para grandes empresas" — essa percepção é comum entre empreendedores brasileiros, mas está errada. A LGPD se aplica a qualquer pessoa natural ou jurídica que trate dados pessoais, independentemente do porte. O que existe é um regime diferenciado para agentes de pequeno porte — mais simples, com menos burocracia —, mas não uma isenção.
Em 2025, o Sebrae estimou que 77% dos pequenos negócios brasileiros ainda não haviam tomado nenhuma ação efetiva em relação à LGPD. E o caso Telekall, uma microempresa que recebeu a primeira multa da ANPD, demonstrou que o regulador não poupa pequenos agentes quando há violações graves.
Este guia explica o que a Resolução CD/ANPD Nº 2/2022 simplifica, o que continua obrigatório e como se adequar com recursos limitados.
A base legal do tratamento diferenciado
O Art. 55-J, XVIII da LGPD determina expressamente que compete à ANPD:
"editar normas, orientações e procedimentos simplificados e diferenciados, inclusive quanto aos prazos, para que microempresas e empresas de pequeno porte, bem como iniciativas empresariais de caráter incremental ou disruptivo que se autodeclarem startups ou empresas de inovação, possam adequar-se a esta Lei"
A Resolução CD/ANPD Nº 2/2022 é a concretização desse mandato. Publicada em 27 de janeiro de 2022, ela estabelece um regime simplificado que reconhece a realidade de organizações com menos recursos, mas sem abrir mão dos princípios fundamentais de proteção de dados.
Quem pode usar o regime simplificado
A Resolução Nº 2/2022 aplica-se a:
| Porte | Critério de receita anual |
|---|---|
| MEI (Microempreendedor Individual) | Até ~R$ 81.000,00 (limite atual do MEI) |
| Microempresa (ME) | Até R$ 360.000,00 |
| Empresa de Pequeno Porte (EPP) | R$ 360.000,01 a R$ 4.800.000,00 |
| Startup | Até R$ 16 milhões anuais ou R$ 1,34 milhão × número de meses em atividade (se menos de 12 meses), conforme LC 182/2021 |
Os parâmetros de porte seguem a Lei Complementar Nº 123/2006 (Estatuto das ME e EPP) e a Lei Complementar Nº 182/2021 (startups).
A exceção crítica: tratamento de alto risco
Mesmo que o agente se enquadre nos critérios de porte acima, ele perde o regime simplificado se realizar tratamento de alto risco. A Resolução Nº 2/2022 define tratamento de alto risco como aquele que reúne pelo menos um critério geral E um critério específico:
Critérios gerais
- Tratamento em larga escala (número significativo de titulares ou volume expressivo de dados)
- Tratamento que possa afetar significativamente interesses e direitos fundamentais dos titulares
Critérios específicos (ao menos um)
- Uso de tecnologias emergentes ou inovadoras
- Vigilância ou controle de áreas acessíveis ao público
- Decisões automatizadas baseadas exclusivamente no tratamento de dados (com efeitos sobre perfis pessoais, profissionais, de saúde ou de crédito)
- Tratamento de dados sensíveis (saúde, biometria, origem racial, religião, vida ou orientação sexual, filiação política, sindical ou religiosa, dados genéticos)
- Tratamento de dados de crianças, adolescentes ou idosos
Exemplos práticos:
| Situação | Enquadramento |
|---|---|
| Clínica médica MEI com prontuário de 200 pacientes | Alto risco — dados sensíveis (saúde). Perde regime simplificado |
| Startup de reconhecimento facial para academias | Alto risco — tecnologia emergente + dados biométricos |
| Loja de bairro ME com cadastro de 300 clientes (nome, telefone) | Regime simplificado — sem alto risco identificado |
| App educacional para crianças com qualquer faturamento | Alto risco — dados de crianças |
| Contabilidade EPP com dados de funcionários dos clientes | Verificar escala e dados — depende do volume |
O que a Resolução Nº 2/2022 simplifica
1. Encarregado de Dados (DPO) — Dispensado
Para agentes de pequeno porte sem tratamento de alto risco, a designação formal de um Encarregado é dispensada. Isso não significa que não há ninguém responsável pelo atendimento a titulares — mas que o cargo formal com suas responsabilidades específicas (Art. 41 da LGPD) não é exigido.
Atenção: Mesmo sem DPO formal designado, o agente precisa de um canal de comunicação para titulares e para a ANPD. Sem isso, a infração é autônoma — como demonstrado na ação de 2024 contra 20 empresas.
2. Registro de Operações de Tratamento — Simplificado
O ROPA (Registro de Operações de Tratamento, Art. 37 da LGPD) pode ser mantido em formato simplificado para agentes de pequeno porte. Não é exigido o nível de detalhe do regime geral.
O que ainda deve constar: as principais categorias de dados tratados, as finalidades e os terceiros com quem dados são compartilhados. Uma planilha simples, mantida atualizada, já atende.
3. Política de Segurança da Informação — Simplificada
Em vez de uma política de segurança completa, os agentes de pequeno porte devem adotar medidas "essenciais e necessárias" conforme sua realidade. A resolução reconhece que o nível de investimento em segurança deve ser proporcional ao risco.
4. Prazos — Em Dobro
| Prazo | Regime geral | Agentes de pequeno porte |
|---|---|---|
| Resposta a solicitação de titular (acesso, correção, etc.) | Padrão da LGPD | Em dobro |
| Notificação de incidente à ANPD (Res. 15/2024) | 3 dias úteis | 6 dias úteis |
| Complementação da comunicação de incidente | 20 dias úteis | 20 dias úteis (mesmo prazo) |
Exceção importante: Quando o incidente envolver risco de comprometimento à integridade física ou moral dos titulares, o prazo de 3 dias úteis se aplica mesmo para agentes de pequeno porte.
O que NÃO é simplificado
A Resolução Nº 2/2022 é explícita em seu Art. 6º: o regime simplificado não exime o agente de:
Observar todos os princípios da LGPD (Art. 6º da lei):
- Finalidade, adequação, necessidade, livre acesso, qualidade, transparência, segurança, prevenção, não discriminação, responsabilização e prestação de contas
Ter base legal para cada tratamento:
- Todo tratamento precisa de um dos fundamentos do Art. 7º (ou Art. 11 para dados sensíveis). Não há exceção para pequenos agentes.
Garantir os direitos dos titulares:
- Os 9 direitos do Art. 18 (acesso, correção, eliminação, portabilidade, etc.) se aplicam integralmente. O prazo de resposta é em dobro, mas a obrigação é a mesma.
Ter medidas de segurança:
- O Art. 46 se aplica. "Simplificado" não significa "zero". Significa proporcional ao risco e ao porte.
Comunicar incidentes relevantes:
- A obrigação continua — com prazo dobrado (6 dias úteis). E a obrigação de registrar todos os incidentes por 5 anos não foi flexibilizada.
Cumprir regras especiais para dados de crianças e adolescentes:
- O Art. 14 da LGPD é integral e incondicional. Qualquer agente que trate dados de menores — independentemente do porte — deve observar os requisitos de consentimento parental e as demais obrigações específicas.
O que a Telekall ensinou
A primeira multa aplicada pela ANPD a uma empresa privada — R$ 14.400 total, em julho de 2023 — foi contra a Telekall Inforservice, uma microempresa de telemarketing de Ubatuba, São Paulo.
O que a Telekall fez:
- Comercializou listas de contatos do WhatsApp para campanhas eleitorais
- Não tinha Encarregado designado
- Não conseguiu demonstrar base legal para o tratamento dos dados
- Não cooperou com o processo de fiscalização
Por que o regime simplificado não a protegeu:
Embora fosse microempresa, a ANPD entendeu que o volume de dados tratados e a natureza do tratamento (em larga escala, para fins eleitorais) afastavam a caracterização como "agente de pequeno porte" para fins da Resolução Nº 2/2022.
O que isso ensina:
- O porte não é blindagem. PMEs que fazem tratamento de alto risco serão avaliadas como qualquer grande empresa.
- Base legal é inegociável. A falta de base legal foi uma das principais infrações. Nenhum regime simplificado dispensa isso.
- Não cooperar piora tudo. A não cooperação com a fiscalização é agravante na dosimetria de sanções (Res. 4/2023).
Como se adequar: prioridades para pequenas empresas
Prioridade 1 — Ter base legal para tudo que você faz
Pergunte para cada dado que sua empresa coleta:
- Por que você coleta esse dado?
- Qual das hipóteses do Art. 7º da LGPD ampara esse tratamento?
Para a maioria dos pequenos negócios, as bases mais comuns são:
- Contrato (Art. 7º, V): Dados necessários para prestar o serviço ou executar o contrato com o cliente
- Obrigação legal (Art. 7º, II): Dados exigidos por lei (nota fiscal, eSocial, etc.)
- Legítimo interesse (Art. 7º, IX): Para comunicações de marketing com clientes existentes (com cuidado — exige teste de balanceamento)
- Consentimento (Art. 7º, I): Para usos não cobertos pelas hipóteses acima
Prioridade 2 — Canal de comunicação funcional
Mesmo sem DPO formal, a empresa precisa de uma forma de receber e responder a solicitações de titulares. Um e-mail dedicado (ex: privacidade@suaempresa.com.br), publicado no site e monitorado, já atende.
Prioridade 3 — Registro básico do que você faz com dados
Um registro simples (pode ser uma planilha) respondendo:
- Quais dados você coleta (nome, e-mail, CPF, etc.)
- Para que você usa cada dado
- Com quem você compartilha (fornecedores de sistema, contabilidade, etc.)
- Por quanto tempo você guarda
Prioridade 4 — Segurança básica
Para a maioria dos pequenos negócios, segurança básica significa:
- Senhas fortes e diferentes para cada serviço
- Autenticação de dois fatores (2FA) em serviços que contêm dados de clientes
- Não compartilhar dados de clientes em grupos de WhatsApp
- Backup regular dos dados
- Controle de quem tem acesso ao que (ex: vendedor não precisa acessar dados financeiros de clientes)
Prioridade 5 — Política de privacidade publicada
Se você tem um site, um app ou qualquer presença digital que coleta dados de usuários, precisa de uma política de privacidade clara e acessível. Para pequenas empresas, pode ser simples — mas deve existir e dizer a verdade sobre o que você faz com os dados.
Checklist para pequenas empresas
Fundamentos:
- Identificou a base legal para cada dado que coleta?
- Tem canal de comunicação funcional para titulares (e-mail ou formulário publicado)?
- Tem política de privacidade publicada (se tem site ou app)?
Segurança:
- Usa senhas fortes e 2FA nos sistemas com dados de clientes?
- Controla quem tem acesso a quê?
- Tem processo (mesmo simples) para o caso de um incidente?
Fornecedores:
- Seus fornecedores que acessam dados de clientes (plataforma de e-mail, sistema de gestão, contabilidade) têm política de privacidade?
- Se possível, assinou algum tipo de acordo sobre o uso dos dados?
Operações:
- Registrou (mesmo que em planilha simples) quais dados coleta e para quê?
- Sabe como responder se um cliente pedir para ver, corrigir ou deletar seus dados?
Conclusão
A LGPD não foi feita para ignorar pequenas empresas — foi feita para incluí-las em um modelo de proteção de dados com requisitos proporcionais ao porte e ao risco. A Resolução Nº 2/2022 é um passo significativo nessa direção: simplifica a burocracia sem eliminar a essência da lei.
Para um pequeno negócio, os primeiros passos são simples e acessíveis: saber por que você coleta cada dado, ter um canal para responder seus clientes e aplicar segurança básica. Esses três elementos já colocam a maioria das PMEs em um patamar de conformidade que demonstra boa-fé — e boa-fé, na dosimetria da ANPD, vale atenuantes.
O Confidata tem um plano para agentes de pequeno porte que cobre os fundamentos da conformidade com a LGPD: registro simplificado de atividades de tratamento, canal do titular e gestão básica de incidentes — com o nível de exigência adequado ao seu porte.
Artigos relacionados
Quer ir além? Conheça o Confidata
Sistema completo de gestão de conformidade LGPD com IA integrada para acelerar seu programa de privacidade.