LGPD para Empresas em Ribeirão Preto: o que você precisa fazer agora

Postado em |

LGPD para Empresas em Ribeirão Preto: o que você precisa fazer agora

A Lei Geral de Proteção de Dados — LGPD, Lei nº 13.709/2018 — está em vigor há anos, mas a realidade que se vê no dia a dia das empresas em Ribeirão Preto e região é que a maioria ainda não se adequou. Não por desconhecimento da existência da lei, mas por não saber por onde começar.

Este artigo explica, em linguagem direta, o que a LGPD exige das empresas, quais são os riscos reais de não cumpri-la e quais são os primeiros passos concretos para a adequação.

O que é a LGPD e por que ela importa para a sua empresa

A LGPD regulamenta o tratamento de dados pessoais por empresas públicas e privadas no Brasil. Dado pessoal é qualquer informação que identifique ou possa identificar uma pessoa: nome, CPF, e-mail, endereço, número de telefone, dados bancários, histórico de compras, localização, dados de saúde e muitos outros.

Se a sua empresa coleta, armazena, usa, compartilha ou descarta qualquer dado de cliente, funcionário, fornecedor ou parceiro — ela trata dados pessoais e está sujeita à LGPD. Não existe empresa de médio ou pequeno porte que esteja fora do alcance da lei.

A autoridade responsável por fiscalizar e aplicar sanções é a ANPD — Autoridade Nacional de Proteção de Dados, que desde 2023 já instaurou processos administrativos e pode aplicar multas de até R$ 50 milhões por infração — ou 2% do faturamento da empresa no Brasil, o que for menor.

Quais dados a LGPD protege

A lei protege dados pessoais comuns — nome, endereço, e-mail, CPF, telefone — e dados pessoais sensíveis, que recebem proteção reforçada:

  • Origem racial ou étnica
  • Convicção religiosa ou política
  • Filiação a sindicato
  • Dados de saúde e vida sexual
  • Dados genéticos ou biométricos
  • Dados de crianças e adolescentes

Os dados sensíveis exigem cuidados ainda mais rigorosos e, em muitos casos, consentimento explícito e específico do titular para serem tratados.

Quem está sujeito à LGPD

Toda empresa que trate dados de pessoas localizadas no Brasil está sujeita à lei — independentemente do porte, do setor ou de onde a empresa está sediada. Isso inclui:

Clínicas médicas e odontológicas, escritórios de advocacia e contabilidade, comércio físico e e-commerce, academias, escolas e cursos livres, prestadores de serviços de qualquer natureza, restaurantes e redes de alimentação, indústrias, imobiliárias e construtoras, e todos os empregadores — porque os dados dos próprios funcionários também são protegidos pela LGPD.

A única exceção relevante são pessoas físicas que tratem dados exclusivamente para uso pessoal, e órgãos públicos, que seguem regras específicas.

O que a lei exige das empresas na prática

1. Base legal para tratar dados

A empresa precisa ter uma justificativa legal para cada tratamento de dado que realiza. A LGPD lista dez bases legais — as mais comuns para empresas são:

Consentimento: o titular autorizou expressamente. Importante: o consentimento precisa ser livre, informado e específico. Aquela caixa pré-marcada não vale.

Execução de contrato: o dado é necessário para cumprir o contrato com o titular. Exemplo: usar o endereço do cliente para entregar o produto que ele comprou.

Legítimo interesse: a empresa tem interesse legítimo que não viola os direitos do titular. Exemplo: usar o histórico de compras para recomendar produtos.

Cumprimento de obrigação legal: a lei exige que a empresa trate aquele dado. Exemplo: manter dados trabalhistas dos funcionários conforme a CLT.

A empresa precisa saber, para cada dado que coleta, qual é a base legal que justifica aquele tratamento. Se não souber, provavelmente está em desconformidade.

2. Política de privacidade clara e acessível

Todo site, aplicativo ou canal de atendimento da empresa que coleta dados precisa ter uma política de privacidade que informe ao titular: quais dados são coletados, para que são usados, com quem são compartilhados, por quanto tempo são mantidos e como o titular pode exercer seus direitos.

Copiar a política de privacidade de outra empresa — prática comum e perigosa — não é adequação. A política precisa refletir a realidade da sua empresa.

3. Gestão de consentimento

Quando a base legal for o consentimento, a empresa precisa ser capaz de provar que obteve esse consentimento de forma válida — e precisa permitir que o titular o revogue a qualquer momento, com a mesma facilidade com que o concedeu.

4. Direitos dos titulares

A LGPD garante ao titular — cliente, funcionário, fornecedor — uma série de direitos que a empresa é obrigada a respeitar:

  • Confirmar se a empresa trata seus dados
  • Acessar os dados que a empresa tem sobre ele
  • Corrigir dados incompletos ou incorretos
  • Solicitar a exclusão dos dados
  • Pedir portabilidade para outra empresa
  • Revogar o consentimento
  • Pedir informação sobre com quem os dados foram compartilhados

A empresa precisa ter um processo para receber e responder a essas solicitações dentro do prazo legal.

5. Segurança da informação

A LGPD exige que a empresa adote medidas técnicas e organizacionais para proteger os dados pessoais contra acessos não autorizados, vazamentos, destruição ou perda. Isso inclui: controle de acesso interno, criptografia onde necessário, backups seguros, política de uso de dispositivos e sistemas, e treinamento da equipe.

6. DPO — Encarregado de Proteção de Dados

A LGPD exige que a empresa indique um DPO (Data Protection Officer) — o encarregado pela proteção de dados. Ele é o canal de comunicação entre a empresa, os titulares dos dados e a ANPD. Pode ser um funcionário interno ou um profissional externo contratado para a função.

7. Contratos com fornecedores

Se a empresa compartilha dados pessoais com fornecedores, parceiros ou prestadores de serviços, precisa garantir que esses terceiros também cumprem a LGPD — e isso precisa estar formalizado em contrato, com cláusulas específicas de proteção de dados.

8. Notificação de incidentes

Em caso de vazamento ou incidente de segurança que possa causar risco ou dano aos titulares, a empresa é obrigada a comunicar a ANPD e os titulares afetados em prazo razoável — que a ANPD tem entendido como 72 horas em situações graves.

Quais são as penalidades pelo descumprimento

A ANPD pode aplicar as seguintes sanções, de forma isolada ou cumulativa:

Advertência — com prazo para corrigir a irregularidade.

Multa simples — de até 2% do faturamento da empresa no Brasil, limitada a R$ 50 milhões por infração.

Multa diária — pelo tempo em que a irregularidade persistir.

Publicização da infração — a empresa é exposta publicamente, com impacto direto na reputação.

Bloqueio ou eliminação dos dados — a ANPD pode determinar que a empresa bloqueie ou delete os dados tratados irregularmente.

Suspensão parcial ou total do banco de dados ou das atividades que envolvam tratamento de dados.

Além das sanções administrativas, o descumprimento da LGPD pode fundamentar ações judiciais individuais ou coletivas por parte dos titulares que tiveram seus dados violados — com pedido de indenização por danos morais e materiais.

Os erros mais comuns das empresas em Ribeirão Preto e região

Nesses anos de vigência da LGPD, alguns padrões de desconformidade aparecem com frequência nas empresas do interior paulista:

Cadastro de clientes sem base legal definida. A empresa coleta nome, e-mail e CPF sem saber por que — e sem informar o cliente.

Política de privacidade copiada da internet. Genérica, desatualizada e sem relação com a realidade da empresa.

Dados de funcionários sem proteção. Holerites, atestados médicos e documentos pessoais circulando por WhatsApp sem qualquer controle.

Compartilhamento de dados com parceiros sem contrato. A empresa passa lista de clientes para representante comercial sem nenhuma formalização.

Ausência de processo para responder direitos dos titulares. Quando um cliente pede para excluir seus dados, ninguém na empresa sabe o que fazer.

Câmeras de segurança sem aviso. A LGPD se aplica a imagens também — a empresa precisa avisar que o ambiente é monitorado.

Por onde começar: os primeiros passos da adequação

A adequação à LGPD não precisa ser feita de uma vez. O caminho recomendado é progressivo:

Mapeamento de dados: identificar quais dados a empresa coleta, onde ficam armazenados, para que são usados e com quem são compartilhados. É o ponto de partida obrigatório para tudo o que vem depois.

Definição das bases legais: para cada tratamento mapeado, identificar qual base legal da LGPD o justifica.

Revisão de contratos e documentos: atualizar contratos com clientes, fornecedores e funcionários, política de privacidade, termos de uso e formulários de coleta de dados.

Indicação do DPO: nomear o encarregado de proteção de dados e divulgar os dados de contato dele.

Treinamento da equipe: a adequação técnica e documental não adianta se os funcionários não souberem como lidar com dados pessoais no dia a dia.

Implementação de medidas de segurança: controle de acesso, política de senhas, criptografia, gestão de dispositivos.

Criação de canal para direitos dos titulares: um processo claro para receber e responder solicitações de acesso, correção ou exclusão de dados.

LGPD e o setor de saúde em Ribeirão Preto

Ribeirão Preto é um polo médico de expressão nacional, com centenas de clínicas, consultórios, laboratórios e hospitais. O setor de saúde é um dos mais sensíveis sob a perspectiva da LGPD, porque trata dados de saúde — que são dados pessoais sensíveis, com proteção reforçada.

Prontuários eletrônicos, exames, laudos, prescrições, históricos de consulta — todos esses documentos contêm dados sensíveis e precisam ser tratados com controles específicos, base legal adequada (em geral, tutela da saúde ou obrigação legal) e segurança reforçada.

A adequação à LGPD no setor de saúde envolve ainda a interface com o Código de Ética Médica, o CFM e as resoluções do CFM sobre prontuário eletrônico e sigilo médico — o que torna ainda mais importante contar com assessoria jurídica especializada.

LGPD e o setor de varejo e serviços

Para o comércio e os prestadores de serviços em Ribeirão Preto, os pontos mais críticos são o cadastro de clientes, os programas de fidelidade, as campanhas de e-mail marketing e o uso de dados para segmentação em plataformas de publicidade digital (Google, Meta).

Muitas empresas ignoram que o pixel do Facebook instalado no site coleta dados dos visitantes e que esse tratamento também está sujeito à LGPD — e precisa de base legal e informação ao usuário.

Conclusão

A LGPD não é uma lei para grandes corporações. É uma lei para qualquer empresa que trate dados pessoais — e isso inclui praticamente todos os negócios em Ribeirão Preto e região, de qualquer porte e setor.

A adequação protege a empresa de multas e processos. Mas protege também a reputação — num momento em que consumidores estão cada vez mais atentos a como suas informações são tratadas, uma política de privacidade séria é um diferencial competitivo real.

O caminho começa pelo mapeamento dos dados. E a assessoria jurídica especializada em proteção de dados transforma esse processo de uma obrigação trabalhosa em uma vantagem estratégica.

Perguntas frequentes

Microempresa e MEI também precisam cumprir a LGPD? Sim. A lei não faz distinção de porte. Se a empresa coleta e usa dados pessoais — e qualquer empresa que tenha clientes ou funcionários faz isso — está sujeita à LGPD. A diferença é que empresas menores podem ter um processo de adequação mais simples, proporcional ao volume e à sensibilidade dos dados que tratam.

O WhatsApp da empresa está sujeito à LGPD? Sim. Conversas com clientes via WhatsApp envolvem dados pessoais. A empresa precisa ter políticas claras sobre o que pode ser compartilhado por esse canal, quem tem acesso e por quanto tempo as conversas são mantidas.

A LGPD se aplica a dados de funcionários? Sim. Dados de funcionários — RG, CPF, endereço, dados bancários, atestados médicos, holerites — são dados pessoais protegidos pela LGPD. A empresa precisa ter base legal para tratá-los (em geral, execução de contrato e cumprimento de obrigação legal) e garantir sua segurança.

Quanto custa a adequação à LGPD? Depende do porte da empresa e da complexidade dos dados tratados. O investimento em adequação é sempre menor do que o custo de uma multa da ANPD, de uma ação judicial por vazamento de dados ou do dano reputacional decorrente de um incidente não tratado.

Com que frequência a empresa precisa revisar sua adequação? A adequação não é um projeto com data de fim — é um processo contínuo. A empresa deve revisar suas práticas sempre que houver mudança significativa no negócio (novo produto, nova plataforma, novo parceiro), e pelo menos uma vez por ano de forma geral.

Como podemos te ajudar?
Entre em contato!

  • (11) 96619-5446
  • (16) 99251-9898
  • (16) 99251-9898
  • advocacia@candidagalvao.adv.br
  • Rua José Bianchi, 555 - sala 2311 - Nova Ribeirânia Ribeirão Preto - SP - CEP 14096-730
Facebook Linkedin

© Maria Cândida Galvão - Advocacia - Todos os direitos reservados

Acessa a Política de Privacidade clicando aqui.

Atendimento WhatsApp