Toda startup que coleta dado pessoal — e praticamente todas coletam — precisa de um programa mínimo de privacidade antes de abrir o produto para o primeiro usuário.
A Lei Geral de Proteção de Dados (Lei 13.709/2018) não tem exceção de porte: startup com cinquenta usuários e startup com cinco milhões de usuários estão sujeitas às mesmas obrigações. O que muda é o risco real — volume de dados, tipo de dado, presença em setores regulados — e, com ele, a prioridade do que estruturar primeiro.
Este artigo organiza o que uma startup precisa fazer antes do lançamento, os erros que aparecem com mais frequência na prática e quando o modelo de DPO as a Service faz sentido. Ao final, uma seção sobre LGPD e GDPR lado a lado — para empresas com usuários ou clientes na Europa.
TL;DR
- A Lei 13.709/2018 não tem exceção para startup: toda empresa que trata dado pessoal está sujeita às mesmas obrigações.
- Seis itens formam a adequação mínima viável antes do lançamento: política de privacidade pública, mapeamento de dados (RoPA), base legal documentada, canal de resposta a titulares, decisão sobre DPO e cláusulas de proteção nos contratos com fornecedores.
- Os erros mais comuns são: usar consentimento como base legal para tudo, copiar política de privacidade genérica da internet e não formalizar contratos de operador com fornecedores.
- DPO as a Service faz sentido para startups sem estrutura interna de privacidade, empresas que tratam dados sensíveis em escala e empresas em fase de due diligence.
- Startup brasileira com usuários na Europa precisa observar o GDPR (Regulamento (UE) 2016/679) simultaneamente — os dois diplomas têm diferenças práticas relevantes em base legal, prazo de notificação de incidente e sanções.
Atualizado em 17/06/2026
Índice
- O susto na due diligence
- LGPD mínima viável: o que a startup precisa antes de lançar
- Os 5 erros mais comuns de adequação LGPD
- Quando o DPO as a Service faz sentido
- LGPD × GDPR: o que muda para empresas com operação cross-border
- Falar com um advogado
O susto na due diligence
Caso ilustrativo — situação hipotética, criada para fins didáticos. Qualquer semelhança com casos reais é coincidência.
Startup de SaaS B2B em processo de captação Série A. O investidor principal solicitou data room completo incluindo política de privacidade pública e acessível, mapeamento de dados pessoais tratados (RoPA — Record of Processing Activities), evidência de base legal documentada para cada finalidade de tratamento e designação formal de Encarregado de Proteção de Dados (DPO). A empresa não tinha nenhum desses documentos. O prazo dado foi de 30 dias para apresentar o conjunto completo, com a due diligence jurídica condicionada ao recebimento.
O que faltava: a empresa coletava dados de usuários finais, dados de colaboradores e dados de empresas-clientes em três sistemas diferentes, sem que houvesse um inventário central de quais dados eram tratados, com qual finalidade e com qual base legal. Os contratos com fornecedores de nuvem e CRM não tinham cláusulas de proteção de dados. A política de privacidade publicada no site tinha sido copiada de outro produto e descrevia funcionalidades inexistentes.
Em 30 dias foi feito o mapeamento inicial dos fluxos de dados, redigida a política de privacidade aderente à operação real, incluídas cláusulas de operador nos contratos com os três fornecedores principais e designado um DPO as a Service — cabendo à própria empresa a comunicação formal da designação à ANPD (Autoridade Nacional de Proteção de Dados). A due diligence foi concluída sem ressalvas materiais sobre proteção de dados.
O caso é representativo de um padrão que aparece com frequência: a adequação à LGPD começa não como decisão estratégica, mas como exigência de terceiro — investidor, cliente enterprise ou parceiro internacional. Quando a estruturação vem antes, a empresa tende a conduzir a adequação no próprio ritmo — não sob o prazo de um terceiro.
LGPD mínima viável: o que a startup precisa antes de lançar
A adequação à Lei 13.709/2018 não precisa ser feita de uma vez. Mas há um conjunto de itens que devem estar presentes antes de qualquer coleta de dado pessoal — seja o cadastro do primeiro usuário, seja a contratação do primeiro colaborador.
1. Política de privacidade pública e aderente à operação real
O documento precisa descrever o que a empresa efetivamente faz: quais dados coleta, com qual finalidade, por quanto tempo retém, com quem compartilha e como o titular pode exercer seus direitos. Uma política genérica copiada de outro produto ou gerada por template sem revisão cria risco duplo: não informa o titular e não reflete a operação — o que a torna inútil como evidência de conformidade.
2. Mapeamento de dados (RoPA — Record of Processing Activities)
Inventário interno de todos os fluxos de dados pessoais: o que é coletado, onde é armazenado, quem tem acesso, qual é a base legal de cada tratamento e por quanto tempo o dado é mantido. O RoPA não precisa ser público, mas precisa existir e estar atualizado. É o ponto de partida para qualquer auditoria interna e para a resposta a autoridades.
3. Base legal documentada para cada finalidade de tratamento
A Lei 13.709/2018 prevê dez bases legais no art. 7º (para dados comuns) e no art. 11 (para dados sensíveis). Para cada finalidade de tratamento, a empresa precisa identificar e documentar qual base legal se aplica — e essa escolha não é indiferente. Usar consentimento onde o legítimo interesse seria mais adequado cria obrigações desnecessárias de gestão e pode inviabilizar o tratamento se o consentimento for revogado.
4. Mecanismo de resposta a requisições de titulares
O art. 19 da Lei 13.709/2018 estabelece prazo de 15 dias para responder a solicitações de titulares (acesso, correção, exclusão, portabilidade, entre outras). A empresa precisa de um processo operacional — seja um e-mail dedicado, seja um formulário — que garanta o recebimento e o encaminhamento dessas solicitações dentro do prazo legal.
5. DPO designado — ou decisão documentada sobre dispensa
O art. 41 da Lei 13.709/2018 exige a designação de um Encarregado de Proteção de Dados (DPO). A ANPD pode dispensar essa obrigação para microempresas e empresas de pequeno porte que não tratam dados sensíveis em escala — mas a dispensa precisa ser avaliada caso a caso, e a decisão, documentada. Não designar DPO e não registrar por que não foi necessário é o pior dos cenários: ausência sem justificativa.
6. Cláusulas de proteção de dados nos contratos com fornecedores que acessam dados pessoais
Todo fornecedor que acessa dados pessoais da empresa na condição de operador — empresa de nuvem, CRM, ferramenta de analytics, parceiro de cobrança — precisa ter um contrato ou aditivo contratual com cláusulas específicas de proteção de dados (DPA — Data Processing Agreement). Sem esse instrumento, a empresa permanece responsável pelo tratamento feito pelo operador sem ter estabelecido os controles mínimos exigidos pela Lei 13.709/2018.
Os 5 erros mais comuns de adequação LGPD
1. Consentimento como base legal para tudo
O consentimento é uma das dez bases legais previstas na Lei 13.709/2018 — não a única e, em muitos casos, não a mais adequada. Usar consentimento para tratamentos que teriam base mais sólida em execução de contrato ou legítimo interesse cria obrigações desnecessárias: o titular pode revogar o consentimento a qualquer momento, e a empresa precisa parar o tratamento. Para dados de colaboradores, por exemplo, o consentimento raramente é a base correta — a relação de emprego pressupõe desequilíbrio de poder que fragiliza a liberdade do consentimento.
2. Política de privacidade genérica, desatualizada ou desconectada da operação
Políticas copiadas de outros produtos, geradas por templates genéricos ou redigidas na fundação e nunca atualizadas são um risco triplo: não informam corretamente o titular, não servem como evidência de conformidade e, quando auditadas, revelam práticas diferentes do que está escrito. A política precisa descrever a operação real — incluindo integrações com terceiros, transferências internacionais e uso de cookies.
3. Fornecedores acessando dados pessoais sem contrato de operador (DPA)
Toda empresa que contrata um fornecedor que acessa dados pessoais de seus usuários ou colaboradores precisa de um DPA em vigor. Isso inclui: plataformas de nuvem (AWS, GCP, Azure), ferramentas de analytics, CRMs, plataformas de e-mail marketing e parceiros de pagamento. Sem DPA, a empresa tratante permanece responsável pelo tratamento realizado pelo operador sem ter estabelecido os controles contratuais mínimos.
4. Sem processo de resposta a requisições de titulares
O prazo de 15 dias do art. 19 da Lei 13.709/2018 é objetivo. Não ter um processo operacional para receber, registrar e responder a solicitações de titulares — seja por e-mail, formulário ou canal dedicado — não é apenas uma lacuna de conformidade: é um risco de incidente, porque solicitações perdidas ou ignoradas geram reclamações à ANPD.
5. Tratar dados sensíveis com a mesma cautela dos dados comuns
O art. 11 da Lei 13.709/2018 impõe base legal mais restrita para dados sensíveis — dados de saúde, dados biométricos, dados sobre origem racial ou étnica, dados sobre convicção religiosa, entre outros. Startups de saúde, fitness, RH ou financeiro que coletam esses dados sem identificar a base legal específica e sem adotar salvaguardas adicionais (controles de acesso, criptografia, anonimização onde possível) operam com risco elevado de sanção e de dano reputacional.
Quando o DPO as a Service faz sentido
O DPO as a Service é um modelo de atuação em que o Encarregado de Proteção de Dados é designado externamente — um advogado ou estrutura especializada que cumpre formalmente as obrigações do art. 41 da Lei 13.709/2018 sem integrar o quadro de funcionários da empresa.
| Situação | DPO interno | DPO as a Service |
|---|---|---|
| Startup sem estrutura de privacidade interna | Custo elevado; cargo difícil de preencher em estágios iniciais | Adequado — designação formal com custo variável |
| Empresa com dados sensíveis em escala (saúde, biometria, financeiro) | Pode ser necessário em escala maior | Adequado para estágio inicial — revisão periódica recomendada |
| Empresa em fase de due diligence (Série A em diante) | Sinaliza maturidade | Igualmente válido — o que importa é a designação formal e o canal funcional |
| Empresa com DPO interno já designado | — | Não se aplica |
O modelo DPO as a Service inclui, tipicamente: designação formal junto à ANPD com indicação de nome e contato público, canal de comunicação funcional para titulares e para a ANPD, suporte a incidentes de segurança (notificação e resposta), auditoria periódica do programa de privacidade e orientação sobre adequação de novos produtos ou funcionalidades.
Para quem faz sentido de forma mais direta: startup pré-seed a Série A sem especialista interno de privacidade; empresa que trata dados sensíveis e precisa de designação formal antes de uma due diligence; empresa que começou a operar em mercados regulados (saúde, financeiro, educação) e precisa elevar rapidamente o nível de conformidade.
LGPD × GDPR: o que muda para empresas com operação cross-border
Quando uma empresa brasileira processa dados pessoais de residentes na União Europeia — seja porque tem usuários europeus, seja porque opera com clientes ou colaboradores localizados na Europa —, o GDPR (Regulamento (UE) 2016/679) se aplica simultaneamente à Lei 13.709/2018. Os dois diplomas têm pontos de convergência relevantes, mas também diferenças práticas que precisam ser consideradas no programa de privacidade.
| Ponto | LGPD (Lei 13.709/2018) | GDPR (Regulamento (UE) 2016/679) |
|---|---|---|
| Base legal de consentimento | Válida; pode coexistir com outras bases | Mais restrita: deve ser livre, específica, informada e inequívoca; retirada deve ser tão simples quanto o consentimento |
| Obrigatoriedade de DPO | Art. 41: obrigatório (ANPD pode dispensar MPE sem dados sensíveis) | Art. 37: obrigatório para autoridades públicas, tratamento em larga escala de dados sensíveis e monitoramento sistemático de titulares |
| Transferência internacional | Mecanismos: país com nível adequado de proteção, cláusulas-padrão contratuais ou garantias específicas (art. 33) | Mecanismos: decisão de adequação da Comissão Europeia, SCCs (Standard Contractual Clauses — cláusulas contratuais-padrão aprovadas pela CE), BCRs (Binding Corporate Rules) |
| Notificação de incidente | Prazo: 3 dias úteis após o conhecimento (ANPD + titulares afetados) | Art. 33 do GDPR: 72 horas após o conhecimento (autoridade supervisora); titulares quando houver risco elevado |
| Sanções administrativas | Até 2% do faturamento nacional do grupo, limitado a R$ 50 milhões por infração | Até 4% da receita global anual ou € 20 milhões (o maior) |
A lógica prática é a seguinte: não é necessário escolher entre LGPD e GDPR — o programa de privacidade deve satisfazer os dois. Como o GDPR é, em geral, mais restritivo em consentimento, DPO e sanções, uma empresa que está em conformidade com o GDPR tende a estar em conformidade com a maior parte da LGPD. A exceção é a notificação de incidentes, onde a LGPD tem prazo diferente (3 dias úteis) do GDPR (72 horas).
Para startups SaaS com clientes ou usuários na Europa, a transferência internacional de dados é um ponto de atenção específico: dados de residentes europeus não podem ser transferidos para o Brasil sem um mecanismo válido. As SCCs (cláusulas contratuais-padrão) são o instrumento mais comum para regular essa transferência nos contratos com clientes e fornecedores europeus.
Falar com um advogado
Se você está prestes a lançar um produto, recebeu exigência de adequação em um processo de due diligence ou identificou lacunas no programa de privacidade da sua empresa, podemos analisar a situação e propor o caminho jurídico mais adequado.
Perguntas frequentes
- Preciso de DPO mesmo sendo uma startup pequena?
A resposta depende de três fatores: porte, volume de dados tratados e tipo de dado.
O art. 41 da Lei 13.709/2018 estabelece a obrigação de designar um Encarregado de Proteção de Dados (DPO) para todos os controladores e operadores de dados pessoais. A ANPD (Autoridade Nacional de Proteção de Dados) tem competência para dispensar essa exigência para determinadas categorias de agentes de tratamento — e as diretrizes publicadas até o momento indicam que microempresas e empresas de pequeno porte que não tratam dados sensíveis em escala podem ser dispensadas, mas a avaliação é caso a caso.
Na prática, há três situações que tornam a designação formal recomendável independentemente do porte: (a) a empresa trata dados sensíveis — de saúde, biométricos, financeiros, de crianças —, (b) a empresa está em fase de captação de investimento e a due diligence vai verificar o programa de privacidade, ou (c) a empresa tem clientes ou fornecedores que exigem DPO designado como condição contratual.
O DPO as a Service resolve a obrigação formal sem exigir a contratação de um especialista em tempo integral — o que é relevante para startups em estágio inicial.
*Esta é uma informação geral e não substitui a consulta a um advogado para análise do seu caso específico.*
- Qual a diferença entre LGPD e GDPR para uma startup SaaS?
LGPD (Lei 13.709/2018) e GDPR (Regulamento (UE) 2016/679) têm estrutura similar — ambas regulam o tratamento de dados pessoais, estabelecem bases legais, direitos de titulares e sanções —, mas com diferenças práticas que afetam diretamente o dia a dia de uma startup SaaS.
As diferenças mais relevantes para o produto:
– **Consentimento:** no GDPR, o consentimento precisa ser granular, específico e tão fácil de revogar quanto de conceder — padrões mais rígidos do que na LGPD.
– **DPO obrigatório:** o GDPR (art. 37) exige DPO para monitoramento sistemático de titulares em larga escala e para tratamento de dados sensíveis em larga escala — critérios que uma startup SaaS com base de usuários europeus pode atingir antes do que parece.
– **Transferência internacional:** dados de residentes europeus não podem ser transferidos para o Brasil sem mecanismo válido. O instrumento mais comum é a SCCs (Standard Contractual Clauses — cláusulas contratuais-padrão aprovadas pela Comissão Europeia).
– **Prazo de notificação de incidente:** 72 horas (GDPR, art. 33) contra 3 dias úteis (LGPD). Em incidente que afeta residentes europeus, o prazo do GDPR prevalece.
– **Sanções:** o GDPR prevê multas de até 4% da receita global anual; a LGPD, até 2% do faturamento nacional, limitado a R$ 50 milhões por infração.
Para uma startup que opera nos dois mercados, uma abordagem possível é construir o programa de privacidade observando os dois diplomas — priorizando o padrão mais restritivo em cada ponto.
*Esta é uma informação geral e não substitui a consulta a um advogado para análise do seu caso específico.*
- O que acontece se eu não adequar antes de lançar o produto?
Não adequar antes do lançamento cria riscos em três frentes distintas, e eles não são mutuamente exclusivos.
**Frente regulatória:** a ANPD (Autoridade Nacional de Proteção de Dados) pode aplicar as sanções previstas no art. 52 da Lei 13.709/2018 — advertência, multa de até 2% do faturamento nacional (limitada a R$ 50 milhões por infração), publicização da infração e suspensão do banco de dados. O processo sancionatório pode ser iniciado por denúncia de titular, por investigação de ofício ou por comunicação de incidente.
**Frente contratual:** clientes enterprise, parceiros de distribuição e investidores verificam conformidade com a LGPD como condição de negócio. A ausência de programa de privacidade documentado pode travar contratos, atrasar rodadas de captação ou gerar cláusulas de indenização em contratos de M&A.
**Frente de incidente:** sem mapeamento de dados, sem controles mínimos e sem processo de resposta, a empresa não consegue detectar um vazamento rapidamente, não sabe o que notificar à ANPD e não tem como demonstrar que tomou medidas razoáveis de segurança — o que agrava a avaliação de responsabilidade no processo sancionatório.
Adequar antes do lançamento não elimina todos os riscos — nenhuma empresa opera com risco zero de privacidade —, mas estabelece a base para detectar e responder a problemas de forma estruturada.
*Esta é uma informação geral e não substitui a consulta a um advogado para análise do seu caso específico.*
Esta é uma informação geral e não substitui a consulta a um advogado para análise do seu caso específico.
Alessandra De Paula Souza — OAB/PR 31.133
Atuação concentrada em LGPD, proteção de dados e privacidade empresarial.
Está nessa situação?
Um advogado especialista pode analisar o seu caso com agilidade.
Está nessa situação?
Fale com um advogado especialista.
Esta é uma informação geral e não substitui a consulta a um advogado para análise do seu caso específico.
