LGPD no site do pequeno negócio: checklist 2026
Imagine que você tem um salão de beleza em São Paulo. Os clientes mandam mensagem pelo WhatsApp, você anota o nome e o telefone, tem um formulário de contato no site e usa o Google Analytics pra ver quantas pessoas
Imagine que você tem um salão de beleza em São Paulo. Os clientes mandam mensagem pelo WhatsApp, você anota o nome e o telefone, tem um formulário de contato no site e usa o Google Analytics pra ver quantas pessoas estão visitando. A LGPD existe desde 2020. E em 2026 a ANPD finalmente virou agência reguladora de verdade — com poder autônomo pra investigar, autuar e bloquear operações.
O que exatamente você precisa fazer?
Boa notícia: muito menos do que os artigos jurídicos sugerem. Mas algumas coisas, não tem como ignorar.
Pontos principais:
- MEI e pequenas empresas têm dispensas reais da ANPD — não precisa de DPO nem de planilhas formais
- O seu site é a superfície mais exposta: política de privacidade, banner de cookies e aviso no formulário são obrigatórios
- A primeira multa a microempresa foi de R$ 14.400 — e o motivo foi WhatsApp, não o site em si
- Você resolve o essencial em uma tarde, sem gastar nada
Neste artigo
- O que MEI e pequena empresa NÃO precisam fazer
- O que não tem como ignorar
- Checklist do site: 6 pontos práticos
- A multa que todo mundo deveria conhecer
- Próximos passos
- Perguntas frequentes
O que MEI e pequena empresa NÃO precisam fazer {#dispensas}
Antes de entrar em pânico, veja o que a Resolução CD/ANPD nº 2/2022 dispensa para MEI, ME e EPP:
| Obrigação | Grande empresa | MEI / ME / EPP |
|---|---|---|
| Nomear DPO formalmente | Obrigatório | Dispensado |
| Manter registro formal de tratamento | Obrigatório | Versão simplificada aceita |
| Prazo para responder titulares | ~7 dias úteis | 15 dias úteis |
Você não precisa contratar um encarregado de proteção de dados. Não precisa de planilhas elaboradas de mapeamento de dados. E tem o dobro do prazo para responder quando alguém pedir acesso ou exclusão das informações.
Dito isso — o que você ainda precisa ter, independente do tamanho do negócio?
O que não tem como ignorar {#obrigatorio}
Mesmo sendo MEI ou pequena empresa, a LGPD exige que você:
- Tenha uma base legal para cada dado que coleta (consentimento, legítimo interesse, execução de contrato — uma dessas tem que se encaixar)
- Seja transparente sobre o que faz com os dados
- Tenha segurança mínima (senha forte no e-mail, não compartilhar listas de clientes)
- Disponha de um canal de comunicação para que clientes possam pedir acesso ou exclusão dos dados
- Comunique incidentes à ANPD caso haja vazamento
Se você ainda não tem site para o seu MEI, saiba que criar um com IA em 1 hora já entrega boa parte desses itens configurados por padrão.
E com a Lei 15.352/2026, que transformou a ANPD em agência reguladora plena, o risco de fiscalização aumentou de forma significativa. Antes era quase teórico. Hoje não é mais.
Checklist do site: 6 pontos que você resolve em uma tarde {#checklist}
1. Política de privacidade
Obrigatória. Sem exceção.
Ela precisa explicar, em linguagem simples: quais dados você coleta, pra que usa, com quem compartilha e como o cliente pode pedir exclusão.
Onde conseguir gratuitamente:
- Gerador da Nuvemshop — pensado pra e-commerce, mas funciona pra qualquer site
- Iubenda — plano básico gratuito, gera em português
- Modelo da própria ANPD — disponível no site oficial, formato simplificado para pequenos negócios
Adicione a política em uma página separada e coloque o link no rodapé do site. Isso já resolve.
2. Banner de cookies
Se o seu site usa Google Analytics, Meta Pixel, Hotjar ou qualquer ferramenta de rastreamento — você precisa do banner. Se o site é uma página estática sem nenhum JavaScript de terceiros, pode dispensar.
A maioria dos sites tem Google Analytics. Então a resposta prática é: sim, você precisa.
A boa notícia é que não precisa pagar por isso. No WordPress, o plugin Cookie Notice resolve. Em construtores modernos (Wix, Squarespace, Fardino), a funcionalidade já vem embutida ou tem opção nativa. Não precisa ser bonito — precisa ser funcional.
3. Formulário de contato
Aqui tem um erro que quase todo mundo comete: colocar o formulário sem nenhum aviso sobre o que vai acontecer com os dados.
Basta adicionar uma linha embaixo do botão de envio. Algo assim:
"Seus dados serão usados exclusivamente para responder ao seu contato e não serão compartilhados com terceiros."
Não precisa de checkbox de consentimento para um formulário de contato simples — o legítimo interesse pode ser a base legal. Mas o aviso textual é obrigatório.
4. WhatsApp e lista de transmissão
Esse é o ponto que mais pegou as pequenas empresas até agora — e falamos sobre ele mais abaixo, no caso da Telekall.
A regra é simples: não adicione clientes em lista de transmissão sem consentimento explícito. Antes de mandar aquela promoção de fim de ano, você precisa que a pessoa tenha concordado em receber mensagens comerciais de você.
A solução prática: na hora de salvar o contato ou fechar o atendimento, pergunte. Guarde uma prova disso (pode ser uma resposta no próprio WhatsApp do tipo "pode me mandar promoções, sim").
5. Canal de comunicação para titulares
Qualquer cliente seu tem direito de pedir acesso, correção ou exclusão dos dados que você tem sobre ele. Para isso, você precisa de um canal de contato específico.
Um e-mail já resolve. Crie algo como privacidade@seusalao.com.br (ou use o Gmail mesmo, com um filtro para esse assunto) e mencione esse e-mail na sua política de privacidade. Pronto. Você tem até 15 dias úteis para responder.
6. Agendamento online
Se você coleta nome, telefone e CPF no formulário de agendamento, inclua no próprio formulário:
- Por que você está pedindo cada campo ("CPF usado para identificação e emissão de nota fiscal")
- Uma linha informando que os dados não são compartilhados com terceiros
- Como o cliente pode pedir a exclusão (o e-mail de privacidade que você criou no ponto 5)
Não precisa ser um texto longo. Três linhas abaixo do formulário já cumprem a exigência de transparência.
A multa que todo mundo deveria conhecer {#multa}
Em 2023, a Telekall Infoservice — uma microempresa — foi multada em R$ 14.400 pela ANPD. O motivo: vender listas de contatos coletados via WhatsApp para campanhas eleitorais sem base legal.
O caso prova duas coisas importantes:
- MEI e microempresas não têm imunidade. A LGPD se aplica a todo mundo que trata dados de pessoas físicas no Brasil.
- O WhatsApp é, hoje, o maior vetor de risco para pequenos negócios — não o site.
A multa de R$ 14.400 pode parecer baixa pra uma grande empresa, mas pra um MEI de salão ou restaurante é receita de dois a três meses. E isso é só a sanção simples.
A ANPD tem mais ferramentas. Uma delas é a publicização da infração: o nome do estabelecimento, o que fez de errado e o valor da multa ficam publicados no site da ANPD — e aparecem no Google. Para um pequeno negócio que depende de reputação local, esse dano é muito maior que os R$ 14.400. Clientes pesquisam antes de marcar o cabelo. Pacientes pesquisam antes de consultar. Esse nome aparece.
Além disso, a ANPD pode bloquear o uso dos dados ou suspender atividades enquanto investiga.
Vale evitar.
Próximos passos {#proximos-passos}
Se você ainda não tem site — ou tem um site que não cobre nada disso — esse é o melhor momento pra resolver tudo de uma vez.
Um site construído com IA já sai com política de privacidade, banner de cookies e formulário com aviso de privacidade configurados desde o começo. Para um salão de beleza em São Paulo, o prompt abaixo cria o site completo com agendamento e todos os elementos de compliance incluídos:
Perguntas frequentes {#perguntas-frequentes}
Meu MEI precisa cumprir a LGPD?
Sim. A LGPD se aplica a qualquer pessoa ou empresa que trate dados pessoais de pessoas físicas no Brasil, independente do porte. O que muda para MEI é que você tem algumas dispensas: não precisa nomear um DPO formalmente e pode manter registros de tratamento de forma simplificada.
O que precisa ter no site de um pequeno negócio para a LGPD?
O mínimo obrigatório é: (1) política de privacidade acessível no rodapé, (2) banner de cookies se você usa Google Analytics ou similar, (3) aviso no formulário de contato explicando o uso dos dados, e (4) um canal de comunicação (e-mail) para solicitações de titulares.
Como criar uma política de privacidade grátis para o site?
Você pode usar o gerador da Nuvemshop, o plano gratuito do Iubenda ou o modelo simplificado disponível no site da ANPD. Todos geram o documento em português e são adequados para pequenas empresas. Coloque o link no rodapé do site.
Pequena empresa precisa de banner de cookies?
Se o seu site usa ferramentas de rastreamento como Google Analytics, Meta Pixel ou Hotjar — sim, o banner é obrigatório. Sites simples sem analytics ou scripts de terceiros podem dispensar. Na dúvida, adicione. O custo é zero (plugins gratuitos para WordPress, recursos nativos em construtores modernos).
Qual a multa da LGPD para pequenas empresas?
A multa simples pode chegar a 2% do faturamento anual, limitada a R$ 50 milhões por infração. Para pequenos negócios, o teto real é muito menor — mas ainda representativo. O caso mais conhecido foi a Telekall Infoservice, multada em R$ 14.400 por uso indevido de contatos do WhatsApp. A ANPD também pode publicizar a infração — o que para um negócio local pode ser mais danoso do que a multa em si.
Você também pode gostar
- Guia completo: site para pequeno negócio com IA — Do zero ao site publicado, sem precisar de programador
- Criar site sem código com IA — O workflow que funciona para qualquer tipo de negócio
- Site no ar em 10 minutos — Passo a passo cronometrado para pequenos negócios
Escrito pelo time 0xMinds — testamos ferramentas de IA para que você não precise. Crie um site com IA →
Got an idea? Build it now.
Describe the site or app you want — Fardino turns it into a live website.
