LGPD não é só para grandes empresas. Todo sistema que coleta, armazena ou processa dados pessoais de brasileiros está sujeito à lei, independente do tamanho.
Se o seu SaaS tem cadastro de usuários, você já está coletando dados pessoais. Se você tem clientes que inserem dados dos clientes deles, o nível de responsabilidade é ainda maior.
Aqui está o que a lei exige na prática, sem juridiquês.
Base legal para coleta de dados
Você precisa ter um motivo legal para coletar cada dado que coleta. Os mais comuns para SaaS são execução de contrato, você precisa do email para criar a conta, e legítimo interesse, você precisa do log de acesso para segurança.
O que não é aceitável é coletar dados sem propósito claro, ou usar dados coletados para uma finalidade em outra diferente sem comunicar o usuário.
Política de privacidade real
Não é o documento genérico copiado da internet. É um documento que descreve especificamente quais dados você coleta, por que coleta, onde armazena, com quem compartilha e por quanto tempo mantém.
Se você usa PostHog, Mixpanel, Google Analytics ou qualquer ferramenta de analytics, precisa declarar isso e informar se os dados são enviados para servidores fora do Brasil, o que tem implicações adicionais na lei.
Direitos dos titulares
Todo usuário tem o direito de saber quais dados você tem sobre ele, pedir correção, pedir exclusão e revogar consentimento. Seu sistema precisa ter um mecanismo para atender essas solicitações. Não precisa ser automatizado, mas precisa existir.
Consentimento no cadastro
Se você coleta dados além do necessário para executar o serviço, por exemplo, geolocalização, comportamento de navegação, dispositivo, precisa de consentimento explícito, separado dos termos de uso, com linguagem clara.
Segurança técnica mínima
A LGPD exige que você adote medidas técnicas e administrativas para proteger os dados. Isso inclui criptografia em trânsito e em repouso, controle de acesso, logs de auditoria e um processo definido para responder a incidentes.
Se ocorrer um vazamento de dados, você tem 72 horas para comunicar a ANPD e os titulares afetados.
O risco real para SaaS pequeno
A ANPD ainda está estruturando sua capacidade de fiscalização, então o risco de multa imediata para um SaaS pequeno é baixo. Mas o risco reputacional é alto. Um incidente de segurança com vazamento de dados pode encerrar um produto em estágio inicial antes que ele tenha chance de crescer.
Estar em conformidade com a LGPD não é só sobre evitar multa. É sobre construir um produto que os clientes confiam com seus dados.