WhatsApp

Fiscalização da ANPD acelera: processos disparam e compliance vira prioridade

por Cristiano Silverio

A Agência Nacional de Proteção de Dados (ANPD) tem ampliado rapidamente suas atividades de fiscalização. Desde 2022, o número de processos fiscalizatórios abertos cresce de forma acelerada, sinalizando um esforço cada vez maior para monitorar e fazer cumprir a Lei Geral de Proteção de Dados (LGPD). Em 2021, foram efetuados 768 requerimentos; já em 2022 esse número subiu para 1.047, e em 2023 atingiu 1.137. O salto mais dramático veio em 2024, com 4.029 requerimentos de  monitoramento. Um aumento que ilustra como a ANPD ganhou tração e estrutura para atuar. Esse crescimento exponencial indica que empresas de todos os portes estão muito mais sujeitas a serem fiscalizadas hoje do que há poucos anos.

Requerimentos recebidos por trimestre e ano
Crescimento do número de processos de fiscalização abertos pela ANPD a cada trimestre (2021–2024). Fonte: Página oficial de Fiscalização ANPD

O aumento de processos reflete tanto o maior volume de denúncias e petições recebidas pela ANPD, quanto a evolução da capacidade interna de conduzir fiscalizações. Enquanto em 2021 a Autoridade ainda engatinhava, a partir de 2022 houve uma estruturação acelerada da equipe de fiscalização, resultando nesse salto no enforcement. Para as empresas, isso significa que a probabilidade de sofrerem alguma ação fiscalizatória da ANPD deixou de ser remota, pelo contrário, tornou-se uma questão de quando e não se. A mensagem é clara: é preciso levar a sério a adequação à LGPD, pois a fiscalização está cada vez mais presente e atuante no ecossistema de negócios.

Infrações vão além de vazamentos: principais problemas encontrados

Muitos gestores ainda associam a fiscalização da LGPD apenas a grandes vazamentos de dados. De fato, incidentes de segurança são um dos gatilhos de investigação, mas a atuação da ANPD mostra que as causas dos processos são muito mais amplas. Diversas empresas vêm sendo fiscalizadas e até sancionadas por infrações variadas que vão além de vazamentos, incluindo ausência de governança básica de privacidade. Entre as principais irregularidades identificadas pela ANPD estão, por exemplo:

  • Ausência de Encarregado (DPO) – Muitas organizações não nomearam um Encarregado de Dados (DPO) ou não disponibilizam canal de contato para titulares, em descumprimento da LGPD. A ANPD já instaurou processos envolvendo múltiplas empresas, dos mais variados segmentos, somente por não informarem um responsável pelo tratamento de dados pessoais gov.br.

  • Falta de política de privacidade/transparência – Empresas que não possuem uma política de privacidade clara ou deixam de informar adequadamente os titulares sobre o tratamento de seus dados também estão na mira. A transparência é um princípio fundamental da LGPD, e a ausência de aviso de privacidade adequado pode motivar ações fiscalizatórias.

  • Tratamento de dados desnecessários ou sem base legal – Utilizar ou coletar dados pessoais além do necessário para a finalidade declarada, ou sem uma base legal apropriada, é outra infração comum. Um exemplo foi a investigação sobre perfilização de dados sensíveis para fins de publicidade direcionada sem amparo legal, identificada em processo envolvendo a empresa RaiaDrogasil. Esse tipo de uso excessivo ou desnecessário de dados contraria o princípio da necessidade da LGPD.

  • Incidentes de segurança não comunicados – Diversas organizações foram flagradas não notificando violações de segurança no prazo ou forma exigidos. A LGPD obriga a comunicação de incidentes graves tanto à ANPD quanto aos titulares dos dados. Casos recentes incluem órgãos públicos que não avisaram os usuários afetados por um vazamento e deixaram de informar a ANPD sobre o incidente.

  • Falta de medidas de segurança adequadas – Relacionado ao ponto anterior, a ANPD tem cobrado a adoção de medidas técnicas e administrativas para proteger os dados pessoais. Processos de fiscalização apontaram ausência de medidas de segurança mínimas em empresas e órgãos, tornando-os vulneráveis a vazamentos. A combinação de falha de segurança com falta de notificação adequada agrava a situação perante a Agência.

  • Não responder às solicitações da ANPD – A obstrução à atividade fiscalizatória é, por si só, uma infração. Se a empresa deixa de responder ofícios da ANPD ou se recusa a fornecer informações, ela incorre em violação adicional, como aconteceu com o Nubank. A ANPD destaca que negar informações ou não responder pode caracterizar infração de obstrução, sujeita a sanção específica. Em um processo, por exemplo, o Ministério da Saúde foi autuado por, entre outras coisas, não atender às requisições da ANPD durante a apuração.

Principais tipos de infrações
Principais tipos de infrações observadas pela ANPD e a porcentagem de processos de fiscalização em que aparecem. Dados baseados em informações públicas da ANPD

Como ilustra o gráfico acima, a fiscalização da ANPD abrange um leque amplo de requisitos da LGPD. Infrações como não ter um DPO nomeado, não dispor de política de privacidade, tratar dados além do necessário, ou não comunicar/incidentes tornaram-se alvos frequentes. Ou seja, não basta se preocupar apenas com grandes vazamentos, a conformidade exige atenção a processos internos, governança e cultura de proteção de dados no dia a dia. Por exemplo, uma empresa pode nunca ter sofrido um ataque hacker, mas se não tiver canais para atender direitos dos titulares ou não implementar uma política de privacidade, poderá enfrentar um processo fiscalizatório e eventuais penalidades da ANPD. Para os decisores empresariais, fica a lição: é preciso encarar a privacidade de dados de forma holística, prevenindo diversas falhas de compliance, não apenas violações de segurança.

Etapas do processo de fiscalização da ANPD

Além de conhecer o quê a ANPD fiscaliza, é importante entender como se desenrola uma fiscalização. O processo típico conduzido pela Agência é composto por sete etapas sequenciais, que oferecem oportunidades de defesa e correção antes de qualquer sanção. Em resumo, as etapas são as seguintes:

Etapas do processo de fiscalização da ANPD
Etapas do processo de fiscalização da ANPD

Nas Etapas 1 e 2, a ANPD instaura formalmente o processo e envia ofícios solicitando documentos e esclarecimentos à empresa regulada, que deve se manifestar dentro do prazo. É crucial colaborar plenamente aqui: a falta de resposta ou a recusa em fornecer informações pode ser considerada obstrução, uma infração passível de penalidade específica. Já Etapa 3 consiste na análise preliminar do material enviado. Se forem encontradas irregularidades, a ANPD emite uma Nota Técnica com determinações e recomendações para adequação, como por exemplo, instruindo a empresa a corrigir falhas identificadas, como nomear um DPO, implementar segurança, ajustar políticas, etc. Caso não se detectem indícios suficientes de infração, o processo pode ser arquivado nessa fase mesmo.

As Etapas 4, 5 e 6 configuram um diálogo de mão dupla: a empresa fiscalizada tem a chance de responder às determinações (Etapa 4); a ANPD avalia se as correções foram realizadas ou se as explicações procedem (Etapa 5); e, se necessário, solicita novas adequações com prazo, seguidas de uma segunda resposta do fiscalizado (Etapa 6). Essa dinâmica evidencia um caráter orientativo: a ANPD busca que o agente de tratamento entre nos eixos voluntariamente, antes de partir para punições.

Finalmente, na Etapa 7 – Análise conclusiva, a ANPD verifica se as não conformidades foram sanadas ou se persistem. Se tudo for considerado atendido, o processo de fiscalização é encerrado sem sanção. Porém, restando pendências, dois cenários são possíveis: (1) se a empresa demonstrou cooperação e boa-fé, a ANPD pode expedir uma medida preventiva final dando mais um breve prazo para ajuste, sob pena de sanção; (2) se houve não cooperação ou resistência do fiscalizado, a ANPD determina a abertura de um Processo Administrativo Sancionador, já com aplicação de sanções e multa em caso de confirmação da infração. Vale destacar que até o momento, todos os processos sancionadores instaurados pela ANPD foram consequência de postura não colaborativa do regulado. Ou seja, empresas que ignoram as determinações ou deixam de cooperar acabam forçando a ANPD a aplicar punições. Em contrapartida, quem atende às recomendações geralmente tem conseguido evitar sanções formais. Essa informação reforça a importância de levar a sério os pedidos da ANPD e agir rapidamente para corrigir problemas quando notificado. A colaboração e proatividade podem salvar a empresa de multas e danos reputacionais.

Sanções: ANPD mais forte e primeiras penalidades aplicadas

A fase repressiva da fiscalização culmina, quando necessário, na aplicação das sanções previstas na LGPD. Essas sanções vão desde advertências e publicização da infração, até multas que podem chegar a 2% do faturamento (limitadas a R$50 milhões por infração), além de bloqueio ou eliminação dos dados pessoais relacionados à infração, entre outras. Desde agosto de 2021, a ANPD já detém poder legal para sancionar e, com o fortalecimento institucional recente, já começou a aplicar penalidades em casos concretos. Por exemplo, em 2023 foi divulgada a primeira multa aplicada pela ANPD a uma empresa de pequeno porte do setor de telemarketing, marcando o início da era das penalizações financeiras. Também já houve diversas aplicações de sanções não pecuniárias, como advertências formais e exigência de medidas corretivas imediatas, em processos concluídos.

É importante notar que a fiscalização da ANPD tende a se intensificar nos próximos anos, impulsionada pelo recente fortalecimento institucional da Autoridade. Em setembro de 2025, a ANPD deixou de ser um órgão vinculado à Presidência da República e foi convertida em uma agência reguladora autônoma (autarquia de natureza especial) com orçamento próprio. Essa transformação assegurou à ANPD autonomia funcional, técnica, decisória, administrativa e financeira, nos moldes das demais agências reguladoras federais. Além disso, esse novo status veio acompanhado da criação de 200 cargos de Especialista em Regulação de Proteção de Dados, ampliando significativamente o quadro de pessoal da Agência. Com personalidade jurídica própria e independência, a ANPD ganhou mais estabilidade e recursos para expandir suas atividades, o que se traduz em ainda mais força e autoridade para fiscalizar e sancionar infrações. Desde que assumiu o novo status de autarquia especial, a ANPD vem reforçando sua equipe e aprimorando sistemas internos (como a plataforma e-Fiscal e painéis de indicadores). Tais iniciativas fazem parte da consolidação da presença regulatória da Autoridade no país.

Em síntese, as sanções já estão ocorrendo e tendem a se tornar mais frequentes e rigorosas à medida que a ANPD se consolida nessa nova estrutura institucional. Empresas flagradas em infrações podem enfrentar penalidades que vão além do aspecto financeiro. A exposição pública como infratora da LGPD acarreta sérios danos reputacionais. Por outro lado, a ANPD tem demonstrado razoabilidade: prioriza orientar e prevenir antes de punir, e valoriza a cooperação das empresas durante o processo fiscalizatório. A melhor estratégia, portanto, é não esperar chegar à etapa sancionatória. A adequação prévia à LGPD e a resposta ágil às recomendações da ANPD são a chave para evitar multas e demais sanções que agora são uma realidade.

Adequação à LGPD: investimento que previne prejuízos e traz vantagem competitiva

Diante desse cenário de fiscalização ativa, os decisores empresariais devem encarar a conformidade à LGPD não como custo, mas como investimento estratégico. Estar adequado à LGPD significa mitigar riscos jurídicos e financeiros, evitando multas milionárias, processos judiciais e perda de confiança dos clientes, e ao mesmo tempo ganhar diferencial competitivo. Empresas que protegem os dados de seus clientes e parceiros de forma transparente conquistam mais credibilidade no mercado, fortalecendo sua marca. Em um ambiente de negócios cada vez mais consciente sobre privacidade, a conformidade se tornou um atributo valorizado pelos consumidores e exigido em muitas parcerias B2B.

Para alcançar e manter essa conformidade de maneira eficaz, muitas organizações estão recorrendo a serviços especializados, como o Escritório de Privacidade da LGPD2U. Esse serviço funciona como uma equipe externa especializada em proteção de dados, que auxilia a empresa em todas as frentes necessárias para cumprir a LGPD sem sobrecarregar suas operações. Na prática, o Escritório de Privacidade da LGPD2U oferece suporte completo: desde a avaliação inicial dos gaps de privacidade, elaboração de políticas de privacidade sob medida e implementação de medidas de segurança da informação, até o treinamento de funcionários, resposta a incidentes e orientação contínua para novas exigências legais. Também atua como ponto de contato com a ANPD, orientando respostas a eventuais fiscalizações ou denúncias de titulares, e garantindo que a empresa esteja sempre pronta para demonstrar conformidade.

O grande benefício desse modelo para as empresas é custo-benefício e tranquilidade. Em vez de tentarem construir internamente uma estrutura complexa de compliance (o que envolve contratar ou treinar especialistas, adquirir ferramentas e se manter atualizado nas mudanças regulatórias), os clientes da LGPD2U contam com uma solução pronta, conduzida por profissionais experientes, a um custo muito menor do que os prejuízos potenciais de uma autuação. Basta comparar: uma única multa da ANPD pode chegar a milhões de reais, sem falar nos custos indiretos de um incidente (perda de negócios, queda de ações, reparação de danos a clientes). Já a adequação orientada por um parceiro de privacidade previne esses eventos e sai por uma fração desse valor – além de poupar tempo da gestão, que pode focar no core business enquanto especialistas cuidam da conformidade.

Em conclusão, a fiscalização acelerada da ANPD deixou claro que estar em conformidade com a LGPD não é opcional, mas essencial para a continuidade e sucesso dos negócios no Brasil. A boa notícia é que as empresas não precisam enfrentar esse desafio sozinhas. Com apoio do Escritório de Privacidade da LGPD2U, é possível se antecipar à fiscalização, corrigir eventuais brechas de forma proativa e incorporar a proteção de dados na cultura corporativa. Assim, a empresa não só evita multas e surpresas desagradáveis, mas também se posiciona como ética e confiável, conquistando a preferência de clientes e parceiros. Em um cenário onde dados são ativos valiosos, compliance em privacidade é sinônimo de vantagem competitiva e agora, mais do que nunca, uma blindagem necessária contra riscos regulatórios cada vez mais concretos.

Compartilhar:

LGPD2U

FORM PRINCIPAL

Okto Full

O Okto Full é a solução completa para empresas que desejam terceirizar integralmente a governança de privacidade, contando com a experiência e a estrutura da LGPD2U em todas as etapas do programa.

Além de incluir tudo o que já está presente nos outros planos, o Okto Full se diferencia pela execução completa das atividades operacionais pela nossa equipe. Nós estruturamos, gerenciamos e executamos todas as frentes de trabalho contratadas, participando ativamente do planejamento, condução de reuniões, comitês e tomadas de decisão.

É ideal para organizações que não possuem equipe dedicada ou que desejam focar seus esforços em outras áreas do negócio.

Também podemos ser formalmente nomeados como Encarregada de Proteção de Dados (DPO), oferecendo suporte técnico, jurídico e consultivo de ponta a ponta.

Okto Smart

Ideal para empresas que já possuem uma estrutura interna, o Okto Smart combina tecnologia com apoio estratégico e consultivo. Além do uso da plataforma DPOnet, o plano inclui consultoria contínua para estruturação e gestão da governança de privacidade, abrangendo mapeamentos, políticas, planos, relatórios e suporte técnico e jurídico reativo.

Realizamos reuniões regulares com o cliente, oferecendo orientação especializada em cada etapa da jornada. A execução operacional permanece sob responsabilidade da empresa, enquanto a LGPD2U estrutura, acompanha, orienta e gerencia todas as frentes do programa.

Também podemos ser formalmente nomeados como Encarregada de Proteção de Dados (DPO), conforme a necessidade da organização.

Okto Base

O Okto Base é ideal para empresas que desejam operar de forma autônoma na gestão da privacidade, com baixo custo e acesso a ferramentas confiáveis. Este plano inclui o fornecimento da plataforma DPOnet, com suporte técnico e jurídico focado exclusivamente no uso da solução.

É a escolha certa para organizações com estrutura interna e foco em uma gestão independente, que não demandam apoio consultivo, estruturação de governança ou participação em reuniões e comitês. Os indicadores, relatórios e planos de ação disponíveis são os gerados diretamente pela plataforma.

Neste plano, todas as atividades são executadas pela própria empresa, com suporte da LGPD2U apenas para o uso adequado da tecnologia contratada.