- A ANPD realiza fiscalizações proativas desde 2023, sem necessidade de denúncia de titular para abrir processo
- Setores já inspecionados incluem saúde, financeiro, educação e órgãos públicos
- Oito áreas concentram as verificações: bases legais, ROPA, encarregado, aviso de privacidade, direitos dos titulares, segurança técnica, notificação de incidentes e contratos com operadores
- A sanção mais comum no primeiro processo é advertência com prazo para correção; multas de até R$50 milhões por infração estão reservadas para reincidência e casos graves
- Seis medidas de preparação reduzem o risco regulatório antes de qualquer inspeção
O que mudou na abordagem da ANPD
De 2020 a 2022, a ANPD operou principalmente em modo reativo: publicou guias orientativos, respondeu a consultas públicas e tratou reclamações individuais de titulares. Com a publicação do Regulamento de Fiscalização, esse ciclo encerrou formalmente.
O regulamento estabeleceu dois mecanismos distintos. O primeiro é a fiscalização reativa, que a ANPD inicia em resposta a denúncias de titulares ou à comunicação de um incidente de segurança. O segundo, e o mais relevante para as empresas, é a fiscalização proativa: a ANPD seleciona um setor ou tema e abre processos administrativos simultâneos contra múltiplas organizações, sem que nenhuma reclamação específica tenha sido registrada.
O ciclo de fiscalização proativa começa com a publicação do Plano de Fiscalização, no qual a ANPD anuncia os setores e temas que serão auditados no período. Empresas nos setores listados recebem notificação e têm prazo para apresentar documentação. A inspeção pode ocorrer de forma remota, por meio de questionários e envio de documentos, ou presencial, com visita de inspetores às instalações da organização.
O modelo proativo não é novidade no cenário global. As autoridades de proteção de dados europeias, como a DPA holandesa (AP) e a irlandesa (DPC), realizam inspeções temáticas há anos. A ANPD seguiu esse caminho e tende a aumentar o ritmo de fiscalizações à medida que amplia sua equipe técnica.
Quem está no radar
A ANPD usa três critérios principais para selecionar os alvos de fiscalização proativa.
Volume e sensibilidade dos dados tratados. Controladores que tratam dados sensíveis definidos no Art. 5, II (saúde, biometria, dados de crianças e adolescentes) ou que operam em larga escala com dados de consumidores recebem prioridade. O setor de saúde foi o primeiro a receber atenção sistemática, pela combinação de dados altamente sensíveis e histórico documentado de incidentes.
Relevância econômica e impacto social do setor. Serviços financeiros, telecomunicações e grandes plataformas digitais concentram milhões de titulares. Uma infração nesses setores tem impacto ampliado, o que os torna alvos naturais para a autoridade demonstrar a força das sanções.
Volume acumulado de denúncias em um setor. Quando a ANPD recebe reclamações em quantidade elevada sobre um setor específico, isso frequentemente aciona uma fiscalização temática que vai além dos casos individuais.
Pequenas e médias empresas entram no escopo quando operam em setores de risco elevado ou quando tratam dados de crianças e adolescentes. Fornecedores de serviços de TI que atuam como operadores de grandes controladores também são incluídos nas fiscalizações, pois o controlador responde perante a ANPD pelas falhas de seus operadores.
Setores que já passaram por ciclos de fiscalização proativa:
- Saúde: operadoras de planos de saúde, hospitais, clínicas e laboratórios
- Financeiro: bancos, fintechs, corretoras e empresas de crédito
- Educação: plataformas de ensino com dados de menores de idade
- Setor público: órgãos federais e estaduais com grandes bases de dados de cidadãos
- Telecomunicações: operadoras com acesso a dados de localização e comunicação
O que os inspetores verificam
A ANPD segue um roteiro padronizado nas fiscalizações proativas. As verificações se concentram em oito áreas que correspondem às principais obrigações da LGPD:
As penalidades do Art. 52
O Art. 52 da LGPD lista as sanções administrativas que a ANPD aplica após processo com contraditório e ampla defesa. As sanções podem ser aplicadas de forma isolada ou cumulativa, e a ANPD considera agravantes como reincidência, ausência de cooperação, impacto sobre dados sensíveis e número de titulares afetados.
Na prática, a advertência com prazo para correção foi a sanção mais aplicada nos primeiros ciclos de fiscalização. A ANPD reserva as multas para casos de reincidência, descumprimento dos prazos de correção ou infrações que afetam dados sensíveis ou grande número de titulares. A publicização da infração, mesmo sem multa financeira, representa um dano reputacional significativo para empresas que operam em setores com forte relação de confiança com clientes.
A seleção de alvos é setorial, não individual. Quando a notificação da ANPD chega, toda empresa do setor pode estar na lista.
Como se preparar
A preparação para uma fiscalização proativa não exige um projeto de adequação de dois anos. As seis medidas abaixo cobrem as principais verificações dos inspetores e podem ser implementadas de forma sequencial em poucos meses.
1. Faça ou atualize o mapeamento de dados (ROPA)
Levante todas as atividades de tratamento da sua empresa: quais dados são coletados, de quais fontes, para quais finalidades, por quanto tempo são retidos e com quem são compartilhados. Inclua dados de clientes, funcionários, fornecedores e visitantes de site. Sem esse inventário, é impossível demonstrar conformidade em nenhuma das outras áreas verificadas.
O ROPA não precisa ser uma ferramenta cara: uma planilha estruturada já satisfaz o requisito do Art. 37 desde que seja atualizada regularmente. O que a ANPD não aceita é a ausência completa do registro.
2. Documente a base legal de cada tratamento
Para cada atividade identificada no ROPA, registre qual das dez bases legais do Art. 7 se aplica. Para dados sensíveis, verifique se a base está entre as do Art. 11. Quando a base for consentimento, confirme se o mecanismo de coleta atende aos requisitos de livre, informado e inequívoco. Quando for interesses legítimos, documente o teste de balanceamento em três etapas antes do início do tratamento.
3. Nomeie e publique o encarregado
Defina quem será o encarregado de proteção de dados da sua empresa, interno ou externo, e divulgue o nome e o canal de contato de forma clara no site. Crie um processo interno para receber e responder a solicitações de titulares dentro dos 15 dias previstos em lei. Registre cada solicitação recebida e a resposta dada: esse histórico é solicitado nos processos de fiscalização.
4. Atualize o aviso de privacidade
A política de privacidade deve refletir o que sua empresa realmente faz com os dados. Descreva cada categoria de dado coletado, a base legal correspondente, os prazos de retenção, os terceiros que recebem dados e os direitos dos titulares com as instruções práticas para exercê-los. Uma política genérica copiada de modelo sem adaptação ao tratamento real da sua empresa é uma das primeiras irregularidades identificadas pelos inspetores.
5. Implemente medidas técnicas de segurança proporcionais ao risco
O Art. 46 exige medidas de segurança aptas a proteger os dados de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda ou alteração. O que a ANPD avalia é se as medidas são proporcionais ao perfil de risco do tratamento. Empresas que tratam dados de saúde precisam de controles mais robustos do que uma empresa que coleta apenas nome e e-mail para newsletter.
Documente as medidas adotadas: política de controle de acesso, criptografia em repouso e em trânsito, política de backup, plano de resposta a incidentes e treinamento da equipe. A consultoria de cibersegurança da Cyvra apoia empresas no Brasil a implementar essas medidas de forma proporcional ao risco de cada operação.
6. Revise os contratos com seus operadores
Mapeie todos os fornecedores que tratam dados pessoais em seu nome: sistemas de CRM, plataformas de e-mail, provedores de nuvem, empresas de logística, processadores de pagamento. Cada um precisa de um contrato ou adendo que estabeleça as obrigações de proteção de dados do operador, as restrições de uso e o procedimento em caso de incidente. Sem esses contratos, sua empresa responde perante a ANPD pelas falhas dos seus fornecedores.
Nossa equipe realiza diagnósticos de conformidade com a LGPD, identifica as lacunas prioritárias e implementa os controles necessários antes de uma fiscalização. Se sua empresa já recebeu uma notificação da ANPD, trabalhamos no prazo estabelecido pela autoridade. Entre em contato para uma avaliação inicial.