Guia Conformidade LGPD

ANPD inicia fiscalizações proativas: prepare sua empresa antes de virar alvo

Em 2023, a ANPD encerrou a fase educativa e publicou seu Regulamento de Fiscalização, que autoriza inspeções temáticas por iniciativa própria, sem necessidade de denúncia de titular. Saúde, financeiro, educação e setor público já foram inspecionados. Este artigo explica o que mudou, quem está no radar, o que os inspetores verificam e os seis passos para se preparar.

6 de julho de 2026
9 min de leitura
Principais pontos
  • A ANPD realiza fiscalizações proativas desde 2023, sem necessidade de denúncia de titular para abrir processo
  • Setores já inspecionados incluem saúde, financeiro, educação e órgãos públicos
  • Oito áreas concentram as verificações: bases legais, ROPA, encarregado, aviso de privacidade, direitos dos titulares, segurança técnica, notificação de incidentes e contratos com operadores
  • A sanção mais comum no primeiro processo é advertência com prazo para correção; multas de até R$50 milhões por infração estão reservadas para reincidência e casos graves
  • Seis medidas de preparação reduzem o risco regulatório antes de qualquer inspeção

O que mudou na abordagem da ANPD

De 2020 a 2022, a ANPD operou principalmente em modo reativo: publicou guias orientativos, respondeu a consultas públicas e tratou reclamações individuais de titulares. Com a publicação do Regulamento de Fiscalização, esse ciclo encerrou formalmente.

O regulamento estabeleceu dois mecanismos distintos. O primeiro é a fiscalização reativa, que a ANPD inicia em resposta a denúncias de titulares ou à comunicação de um incidente de segurança. O segundo, e o mais relevante para as empresas, é a fiscalização proativa: a ANPD seleciona um setor ou tema e abre processos administrativos simultâneos contra múltiplas organizações, sem que nenhuma reclamação específica tenha sido registrada.

O ciclo de fiscalização proativa começa com a publicação do Plano de Fiscalização, no qual a ANPD anuncia os setores e temas que serão auditados no período. Empresas nos setores listados recebem notificação e têm prazo para apresentar documentação. A inspeção pode ocorrer de forma remota, por meio de questionários e envio de documentos, ou presencial, com visita de inspetores às instalações da organização.

Precedente europeu

O modelo proativo não é novidade no cenário global. As autoridades de proteção de dados europeias, como a DPA holandesa (AP) e a irlandesa (DPC), realizam inspeções temáticas há anos. A ANPD seguiu esse caminho e tende a aumentar o ritmo de fiscalizações à medida que amplia sua equipe técnica.

Quem está no radar

A ANPD usa três critérios principais para selecionar os alvos de fiscalização proativa.

Volume e sensibilidade dos dados tratados. Controladores que tratam dados sensíveis definidos no Art. 5, II (saúde, biometria, dados de crianças e adolescentes) ou que operam em larga escala com dados de consumidores recebem prioridade. O setor de saúde foi o primeiro a receber atenção sistemática, pela combinação de dados altamente sensíveis e histórico documentado de incidentes.

Relevância econômica e impacto social do setor. Serviços financeiros, telecomunicações e grandes plataformas digitais concentram milhões de titulares. Uma infração nesses setores tem impacto ampliado, o que os torna alvos naturais para a autoridade demonstrar a força das sanções.

Volume acumulado de denúncias em um setor. Quando a ANPD recebe reclamações em quantidade elevada sobre um setor específico, isso frequentemente aciona uma fiscalização temática que vai além dos casos individuais.

PMEs não estão imunes

Pequenas e médias empresas entram no escopo quando operam em setores de risco elevado ou quando tratam dados de crianças e adolescentes. Fornecedores de serviços de TI que atuam como operadores de grandes controladores também são incluídos nas fiscalizações, pois o controlador responde perante a ANPD pelas falhas de seus operadores.

Setores que já passaram por ciclos de fiscalização proativa:

  • Saúde: operadoras de planos de saúde, hospitais, clínicas e laboratórios
  • Financeiro: bancos, fintechs, corretoras e empresas de crédito
  • Educação: plataformas de ensino com dados de menores de idade
  • Setor público: órgãos federais e estaduais com grandes bases de dados de cidadãos
  • Telecomunicações: operadoras com acesso a dados de localização e comunicação

O que os inspetores verificam

A ANPD segue um roteiro padronizado nas fiscalizações proativas. As verificações se concentram em oito áreas que correspondem às principais obrigações da LGPD:

1
Bases legais documentadas (Art. 7 e Art. 11)
Os inspetores verificam se cada atividade de tratamento tem uma base legal identificada e registrada antes do início do tratamento. Para dados sensíveis, a base deve ser uma das do Art. 11, mais restritivas. A ausência de base legal documentada é a infração mais frequente encontrada nas fiscalizações.
2
Registro de Operações de Tratamento (Art. 37)
O ROPA deve listar todas as atividades de tratamento com finalidade, categorias de dados, categorias de titulares, terceiros com quem os dados são compartilhados e prazos de retenção. É o primeiro documento solicitado em qualquer fiscalização e o que mais frequentemente está ausente ou desatualizado.
3
Encarregado nomeado e canal público de contato (Art. 41)
O controlador deve ter um encarregado indicado e divulgar publicamente o nome e o canal de contato. Os inspetores verificam se essa informação está acessível no site e se o canal realmente funciona para receber solicitações de titulares e comunicações da ANPD.
4
Aviso de privacidade
A política de privacidade deve descrever quais dados são coletados, as finalidades e bases legais do tratamento, os prazos de retenção, os terceiros com quem os dados são compartilhados, os direitos dos titulares e como exercê-los. Textos genéricos copiados de modelos genéricos sem adaptação ao tratamento real da empresa não passam pela verificação.
5
Canal de atendimento a titulares e prazo de 15 dias (Art. 18)
Os inspetores testam se a empresa tem um processo operacional para receber e responder a solicitações de direitos de titulares no prazo de 15 dias previsto em lei. A existência do canal no site não é suficiente: é preciso demonstrar que solicitações recebidas são processadas dentro do prazo.
6
Medidas técnicas e administrativas de segurança (Art. 46)
A ANPD avalia se a empresa adota medidas de segurança proporcionais ao risco do tratamento. Isso inclui controle de acesso, criptografia, política de senhas, monitoramento de acessos, plano de backup e capacidade de detecção de incidentes. A ausência de qualquer política de segurança documentada é tratada como infração grave.
7
Plano de resposta a incidentes e notificação (Art. 48 e Resolução CD/ANPD nº 15/2024)
O controlador deve ter um processo documentado para identificar, classificar e comunicar incidentes de segurança. A Resolução nº 15/2024 estabelece o prazo de 72 horas para comunicação à ANPD de incidentes de alto risco. Os inspetores verificam se existe um plano de resposta e se ele já foi testado.
8
Contratos com operadores (Art. 39)
Cada fornecedor que trata dados pessoais em nome da empresa deve ter um contrato ou cláusula que estabeleça as obrigações de proteção de dados do operador, o que pode ser tratado e o que é proibido, e o que acontece em caso de incidente. Os inspetores pedem uma amostra desses contratos para revisão.
72h
para comunicar à ANPD incidentes de alto risco após tomar conhecimento
R$50M
multa máxima por infração, ou 2% da receita bruta no Brasil
15 dias
para responder a solicitações dos titulares de dados

As penalidades do Art. 52

O Art. 52 da LGPD lista as sanções administrativas que a ANPD aplica após processo com contraditório e ampla defesa. As sanções podem ser aplicadas de forma isolada ou cumulativa, e a ANPD considera agravantes como reincidência, ausência de cooperação, impacto sobre dados sensíveis e número de titulares afetados.

1
Advertência
Com prazo estabelecido para adoção das medidas corretivas.
2
Multa simples
Até 2% do faturamento da pessoa jurídica de direito privado no Brasil no último exercício, excluídos os tributos, limitada a R$50 milhões por infração.
3
Multa diária
Observado o teto total de R$50 milhões por infração.
4
Publicização da infração
Após apurada e confirmada pela ANPD.
5
Bloqueio dos dados pessoais
Referentes à infração até sua regularização.
6
Eliminação dos dados pessoais
Referentes à infração.
7
Suspensão parcial do banco de dados
Por até seis meses, prorrogável por igual período.
8
Suspensão do exercício do tratamento
Dos dados pessoais relacionados à infração.
9
Proibição de tratamento
Parcial ou total das atividades relacionadas a tratamento de dados.

Na prática, a advertência com prazo para correção foi a sanção mais aplicada nos primeiros ciclos de fiscalização. A ANPD reserva as multas para casos de reincidência, descumprimento dos prazos de correção ou infrações que afetam dados sensíveis ou grande número de titulares. A publicização da infração, mesmo sem multa financeira, representa um dano reputacional significativo para empresas que operam em setores com forte relação de confiança com clientes.

A seleção de alvos é setorial, não individual. Quando a notificação da ANPD chega, toda empresa do setor pode estar na lista.

Como se preparar

A preparação para uma fiscalização proativa não exige um projeto de adequação de dois anos. As seis medidas abaixo cobrem as principais verificações dos inspetores e podem ser implementadas de forma sequencial em poucos meses.

1. Faça ou atualize o mapeamento de dados (ROPA)

Levante todas as atividades de tratamento da sua empresa: quais dados são coletados, de quais fontes, para quais finalidades, por quanto tempo são retidos e com quem são compartilhados. Inclua dados de clientes, funcionários, fornecedores e visitantes de site. Sem esse inventário, é impossível demonstrar conformidade em nenhuma das outras áreas verificadas.

O ROPA não precisa ser uma ferramenta cara: uma planilha estruturada já satisfaz o requisito do Art. 37 desde que seja atualizada regularmente. O que a ANPD não aceita é a ausência completa do registro.

2. Documente a base legal de cada tratamento

Para cada atividade identificada no ROPA, registre qual das dez bases legais do Art. 7 se aplica. Para dados sensíveis, verifique se a base está entre as do Art. 11. Quando a base for consentimento, confirme se o mecanismo de coleta atende aos requisitos de livre, informado e inequívoco. Quando for interesses legítimos, documente o teste de balanceamento em três etapas antes do início do tratamento.

3. Nomeie e publique o encarregado

Defina quem será o encarregado de proteção de dados da sua empresa, interno ou externo, e divulgue o nome e o canal de contato de forma clara no site. Crie um processo interno para receber e responder a solicitações de titulares dentro dos 15 dias previstos em lei. Registre cada solicitação recebida e a resposta dada: esse histórico é solicitado nos processos de fiscalização.

4. Atualize o aviso de privacidade

A política de privacidade deve refletir o que sua empresa realmente faz com os dados. Descreva cada categoria de dado coletado, a base legal correspondente, os prazos de retenção, os terceiros que recebem dados e os direitos dos titulares com as instruções práticas para exercê-los. Uma política genérica copiada de modelo sem adaptação ao tratamento real da sua empresa é uma das primeiras irregularidades identificadas pelos inspetores.

5. Implemente medidas técnicas de segurança proporcionais ao risco

O Art. 46 exige medidas de segurança aptas a proteger os dados de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda ou alteração. O que a ANPD avalia é se as medidas são proporcionais ao perfil de risco do tratamento. Empresas que tratam dados de saúde precisam de controles mais robustos do que uma empresa que coleta apenas nome e e-mail para newsletter.

Documente as medidas adotadas: política de controle de acesso, criptografia em repouso e em trânsito, política de backup, plano de resposta a incidentes e treinamento da equipe. A consultoria de cibersegurança da Cyvra apoia empresas no Brasil a implementar essas medidas de forma proporcional ao risco de cada operação.

6. Revise os contratos com seus operadores

Mapeie todos os fornecedores que tratam dados pessoais em seu nome: sistemas de CRM, plataformas de e-mail, provedores de nuvem, empresas de logística, processadores de pagamento. Cada um precisa de um contrato ou adendo que estabeleça as obrigações de proteção de dados do operador, as restrições de uso e o procedimento em caso de incidente. Sem esses contratos, sua empresa responde perante a ANPD pelas falhas dos seus fornecedores.

Cyvra pode ajudar

Nossa equipe realiza diagnósticos de conformidade com a LGPD, identifica as lacunas prioritárias e implementa os controles necessários antes de uma fiscalização. Se sua empresa já recebeu uma notificação da ANPD, trabalhamos no prazo estabelecido pela autoridade. Entre em contato para uma avaliação inicial.

Perguntas frequentes sobre fiscalizações da ANPD

A ANPD pode inspecionar minha empresa sem que um titular tenha feito uma denúncia?

Sim. O Regulamento de Fiscalização da ANPD prevê fiscalizações proativas, iniciadas pela própria autoridade com base em seu plano anual. A ANPD seleciona um setor ou tema e abre processos simultâneos contra múltiplas organizações sem que nenhuma reclamação individual tenha sido registrada. Basta que sua empresa opere no setor selecionado para entrar no escopo da fiscalização.

Quais setores estão no foco das fiscalizações proativas?

A ANPD já inspecionou operadoras de planos de saúde, instituições financeiras, plataformas de ensino com dados de menores de idade, órgãos públicos federais e estaduais, e empresas de telecomunicações. Setores com grande volume de dados sensíveis, histórico de incidentes de segurança ou alto volume de reclamações de titulares tendem a ser priorizados nos próximos ciclos.

O que acontece se a ANPD encontrar irregularidades na minha empresa?

O processo administrativo assegura contraditório e ampla defesa. Na maioria dos primeiros processos, a ANPD aplica advertência com prazo para correção das irregularidades. Se a empresa não corrigir no prazo, reincidir ou se o caso envolver dados sensíveis ou grande número de titulares, a autoridade aplica multa de até 2% do faturamento no Brasil, limitada a R$50 milhões por infração. Sanções adicionais incluem bloqueio ou eliminação dos dados e, em casos graves, suspensão das atividades de tratamento.

Uma pequena empresa pode ser alvo de fiscalização da ANPD?

Sim. A ANPD inclui PMEs no escopo quando operam em setores de risco elevado ou quando tratam dados de crianças e adolescentes. Fornecedores de TI que atuam como operadores de grandes controladores também entram no escopo, já que o controlador responde pelas falhas de seus operadores. O porte da empresa reduz a exposição financeira em caso de multa, mas não elimina as obrigações de conformidade com a LGPD.

Como funciona o processo de fiscalização na prática?

A ANPD notifica as empresas selecionadas e estabelece prazo para resposta. A fiscalização pode ocorrer de forma remota, com envio de questionários e documentos, ou presencial, com visita de inspetores. Os principais documentos solicitados são: registro de operações de tratamento (ROPA), aviso de privacidade, contratos com operadores, registros de incidentes e evidências de treinamento da equipe. Empresas com documentação organizada concluem o processo com muito menos fricção do que empresas que precisam construir tudo durante a inspeção.

Fiscalização ANPD

Prepare sua empresa antes da inspeção chegar

A Cyvra realiza diagnósticos de conformidade com a LGPD e implementa os controles que os inspetores da ANPD verificam em toda fiscalização proativa.