Introdução: O tempo de esperar acabou
Durante os primeiros anos de vigência da Lei Geral de Proteção de Dados Pessoais, muitas empresas adotaram uma postura de observação. Aguardavam para ver o que a Autoridade Nacional de Proteção de Dados faria na prática, se as multas seriam realmente aplicadas, se a fiscalização chegaria ao seu setor, ao seu porte, à sua realidade. Essa postura tinha uma lógica compreensível: a ANPD estava em fase de estruturação institucional, os regulamentos de dosimetria ainda estavam sendo construídos e as primeiras ações eram predominantemente educativas.
Esse cenário mudou. E as mudanças dos últimos dois anos foram tão estruturais que a postura de espera deixou de ser estratégia para se tornar risco.
Em julho de 2023, a ANPD aplicou sua primeira multa a uma empresa privada. Em dezembro de 2024, notificou 20 grandes empresas por ausência de canal de comunicação efetivo com titulares de dados, com nomes como Uber, Serasa, Vivo, TikTok e X entre as fiscalizadas. Em 2025, passou a prever multas diárias por descumprimento de medidas cautelares e aplicou essa lógica de forma concreta contra uma empresa internacional que operava em desacordo com a LGPD. No início de 2026, o Congresso Nacional converteu a ANPD em Agência Nacional de Proteção de Dados, com autonomia financeira, carreira própria de 200 especialistas em regulação e fiscalização e estrutura institucional equivalente às demais agências reguladoras do país.
A pergunta que muitas empresas ainda fazem, “quando a ANPD vai realmente fiscalizar”, já tem resposta. Ela já está fiscalizando. A pergunta certa agora é outra: quando ela chegar até a sua empresa, o que ela vai encontrar?
O arsenal sancionatório da ANPD: o que está em jogo
Antes de entender o que a ANPD fiscaliza e como decide a punição, é fundamental que gestores e líderes entendam o que está em jogo. O artigo 52 da LGPD estabelece um rol de sanções administrativas que vai muito além da multa financeira.
A advertência é a sanção de menor gravidade formal, mas suas consequências práticas não são triviais: ela estabelece prazo para adoção de medidas corretivas e, se não cumprida, abre caminho direto para sanções mais graves. Uma advertência ignorada é uma escada para o processo sancionador.
A multa simples pode chegar a 2% do faturamento bruto da empresa no último exercício, excluídos os tributos, com limite de R$ 50 milhões por infração. Um ponto que frequentemente surpreende os gestores: cada infração autônoma pode ter seu próprio limite aplicado. Uma empresa com múltiplas violações simultâneas pode acumular tetos de multa distintos para cada uma delas.
A multa diária funciona como instrumento coercitivo para forçar a cessação de violação continuada ou o cumprimento de determinações da ANPD. Não é uma punição pelo passado: é uma pressão financeira crescente para forçar conformidade imediata. Conforme publicado pela ANPD em 2025, esse mecanismo passou a ser previsto expressamente para casos de descumprimento de medidas cautelares. No caso concreto envolvendo a empresa Tools for Humanity e o projeto WorldCoin, a ANPD estabeleceu multa diária de R$ 50 mil por descumprimento da suspensão determinada, evidenciando que esse instrumento saiu do papel.
A publicização da infração é frequentemente subestimada como sanção, mas pode ser devastadora em termos reputacionais. Ver o nome da empresa associado a uma infração à LGPD em comunicado oficial da ANPD tem impacto direto sobre clientes, parceiros e investidores.
O bloqueio dos dados pessoais implica a suspensão de qualquer operação de tratamento sobre os dados afetados. Para empresas cujo modelo de negócio depende do uso de dados, essa sanção pode paralisar operações inteiras. A suspensão parcial ou total das atividades de tratamento e a proibição de exercer atividades relacionadas a dados são as sanções de última instância, reservadas para casos de especial gravidade e reincidência, mas existem no arsenal e podem ser aplicadas.
O que este quadro revela para o gestor é simples: a LGPD não criou apenas um risco de multa. Criou um sistema de pressão progressiva, no qual a não conformidade pode resultar em consequências que vão do financeiro ao operacional, passando pelo reputacional.
Como a ANPD decide o tamanho da punição
Entender a dosimetria das sanções é tão importante quanto conhecer as sanções em si. Porque é na dosimetria que a empresa que se preparou tem vantagem concreta sobre a que não se preparou.
O artigo 52 da LGPD e a Resolução CD/ANPD nº 4/2023 estabelecem os critérios que a ANPD deve considerar ao definir a sanção e calcular o valor de eventual multa. São oito fatores principais.
O primeiro é a gravidade e a natureza das infrações.
Infrações que afetam dados sensíveis, que envolvem grande volume de titulares ou que causam danos de difícil reversão são tratadas com mais rigor.
O segundo é a boa-fé do infrator.
Empresas que demonstram que agiram de forma transparente, que cooperaram com a investigação e que adotaram medidas corretivas voluntariamente partem de uma posição radicalmente melhor no processo sancionador.
O terceiro é a vantagem auferida.
Se a empresa obteve ganho econômico com a prática irregular, esse fator é usado como agravante na dosimetria da multa.
O quarto é a condição econômica do infrator.
A multa é calculada proporcionalmente ao faturamento, o que significa que o impacto real varia conforme o porte da empresa.
O quinto é a reincidência.
Uma segunda infração do mesmo tipo recebe tratamento muito mais severo do que a primeira.
O sexto é o grau do dano.
A extensão do dano causado aos titulares, sua reversibilidade e o número de pessoas afetadas são elementos centrais na dosimetria.
O sétimo é a cooperação com a investigação.
Empresas que respondem às requisições da ANPD dentro do prazo, fornecem as informações solicitadas e demonstram disposição para corrigir o problema têm histórico de resultados mais favoráveis nos processos sancionadores.
O oitavo, e talvez o mais estratégico para a decisão de conformidade, é a adoção de mecanismos e procedimentos internos capazes de minimizar o dano.
Em linguagem prática: ter um programa de conformidade documentado e funcional é um argumento jurídico concreto previsto expressamente na lei como fator atenuante.
Isso significa que duas empresas que cometeram a mesma infração podem receber punições muito diferentes. A que tem mapeamento de dados, política de privacidade documentada, DPO ativo e Canal LGPD estruturado parte de uma posição que a ANPD reconhece formalmente como atenuante. A que não tem nada disso parte em posição de máxima exposição.
O que a ANPD fiscaliza primeiro — e o precedente que define as prioridades
A melhor forma de entender o que a ANPD prioriza é observar o que ela já fez. Os processos instaurados e as notificações emitidas nos últimos três anos desenham um padrão claro.
Em julho de 2023, a ANPD concluiu seu primeiro processo administrativo sancionador contra uma empresa privada. A Telekall Infoservice, uma microempresa de telecomunicações, foi multada em R$ 14.400 por tratar dados pessoais sem base legal e por ausência de DPO. O valor absoluto é modesto, mas o precedente é de primeira ordem: a ANPD sanciona empresas de qualquer porte. Não existe imunidade por ser pequeno. A multa foi calculada no teto legal permitido para o faturamento da empresa, correspondendo a 2% do faturamento bruto, o que demonstra que a proporcionalidade não protege quem descumpre: ela apenas ajusta o valor ao porte.
Em dezembro de 2024, a ANPD notificou 20 grandes empresas que não tinham canal de comunicação efetivo com titulares de dados e não tinham DPO adequadamente indicado. A lista incluiu nomes como Uber, Serasa, Vivo, TikTok, X, Telegram, QuintoAndar, Latam Airlines, Cacau Show e Tinder, abrangendo setores de tecnologia, telefonia, educação, saúde e varejo. A iniciativa foi parte do Ciclo de Monitoramento alinhado ao Mapa de Temas Prioritários 2024-2025 da ANPD. Segundo o Coordenador-Geral de Fiscalização da ANPD, Fabrício Lopes, a ausência de um canal de comunicação eficaz impede que os titulares exerçam seus direitos e compromete a transparência no tratamento de dados. O resultado: todas as 20 empresas implementaram medidas de adequação após a notificação, o que confirma que a fiscalização funciona como instrumento de correção, mas também que quem não se adequa voluntariamente enfrenta processo sancionador.
O padrão que emerge é claro: a ANPD prioriza violações com potencial de impacto massivo sobre titulares, ausência de estrutura mínima de governança como DPO e canal de comunicação, e não cooperação com a fiscalização. São exatamente esses os elementos que o Canal LGPD endereça de forma direta.
Em dezembro de 2025, a ANPD publicou o Mapa de Temas Prioritários para o biênio 2026-2027, estabelecendo quatro eixos de fiscalização: direitos dos titulares com foco especial em dados biométricos, de saúde e financeiros; proteção de crianças e adolescentes no ambiente digital; poder público; e inteligência artificial. Estão previstas 40 ações fiscalizatórias no eixo de direitos dos titulares ao longo dos dois anos. O mapa não é uma intenção vaga: é um compromisso institucional publicado, com cronograma e alocação de recursos.
A transformação da ANPD em Agência Reguladora: o que muda na prática para as empresas
Em fevereiro de 2026, o Congresso Nacional aprovou a Medida Provisória nº 1.317/2025, convertida na Lei nº 15.352/2026, que transformou a ANPD em Agência Nacional de Proteção de Dados. A mudança não é apenas de nome.
Como agência reguladora, a ANPD passa a ter autonomia funcional, técnica, decisória, administrativa e financeira. Passa a ter carreira própria, com 200 cargos de Especialista em Regulação e Fiscalização de Proteção de Dados, preenchidos por concurso público com formação específica. Passa a ter estrutura de seis superintendências, incluindo uma Superintendência de Fiscalização dedicada e uma unidade de auditoria. Passa a ter receitas vinculadas e patrimônio próprio.
Para as empresas, essa mudança tem uma implicação direta: a capacidade operacional de fiscalização da ANPD aumentou de forma estrutural e permanente. Não é um ciclo pontual de fiscalização. É uma estrutura institucional construída para operar em escala, com especialistas treinados e recursos dedicados. O argumento de que “a ANPD não tem estrutura para fiscalizar todo mundo” deixou de ser válido.
A comparação com o que aconteceu em outros países ajuda a calibrar a expectativa. Na União Europeia, entre janeiro de 2023 e janeiro de 2024, as multas do GDPR somaram 1,78 bilhão de euros. O Brasil está em fase anterior dessa curva, mas a trajetória é a mesma: construção institucional primeiro, fiscalização em escala depois. A estrutura institucional que possibilitou as grandes multas europeias acaba de ser construída no Brasil.
O Canal LGPD como primeiro item da lista de verificação da ANPD
Das notificações já emitidas pela ANPD, um padrão se destaca com clareza: a ausência de canal de comunicação efetivo com titulares foi o motivo explícito da notificação das 20 grandes empresas em dezembro de 2024. Não foi um vazamento de dados. Não foi um incidente de segurança. Foi simplesmente a ausência de um mecanismo funcional para que colaboradores, clientes e parceiros pudessem exercer seus direitos de acesso, correção e exclusão de dados.
A chefe da Divisão de Monitoramento da ANPD, Camila Falchetto Romero, foi precisa ao explicar o critério: há casos em que, mesmo sendo indicado pelo controlador, o canal de contato não cumpre adequadamente sua função de intermediar a relação entre o titular e o controlador. Ou seja, não basta ter um e-mail genérico ou um formulário de contato. O canal precisa ser funcional, rastreável e efetivo.
Para o gestor, isso significa que o Canal LGPD não é apenas uma ferramenta de compliance interno. É o elemento que a ANPD verifica ativamente e que pode ser a diferença entre uma notificação corretiva e um processo administrativo sancionador.
Um Canal LGPD estruturado, como o oferecido pela BCompliance&Law, recebe os pedidos dos titulares de forma organizada, registra cada solicitação com data e hora, encaminha ao responsável com controle de prazo e gera histórico documentado de cada interação. Em uma fiscalização da ANPD, esse histórico é evidência concreta de que a empresa respeita os direitos dos titulares. Em um processo sancionador, é o tipo de documentação que a lei reconhece expressamente como fator atenuante na dosimetria das sanções.
O risco judicial paralelo: o que o STJ decidiu sobre dados pessoais
A fiscalização da ANPD não é o único vetor de risco para empresas que não se adequaram à LGPD. Em setembro de 2025, a Terceira Turma do Superior Tribunal de Justiça decidiu, por maioria, que a disponibilização indevida de informações pessoais em banco de dados para terceiros, sem comunicação prévia ao titular e sem o seu consentimento, caracteriza violação dos direitos de personalidade e gera dano moral presumido. O entendimento, firmado no REsp 2.201.694/SP sob relatoria da ministra Nancy Andrighi, estabeleceu que o gestor de banco de dados que repassa informações cadastrais a terceiros em desacordo com a legislação responde objetivamente pelos danos morais causados, sendo esses danos presumidos diante da sensação de insegurança experimentada pelo titular, sem necessidade de prova do prejuízo concreto.
É importante registrar que o tema ainda está em desenvolvimento no STJ. Em novembro de 2025, a Quarta Turma chegou a conclusão diversa no REsp 2.221.650/SP, entendendo que a disponibilização de dados não sensíveis no contexto específico do cadastro positivo não gera dano moral presumido sem prova de abalo concreto aos direitos da personalidade. A divergência entre turmas indica que o tema ainda não está pacificado na Corte, o que torna ainda mais relevante para as empresas demonstrar que possuem processos estruturados de proteção de dados, pois a existência de medidas de conformidade é elemento que pode ser determinante tanto no âmbito administrativo quanto no judicial.
Para as empresas, o cenário é de dupla exposição. A via administrativa da ANPD e a via judicial civil são independentes e podem ser percorridas simultaneamente. Uma empresa pode ser notificada pela ANPD e ao mesmo tempo enfrentar ações individuais ou coletivas de titulares afetados. As duas vias não se excluem e não se limitam mutuamente. E em ambos os casos, ter um Canal LGPD ativo e documentado é evidência que protege a empresa: perante a ANPD como indicador de boa-fé e adoção de mecanismos de mitigação, e perante o Judiciário como demonstração de que a empresa tem processos para responder a pedidos dos titulares.
O que sua empresa precisa ter antes de ser fiscalizada
Com base no padrão de fiscalização da ANPD e nos critérios de dosimetria estabelecidos pela lei, é possível identificar com clareza os elementos que uma empresa precisa ter documentados e funcionando antes de receber uma notificação.
O primeiro é o mapeamento de dados.
Saber quais dados pessoais a empresa coleta, onde ficam armazenados, quem tem acesso e com quem são compartilhados é o ponto de partida de qualquer programa de conformidade. Sem esse mapa, não é possível demonstrar controle sobre o que se trata.
O segundo é a definição de bases legais.
Para cada operação de tratamento identificada no mapeamento, a empresa precisa ter definida e documentada qual base legal da LGPD a justifica. Esse é o registro que a ANPD solicitará em qualquer processo de fiscalização.
O terceiro é o DPO nomeado e atuante.
A ausência de DPO foi infração autônoma no caso Telekall e critério de notificação nas 20 empresas de dezembro de 2024. Não basta nomear formalmente: o DPO precisa ter identidade e contato publicados e exercer função real de intermediação.
O quarto é a política de privacidade atualizada.
Documentação que informa os titulares sobre quais dados são coletados, com qual finalidade, por quanto tempo e como podem exercer seus direitos.
O quinto é o plano de resposta a incidentes.
Com a Resolução CD/ANPD nº 15/2024, o prazo para comunicação de incidentes relevantes à ANPD é de 3 dias úteis. Sem um plano estruturado, esse prazo é impossível de cumprir.
O sexto, e o que a ANPD verificou explicitamente nas 20 empresas notificadas, é o Canal LGPD estruturado e funcional.
Um canal que receba pedidos dos titulares, registre cada solicitação, controle prazos de resposta e gere evidência documentada de atendimento. Não um e-mail genérico. Um canal com fluxo definido, responsável designado e histórico auditável.
Cada um desses elementos, se presente e documentado, funciona como fator atenuante na dosimetria de eventual sanção. Cada um que está ausente funciona como agravante.
Canal LGPD: a evidência a ser apresentada à ANPD
Ao longo deste artigo, o Canal LGPD apareceu em diferentes contextos: como critério explícito de notificação da ANPD, como fator atenuante na dosimetria das sanções, como evidência de boa-fé perante o Judiciário e como mecanismo de proteção operacional em caso de fiscalização.
Não é coincidência. O Canal LGPD é, pela própria estrutura da lei, o ponto de contato obrigatório entre a empresa e os titulares de dados. E a ANPD já demonstrou que vai verificar se esse ponto existe e se funciona de verdade.
A BCompliance&Law oferece um Canal LGPD estruturado especificamente para cumprir essa função com rastreabilidade e dentro dos padrões que a ANPD verifica. Cada pedido de titular recebido é registrado com data e identificação, categorizado por tipo de solicitação, encaminhado ao responsável com prazo de resposta controlado e arquivado com histórico completo disponível para consulta. Em uma fiscalização, esse histórico é apresentado como evidência. Em um processo sancionador, é o tipo de documentação que a lei reconhece como demonstração de mecanismo de mitigação.
Para empresas com DPO já nomeado, o Canal LGPD é a ferramenta que permite ao encarregado exercer sua função de intermediação com eficiência e rastreabilidade. Para empresas que ainda não estruturaram sua conformidade, é o ponto de partida mais visível e mais verificado pela ANPD.
Conclusão: a segunda multa é uma questão de quando, não de se
O Brasil tem hoje uma única multa aplicada a empresa privada pela ANPD, no valor de R$ 14.400. Esse número vai mudar. Não é especulação: é a consequência natural de uma estrutura institucional que acaba de ser consolidada, de um mapa de temas prioritários publicado com cronograma de 40 ações fiscalizatórias, de quase 40 processos em andamento e de um precedente que prova que a lei se aplica a empresas de qualquer porte.
O que está sendo construído no Brasil em proteção de dados segue a mesma trajetória que a Europa percorreu entre 2018 e 2022: estruturação regulatória primeiro, fiscalização em escala depois. A diferença é que no Brasil esse processo está acontecendo de forma comprimida, acelerada pela transformação da ANPD em agência reguladora e pelo fortalecimento institucional dos últimos dois anos.
Empresas que chegarem à fiscalização com Canal LGPD funcional, DPO ativo, mapeamento documentado e histórico de atendimento a titulares vão demonstrar à ANPD exatamente o que a lei reconhece como fator atenuante. Empresas que chegarem sem nada disso vão demonstrar o contrário.
A sua empresa está esperando a fiscalização chegar para começar a se preparar, ou está construindo agora a evidência que vai protegê-la quando ela chegar?
Para empresas de menor porte, a BCompliance&Law oferece planos de Canal LGPD com contratação direta em nosso site. Para empresas a partir de 50 funcionários, o Canal LGPD da BCompliance&Law entrega a estrutura que sua operação exige. Fale com um especialista.
