Minha empresa é pequena. Precisa mesmo se adequar à LGPD?

Sim. A Lei Geral de Proteção de Dados se aplica a qualquer empresa que trate dados pessoais, independentemente do porte. Microempresas, EPP e startups se enquadram em regime simplificado pela Resolução CD/ANPD nº 2/2022, que flexibiliza algumas obrigações formais, mas não dispensa o cumprimento dos princípios, das bases legais e dos direitos dos titulares. A primeira multa aplicada pela ANPD foi justamente a uma microempresa.

Qual é o prazo para comunicar um vazamento de dados à ANPD?

O prazo é de 3 dias úteis a partir do momento em que a empresa toma conhecimento de que o incidente pode acarretar risco ou dano relevante aos titulares. Para agentes de tratamento de pequeno porte, esse prazo é de 6 dias úteis. Esse prazo não é de 72 horas — essa regra pertence à GDPR europeia e não se aplica à legislação brasileira.

Toda operação de tratamento de dados precisa de consentimento do titular?

Não. O consentimento é apenas uma das dez bases legais previstas na LGPD para dados comuns. Em muitas situações, o tratamento se sustenta em bases mais sólidas, como a execução de contrato, o cumprimento de obrigação legal ou o legítimo interesse.

Qual é o valor máximo da multa que a ANPD pode aplicar?

A multa simples pode chegar a 2% do faturamento bruto da empresa no último exercício (excluídos os tributos), com teto de R$ 50 milhões por infração. A sanção é calculada com base na gravidade da infração, no dano causado, na boa-fé do infrator e em outros critérios definidos pelo regulamento de dosimetria.

Ter uma política de privacidade no site significa que a empresa está adequada?

Não. A política de privacidade é apenas um dos documentos que compõem a conformidade. Uma adequação real envolve mapeamento de dados, definição de bases legais, RoPA, contratos com operadores, indicação ou canal do encarregado, treinamento e plano de resposta a incidentes.

Quanto tempo leva para uma empresa se adequar à LGPD?

O projeto inicial pode levar de 60 a 180 dias, dependendo do porte e da complexidade dos processos. Conformidade não é um projeto com data de encerramento: é um programa contínuo de governança que exige revisão periódica.

Adequação à LGPD: Leia nosso guia completo da conformidade

Q: Toda empresa é obrigada a ter um DPO (encarregado de dados)?

Não obrigatoriamente. Agentes de tratamento de pequeno porte estão dispensados da indicação formal de encarregado, mas devem disponibilizar um canal de comunicação com os titulares. Para os demais agentes, a indicação é obrigatória e deve ser formalizada por ato escrito e divulgada no site da empresa.

Mais de 1.700 incidentes de segurança foram notificados à ANPD desde que a fiscalização com poder sancionatório foi ativada — e a estimativa de especialistas é que a maioria das empresas brasileiras ainda não tem sequer um mapeamento básico dos dados que trata. Se você é sócio ou diretor de uma empresa que coleta cadastros de clientes, contrata fornecedores, mantém folha de pagamento ou opera um e-commerce, há uma probabilidade concreta de que sua operação esteja exposta a multas, responsabilização civil e danos reputacionais sem que nenhum alarme tenha soado ainda.

Essa situação é comum. Não é negligência deliberada — na maioria dos casos, é a ausência de informação clara sobre o que a Lei Geral de Proteção de Dados (Lei nº 13.709/2018) exige, de quem exige e quais são as consequências reais de não agir. A sensação de que “isso é coisa de empresa grande” ou de que “a ANPD ainda não chegou até mim” costuma durar até o primeiro incidente ou até a primeira notificação de fiscalização.

Este guia percorre cada etapa do processo de adequação à LGPD: o que a lei exige, quais erros são mais frequentes, como a documentação funciona na prática, o que acontece quando ocorre um vazamento e como a ANPD calcula as sanções. O objetivo é que você saia com clareza suficiente para tomar decisões — e com a consciência de que conformidade é alcançável com método e orientação especializada.

O risco que sua empresa carrega sem saber

O problema não começa com uma fiscalização. Começa muito antes: no momento em que um colaborador envia uma planilha de clientes para o e-mail errado, no dia em que um sistema de terceiros sofre uma invasão e leva seus dados junto, ou quando um ex-funcionário exporta uma base de contatos ao sair da empresa. Nesses cenários, a empresa que não se adequou enfrenta simultaneamente a obrigação de notificar a ANPD, o risco de ações civis movidas pelos titulares afetados e a exposição a sanções administrativas que podem alcançar 2% do faturamento por infração.

O que agrava o risco é a invisibilidade. Empresas que nunca mapearam seus dados não sabem o que têm, onde está armazenado, quem tem acesso e com quem é compartilhado. Essa falta de visibilidade é, em si, uma violação do princípio da responsabilização e prestação de contas previsto na LGPD — o chamado accountability. A ANPD não exige perfeição, mas exige demonstração de esforço e método. Quem não tem nada documentado tem muito pouco para apresentar em uma investigação.

Além disso, a ANPD tornou-se agência reguladora em 2026, com carreira própria de fiscalização, estrutura de seis superintendências e capacidade institucional para conduzir investigações simultâneas em diferentes setores. O Mapa de Temas Prioritários 2026-2027 indica foco em dados biométricos, dados de saúde, dados financeiros, crianças e adolescentes e inteligência artificial. Se sua empresa opera em qualquer um desses campos, a probabilidade de escrutínio é ainda maior.

Quatro confusões que criam risco jurídico real

Comparação	Opção A	Opção B
Base legal	Consentimento Revogável a qualquer tempo; ônus de prova recai sobre o controlador; frágil para operações contínuas	Legítimo interesse Requer teste de balanceamento documentado; não vale para dados sensíveis; mais estável quando bem fundamentado
Responsabilidade	Controlador Decide a finalidade e os meios do tratamento; é o principal responsável legal (art. 5º, VI da LGPD)	Operador Trata dados em nome do controlador, seguindo suas instruções; responsabilidade solidária em hipóteses específicas
Encarregado	DPO interno Colaborador da empresa designado; pode acumular funções sem conflito de interesse; custo fixo na folha	DPO terceirizado Pessoa física ou jurídica externa; atende múltiplos controladores; expressamente admitido pela Res. 18/2024
Regime legal	LGPD (Brasil) Incidente: 3 dias úteis para notificar a ANPD; multa: até 2% do faturamento, teto R$ 50 mi por infração	GDPR (Europa) Incidente: 72 horas; multa: até 4% do faturamento global ou €20 mi — regras que NÃO se aplicam no Brasil

O que a LGPD exige de qualquer empresa que trata dados

Antes de entrar nas etapas do processo, é preciso entender o escopo real da lei e desfazer algumas interpretações que circulam e que criam uma falsa sensação de segurança.

Quem está obrigado: porte não é critério de isenção

A LGPD se aplica a qualquer operação de tratamento de dados pessoais realizada por pessoa natural ou jurídica, de direito público ou privado, independentemente do porte (art. 1º e art. 3º). Microempresas, EPPs, startups e até pessoas físicas que tratem dados no exercício de atividade econômica estão dentro do escopo da lei. A Resolução CD/ANPD nº 2/2022 criou um regime diferenciado para agentes de pequeno porte — com algumas flexibilizações formais — mas não dispensou nenhum deles dos princípios, das bases legais e dos direitos dos titulares. A diferença é de grau, não de obrigação.

O que conta como tratamento de dados pessoais

Tratamento é qualquer operação com dados pessoais: coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação, controle, modificação, comunicação, transferência, difusão ou extração. Na prática: se a empresa guarda o nome e o e-mail de um cliente em uma planilha, está tratando dados. Se usa um sistema de CRM, está tratando dados. Se armazena currículo de candidatos, está tratando dados. O ponto de partida da adequação é reconhecer que praticamente toda empresa trata dados pessoais todos os dias.

Dados sensíveis: o nível de risco que poucos mapeiam

Há uma categoria de dados que exige atenção redobrada: os dados pessoais sensíveis. A LGPD reserva para eles um regime legal mais restrito, com bases autorizativas próprias e mais limitadas (art. 11). São sensíveis: dados sobre origem racial ou étnica, convicção religiosa, opinião política, filiação sindical, dados referentes à saúde ou à vida sexual, dado genético ou biométrico. Clínicas, academias, plataformas de RH, sistemas de ponto com reconhecimento facial e condomínios com câmeras de identificação estão todos no universo dos dados sensíveis — muitas vezes sem perceber. O legítimo interesse, que é uma base válida para dados comuns, não pode ser usado para fundamentar o tratamento de dados sensíveis.

Os erros mais comuns de quem tenta a adequação à LGPD sozinho

Muitas empresas já fizeram alguma tentativa de conformidade — criaram um documento, adicionaram um aviso ao site, pediram para o time de TI revisar os sistemas. O problema é que esses esforços isolados raramente constroem um programa de governança que resiste a uma fiscalização. Os erros abaixo são os mais frequentes e os que mais expõem juridicamente.

Confundir consentimento com base legal universal

Talvez o equívoco mais difundido seja acreditar que todo tratamento de dados precisa de consentimento. O consentimento é apenas uma das dez bases legais do art. 7º da LGPD — e, em muitos contextos, é a mais frágil delas. Ele pode ser revogado a qualquer momento pelo titular, e o ônus de provar que foi coletado de forma livre, informada e inequívoca recai sobre o controlador. Uma empresa que usa consentimento para fundamentar o tratamento de dados de funcionários (quando a base correta seria a execução do contrato de trabalho ou o cumprimento de obrigação legal trabalhista) está duplamente exposta: escolheu a base errada e ainda carrega o risco de revogação.

Copiar política de privacidade de outro site

A política de privacidade — ou aviso de privacidade — não é um texto genérico. Ela deve descrever as operações reais de tratamento da empresa: quais dados são coletados, com qual finalidade, por quanto tempo são retidos e com quem são compartilhados. Um texto copiado de outra empresa descreve a realidade de outra empresa. Se a ANPD ou um titular pedir esclarecimentos, a empresa não conseguirá justificar o que está no documento com base em sua operação real. Isso conta como ausência de transparência — uma violação direta do art. 6º, VI, da LGPD.

Ignorar os dados de funcionários e fornecedores

A LGPD não protege apenas dados de clientes. Dados de colaboradores — nome, CPF, salário, dados bancários, histórico de saúde para plano de benefícios, registros de ponto biométrico — são dados pessoais (e alguns são sensíveis) sujeitos a todas as regras da lei. O mesmo vale para dados de fornecedores e prestadores de serviço. Empresas que fizeram uma adequação focada apenas no site e nos clientes externos deixam toda a operação interna desprotegida.

Acreditar que pequeno porte garante imunidade

A primeira sanção de multa aplicada pela ANPD foi contra uma microempresa — a Telekall Infoservice. O caso consolidou duas conclusões: pequenas empresas são autuadas e a ausência de encarregado é tratada como infração autônoma. O porte menor pode influenciar o cálculo da multa (já que ela incide sobre o faturamento), mas não cria imunidade. Para mais informações sobre o que é obrigatório para empresas de menor porte, acesse o guia de LGPD para pequenas empresas e MEI.

Como funciona a adequação à LGPD na prática: etapas do processo

A adequação não é linear para todas as empresas, mas há uma sequência lógica que funciona para a maioria. Saltar etapas — especialmente a primeira — compromete tudo que vem depois.

Mapeamento de dados: descobrir o que a empresa trata

O ponto de partida é o mapeamento de dados (data mapping): um levantamento sistemático de todos os fluxos de dados pessoais na organização. Quais dados são coletados, por qual canal, com qual finalidade, onde ficam armazenados, quem tem acesso, com quem são compartilhados e por quanto tempo são retidos. Sem esse inventário, é impossível definir bases legais, elaborar o RoPA ou identificar riscos. O mapeamento também revela os dados sensíveis que a empresa trata sem ter percebido — e que exigem atenção imediata. Para entender como conduzir esse processo, veja o guia de mapeamento de dados na LGPD.

Definição de bases legais para cada operação

Com o mapeamento em mãos, a próxima etapa é definir, para cada operação de tratamento identificada, qual é a base legal que a autoriza. Essa análise é técnica e não pode ser feita de forma genérica: o mesmo dado pode ter bases legais diferentes dependendo de para que é usado. Dados de clientes coletados para executar um contrato de compra e venda têm base no inciso V do art. 7º; os mesmos dados usados para uma campanha de marketing podem precisar de outra base, como o legítimo interesse (com teste de balanceamento documentado) ou o consentimento.

Documentação obrigatória: RoPA, avisos e contratos

Com as bases legais definidas, a empresa passa a produzir a documentação. O Registro de Operações de Tratamento (RoPA), exigido pelo art. 37 da LGPD, consolida o inventário de dados em formato estruturado. O aviso de privacidade comunica ao titular o que é feito com seus dados. Os contratos com operadores (DPA) formalizam as instruções do controlador a cada empresa ou sistema terceiro que processa dados em seu nome. Esses três documentos formam a espinha dorsal da conformidade.

Indicação do encarregado e canais de atendimento ao titular

A maioria dos agentes de tratamento deve indicar formalmente um encarregado de dados (DPO), com identidade e contato divulgados no site (art. 41 da LGPD). A indicação precisa ser formalizada por ato escrito, datado e assinado, conforme a Resolução CD/ANPD nº 18/2024. Além disso, a empresa precisa ter um canal funcional para que titulares possam exercer os direitos previstos no art. 18 da LGPD — acesso, correção, eliminação, portabilidade e revogação do consentimento, entre outros.

Bases legais: por que escolher errado torna o tratamento ilícito

A base legal não é apenas um detalhe formal. Ela é o fundamento que torna o tratamento lícito. Um tratamento sem base legal — ou com base legal inadequada — é ilícito, independentemente de qualquer outra medida de segurança adotada pela empresa. A ANPD consolidou esse entendimento em suas primeiras sanções.

As dez hipóteses do artigo 7º para dados comuns

Para dados pessoais comuns, a LGPD prevê dez hipóteses autorizativas: consentimento do titular; cumprimento de obrigação legal ou regulatória; execução de políticas públicas; estudos por órgão de pesquisa; execução de contrato com o titular; exercício regular de direitos em processo judicial, administrativo ou arbitral; proteção da vida; tutela da saúde por profissional de saúde; legítimo interesse do controlador ou de terceiros; e proteção do crédito. A empresa não precisa — e não deve — usar todas elas ao mesmo tempo: deve identificar a mais adequada para cada operação específica.

O regime mais restrito dos dados sensíveis

Para dados sensíveis, o art. 11 da LGPD prevê um rol próprio e mais restrito de bases legais. O consentimento aqui deve ser específico e destacado. As demais hipóteses — como tutela da saúde, cumprimento de obrigação legal e proteção da vida — são taxativas. O legítimo interesse, que está no art. 7º para dados comuns, simplesmente não aparece no art. 11. Tratar dados sensíveis com base no legítimo interesse é ilícito, independentemente da qualidade do teste de balanceamento realizado.

Quando o legítimo interesse pode — e quando não pode — ser usado

O legítimo interesse é uma base que exige trabalho. Para ser válido, o controlador precisa documentar um teste de balanceamento (Legitimate Interest Assessment), demonstrando que a finalidade do tratamento é legítima, que os dados utilizados são os mínimos necessários e que os interesses do titular não prevalecem sobre os do controlador no caso concreto. Esse documento precisa existir antes do início do tratamento, não depois de uma fiscalização. Quando bem estruturado, o legítimo interesse é uma base robusta para marketing, prevenção a fraudes e segurança de sistemas — mas nunca para dados sensíveis.

Documentação que a ANPD pode exigir a qualquer momento

Uma das diferenças mais importantes entre uma empresa adequada e uma empresa que apenas parece adequada está na documentação. Em uma investigação, a ANPD pode solicitar qualquer um dos documentos abaixo. Não tê-los — ou tê-los desatualizados — é evidência direta de não conformidade.

Registro de Operações de Tratamento (RoPA)

O RoPA é o documento central da governança de dados. Ele deve registrar todas as operações de tratamento realizadas pela empresa: categoria de dados, finalidade, base legal, agentes envolvidos (controlador, operadores, suboperadores), fluxos de transferência e prazos de retenção. O art. 37 da LGPD impõe essa obrigação a controladores e operadores. Na prática, o RoPA é o primeiro documento que uma equipe de fiscalização pede. Para entender como estruturá-lo, consulte o guia de RoPA.

Aviso de privacidade e política interna: documentos distintos

A ANPD diferencia dois tipos de documentos que as empresas frequentemente confundem. O aviso de privacidade é a comunicação externa ao titular: descreve o que é feito com os dados pessoais coletados e deve ser acessível, claro e atualizado. A política interna de proteção de dados é um instrumento de governança voltado para os colaboradores da empresa: define papéis, responsabilidades, procedimentos e controles internos. Fundir os dois em um único documento comprometendo a clareza de nenhum dos dois é um erro que costuma aparecer em auditorias.

Contrato controlador-operador (DPA) e por que ele protege a empresa

Toda vez que a empresa contrata um sistema de terceiro que processa dados pessoais em seu nome — um CRM, uma plataforma de e-mail marketing, um sistema de RH em nuvem — está utilizando um operador. O art. 39 da LGPD exige que as instruções do controlador ao operador sejam formalizadas em contrato. Na ausência de um DPA claro, a responsabilidade pelo tratamento inadequado tende a recair sobre o controlador. O DPA também é o instrumento que limita o que o operador pode fazer com os dados — sem ele, não há controle efetivo.

Relatório de Impacto (RIPD) nos tratamentos de alto risco

O Relatório de Impacto à Proteção de Dados Pessoais (RIPD), previsto no art. 38 da LGPD, é exigível pela ANPD especialmente quando o tratamento envolver dados sensíveis em larga escala, vigilância sistemática ou outras situações de alto risco para os titulares. O RIPD descreve os processos de tratamento, os riscos identificados e as medidas de mitigação adotadas. Ele não é obrigatório para toda e qualquer empresa, mas sua ausência em operações de alto risco pesa fortemente contra o controlador em uma investigação — e a ANPD sinalizou que cobrará esse documento com mais frequência a partir de 2026.

Documentação e controles que a ANPD pode verificar

✓

Registro de Operações de Tratamento (RoPA)

Inventário de todos os dados coletados, finalidades, bases legais, responsáveis e prazos de retenção. Obrigação do art. 37 da LGPD.

✓

Aviso de privacidade publicado e atualizado

Comunicação clara ao titular sobre finalidade, forma, duração e responsável pelo tratamento (art. 9º da LGPD).

✓

Contratos com operadores (DPA) formalizados

Documento que formaliza as instruções do controlador ao operador. Exigência do art. 39 da LGPD; ausência amplia a responsabilidade do controlador.

✓

Encarregado indicado ou canal de comunicação disponível

Obrigatório para a maioria dos agentes (art. 41); agentes de pequeno porte devem ao menos disponibilizar canal de atendimento ao titular.

✓

Plano de resposta a incidentes documentado

Protocolo interno com fluxo de comunicação, equipe responsável e critérios para avaliação de risco — parte do programa de governança do art. 50.

✓

Bases legais documentadas para cada operação de tratamento

Cada fluxo de dados deve ter a hipótese autorizativa do art. 7º (dados comuns) ou art. 11 (dados sensíveis) identificada e registrada.

✓

RIPD elaborado para operações de alto risco

Relatório de Impacto à Proteção de Dados Pessoais exigível pela ANPD quando o tratamento envolver dados sensíveis em larga escala ou vigilância sistemática (art. 38).

O que fazer quando ocorre um vazamento de dados

Incidentes de segurança acontecem até em empresas bem estruturadas. A diferença entre uma empresa com governança e uma sem está na capacidade de responder rápido, de forma organizada e dentro dos prazos legais. Agir errado nesse momento — ou não agir — transforma um incidente gerenciável em um problema muito maior.

Quando o incidente exige comunicação à ANPD

Nem todo incidente de segurança gera obrigação de comunicação. A LGPD (art. 48) e a Resolução CD/ANPD nº 15/2024 exigem que a empresa comunique à ANPD — e aos titulares afetados — quando o incidente puder acarretar risco ou dano relevante. A avaliação de relevância considera a natureza dos dados envolvidos (dados sensíveis elevam o risco), o número de titulares afetados, a probabilidade de uso malicioso dos dados e a capacidade de os titulares sofrerem danos concretos. Essa análise precisa ser feita rapidamente, com critérios documentados.

O prazo de 3 dias úteis e o que acontece se ele for descumprido

Uma vez identificado que o incidente pode gerar risco ou dano relevante, o prazo para a comunicação inicial à ANPD é de 3 dias úteis contados do momento do conhecimento. Para agentes de pequeno porte, o prazo é de 6 dias úteis. Esse prazo é da legislação brasileira — não confundir com as 72 horas da GDPR europeia, que não se aplica no Brasil. O descumprimento do prazo é circunstância agravante na dosimetria das sanções. A omissão intencional é ainda mais grave: além da agravante administrativa, amplia a responsabilidade civil perante os titulares afetados.

Plano de resposta a incidentes como parte da governança

Empresas que chegam a um incidente sem ter um plano de resposta documentado perdem um tempo precioso definindo quem faz o quê — tempo que corrói o prazo legal. Um plano de resposta a incidentes define, antes que qualquer evento ocorra: quem é responsável pela identificação e contenção, quais critérios determinam a comunicação obrigatória, como notificar os titulares afetados e como preservar evidências. Ter esse plano documentado e testado é parte do programa de governança exigido pelo art. 50 da LGPD — e é tratado como atenuante na dosimetria.

Como a ANPD fiscaliza e o que acontece durante um processo sancionatório

Desde que se tornou agência reguladora pela Lei nº 15.352/2026, a ANPD tem capacidade institucional, estrutura e carreira própria para conduzir investigações de forma sistemática. O processo sancionatório tem etapas definidas, e entender como ele funciona ajuda a dimensionar o risco real.

O que a ANPD avalia primeiro ao abrir uma investigação

As investigações da ANPD costumam começar por dois caminhos: denúncia de titular ou iniciativa da própria autoridade (fiscalização proativa, especialmente nos setores prioritários do Mapa 2026-2027). Ao abrir um processo, a ANPD examina a existência de base legal para o tratamento, a adequação dos documentos de privacidade, a presença de encarregado indicado formalmente, o histórico de resposta a titulares e a existência de programa de governança demonstrável. Empresas sem documentação têm muito menos margem de defesa.

Dosimetria: como a multa é calculada na prática

A Resolução CD/ANPD nº 4/2023 estabeleceu a metodologia de cálculo das sanções. A multa simples pode chegar a 2% do faturamento do último exercício (excluídos tributos), limitada a R$ 50 milhões por infração. O valor parte de um patamar mínimo e é ajustado por agravantes — reincidência, vantagem auferida pelo infrator, comunicação tardia de incidente, ausência de cooperação — e atenuantes, entre os quais está a existência de programa de governança documentado, a colaboração com a investigação e a adoção de medidas corretivas imediatas. Ter um programa de privacidade estruturado pode reduzir significativamente o valor da multa, além de ser um argumento relevante para negociação em Termo de Ajustamento de Conduta.

Sanções além da multa: bloqueio, suspensão e publicização

A multa é apenas uma das sanções previstas no art. 52 da LGPD. A ANPD também pode determinar o bloqueio dos dados pessoais relacionados à infração, a eliminação dos dados, a suspensão parcial do funcionamento do banco de dados por até 6 meses (prorrogável) e até a proibição total da atividade de tratamento. A publicização da infração — que coloca o nome da empresa em um registro público de infrações — pode causar impacto reputacional que supera o valor financeiro da multa. As sanções podem ser aplicadas cumulativamente na mesma decisão.

O encarregado de dados (DPO): obrigação, dispensa e a opção terceirizada

O encarregado de dados — também chamado de DPO, sigla do inglês Data Protection Officer — é a figura prevista no art. 41 da LGPD como canal de comunicação entre o controlador, os titulares de dados e a ANPD. Seu papel não é assumir a responsabilidade pelos dados da empresa: o controlador permanece como principal responsável legal. O encarregado orienta, comunica e intermedeia — mas não substitui a obrigação do controlador.

A indicação do encarregado é obrigatória para a maioria dos agentes de tratamento e deve ser formalizada por ato escrito, datado e assinado, com divulgação pública do nome e contato (preferencialmente no site). A Resolução CD/ANPD nº 18/2024 é clara ao permitir que o encarregado seja uma pessoa física externa ou uma pessoa jurídica — o que abre espaço para o modelo de DPO terceirizado (DPO as a Service), em que uma empresa especializada assume a função para um ou mais controladores simultaneamente.

Agentes de tratamento de pequeno porte estão dispensados da indicação obrigatória, conforme a Resolução CD/ANPD nº 2/2022. No entanto, mesmo dispensados, devem disponibilizar um canal de comunicação com os titulares — e a indicação voluntária é tratada como boa prática de governança, o que pode funcionar como atenuante em eventual processo sancionatório. Para entender as modalidades de contratação e quando cada uma faz sentido, veja o guia sobre DPO terceirizado.

Uma dúvida frequente é sobre o acúmulo de funções: a Resolução 18/2024 permite, desde que não haja conflito de interesse — ou seja, o encarregado não pode fiscalizar decisões de tratamento que ele próprio toma. Isso significa que o diretor de TI, por exemplo, pode ter dificuldade em acumular a função de encarregado em empresas onde ele decide as finalidades e os meios do tratamento.

Jurisprudência e precedentes: o que os casos reais ensinam sobre adequação

O Brasil ainda está construindo sua jurisprudência em proteção de dados, mas os casos que a ANPD já conduziu são suficientemente reveladores para orientar o planejamento de conformidade de qualquer empresa.

O caso Telekall e a prova de que microempresas são multadas

A primeira multa aplicada pela ANPD foi contra a Telekall Infoservice, uma microempresa. As infrações identificadas incluíam tratamento de dados sem base legal e ausência de encarregado de dados. A multa foi de R$ 14.400 — valor que parece pequeno, mas que estabeleceu precedente determinante: o porte da empresa não é critério de imunidade, a ausência de encarregado é infração autônoma e tratável separadamente, e a ANPD efetivamente aplica sanções a pequenas empresas. O caso encerrou o debate de “isso só acontece com grandes empresas”.

Fiscalizações em grandes empresas por ausência de encarregado

Em dezembro de 2024, a ANPD abriu processos de fiscalização contra cerca de 20 empresas de grande porte por ausência de encarregado formalmente nomeado e de canal de comunicação adequado com os titulares. O dado relevante é que essas empresas não estavam sendo investigadas por vazamento de dados — estavam sendo investigadas por não terem cumprido uma obrigação formal básica. Isso demonstra que a ANPD fiscaliza a conformidade estrutural, não apenas reagindo a incidentes.

O que o histórico de sanções revela sobre as prioridades da ANPD

Analisando o padrão de atuação da ANPD, é possível identificar algumas prioridades consistentes: ausência de base legal é a infração mais recorrente nas autuações; a falta de encarregado é tratada como infração autônoma, não como agravante de outra; a comunicação tardia ou omissa de incidente é considerada circunstância agravante que pode elevar substancialmente o valor da multa; e a existência de programa de governança documentado é o principal fator de atenuação nas dosimetrias. O Painel da Fiscalização, lançado pela ANPD em novembro de 2025, tornou esses processos públicos — o que por si só aumenta o risco reputacional de empresas investigadas.

Quanto tempo leva e quanto custa a adequação à LGPD

A pergunta sobre custo e prazo é legítima e frequente — e a resposta honesta é que depende do porte e da complexidade da empresa. Uma microempresa com poucos processos e dados de clientes e funcionários pode concluir o projeto inicial de adequação em dois a três meses, com um investimento compatível com sua realidade. Uma empresa média com múltiplos departamentos, sistemas integrados, fornecedores internacionais e dados sensíveis pode levar de quatro a seis meses e envolver um investimento mais robusto.

O que não varia é a estrutura do processo: mapeamento, definição de bases legais, elaboração de documentação, implementação de controles, indicação do encarregado, treinamento de equipes e revisão periódica. O que varia é o volume de cada etapa. Para entender os parâmetros de investimento em função do perfil da empresa, veja a análise detalhada sobre custos de adequação à LGPD.

Um ponto que merece atenção: conformidade não é um projeto com data de encerramento. O programa de governança exigido pelo art. 50 da LGPD é contínuo. Isso significa que, após o projeto inicial, a empresa precisa manter o RoPA atualizado, revisar contratos quando mudar de sistemas ou fornecedores, treinar novos colaboradores, acompanhar as regulamentações da ANPD e revisar o plano de resposta a incidentes periodicamente. Empresas que tratam a adequação como um projeto único e encerrado costumam se descobrir desconformes em uma fiscalização realizada dois anos depois.

Continuar sem se adequar tem um custo que pode comprometer a empresa

A decisão de postergar a adequação à LGPD raramente é tomada conscientemente. Na maioria das vezes, é uma não-decisão: o assunto não é priorizado porque não há um prazo imediato visível, porque a empresa nunca teve um problema de dados antes, ou porque a conformidade parece cara e complexa demais. Cada um desses argumentos tem uma contrapartida concreta que merece ser considerada.

O risco financeiro é o mais imediato. Uma única infração pode gerar multa de até 2% do faturamento, limitada a R$ 50 milhões. Em um processo com múltiplas infrações identificadas — ausência de base legal, falta de encarregado, não comunicação de incidente — as multas se somam, porque cada infração tem seu próprio teto. Além da multa administrativa, há o risco de ações civis movidas pelos titulares afetados, que percorrem a via judicial de forma independente e simultânea.

O risco operacional é menos visível, mas igualmente sério. A ANPD pode determinar o bloqueio dos dados ou a suspensão da atividade de tratamento como medida cautelar durante uma investigação. Para uma empresa que depende de seus dados para operar — e praticamente toda empresa depende — isso significa parada operacional. Há ainda o risco contratual: clientes corporativos e parceiros internacionais cada vez mais exigem conformidade com a LGPD como condição para fechar negócio, o que transforma a adequação em fator de competitividade.

O risco reputacional fecha o ciclo. Com o Painel da Fiscalização público e a publicização da infração como sanção expressa do art. 52, o nome de uma empresa autuada pode circular na imprensa especializada e nos canais setoriais — com consequências que nenhuma campanha de marketing corrige rapidamente.

A boa notícia é que conformidade é alcançável. Não exige perfeição imediata, exige método e progressão demonstrável. Empresas que iniciam o processo com um programa estruturado de adequação à LGPD constroem documentação, treinam equipes e estabelecem controles que funcionam como evidência de boa-fé em qualquer investigação — o que influencia diretamente a dosimetria das sanções. O papel de um advogado especializado em adequação à LGPD é exatamente esse: estruturar o programa de forma que ele reflita a realidade da empresa, resista ao escrutínio da ANPD e proteja o patrimônio e a reputação dos sócios.

Prazos que não podem ser perdidos

3 dias úteis

Prazo máximo para comunicar à ANPD um incidente de segurança que possa gerar risco ou dano relevante aos titulares (Res. CD/ANPD nº 15/2024). Para pequeno porte: 6 dias úteis.

Imediatamente ou em até 15 dias

Prazo para responder à requisição do titular: confirmação simplificada deve ser imediata; declaração completa pode ser entregue em até 15 dias corridos (art. 19 da LGPD).

60 a 180 dias

Prazo médio para concluir o projeto inicial de adequação, do mapeamento de dados até a implementação dos controles básicos, dependendo do porte e da complexidade da empresa.

Contínuo — sem data de fim

Conformidade é um programa permanente de governança (art. 50 da LGPD): revisão periódica do RoPA, atualização de contratos, treinamento de equipes e monitoramento de novas regulamentações da ANPD.

Zero prazo para iniciar

A LGPD está em vigor desde setembro de 2020. A obrigação de adequação existe agora, independentemente de notificação prévia da ANPD. Cada dia sem conformidade é um dia de exposição.

Fontes e Legislação

Francisco Arantes

Advogado associado ao escritório Rocco e Moreno | Especialista em Direito Digital e Compliance com certificação internacional EXIN (Information Security Foundation)

Adequação à LGPD: o guia completo de conformidade