O que aprendemos com a fiscalização da ANPD em 20 empresas

A fiscalização da ANPD no final de 2024 trouxe lições práticas para todas as organizações que tratam dados pessoais. Entenda o que aconteceu, os riscos envolvidos e como colocar a LGPD em prática no dia a dia.

Fiscalização em 20 empresas: o que motivou a ANPD?

Em dezembro de 2024, a Autoridade Nacional de Proteção de Dados (ANPD) iniciou um processo de fiscalização direcionado a empresas de grande porte. O objetivo era verificar o cumprimento de obrigações básicas previstas na Lei Geral de Proteção de Dados Pessoais (LGPD).

As irregularidades mais comuns encontradas foram:

• Falta de indicação pública do Encarregado pelo tratamento de dados pessoais (DPO);

• Canais ineficazes ou inexistentes para que os titulares exerçam seus direitos;

• Falta de resposta — ou resposta inadequada — a solicitações da própria ANPD.

Quais critérios foram usados na escolha das empresas?

A ANPD levou em consideração:

• Porte e abrangência nacional da empresa;

• Volume de dados tratados;

• Indícios de descumprimento da LGPD;

• Reincidência ou ausência de resposta a ofícios da autoridade.

Esse processo deixou claro que a fiscalização não está restrita a empresas de tecnologia ou ao setor público. Qualquer organização pode ser alvo, desde que trate dados pessoais e esteja exposta a riscos de descumprimento da lei.

Quais foram os resultados da fiscalização?

De acordo com a ANPD, todas as empresas fiscalizadas implementaram medidas corretivas dentro do prazo fornecido pela Autoridade. Elas seguem sob monitoramento por um período de seis meses.

Mais do que aplicar sanções, a ANPD adotou uma postura educativa: permitiu ajustes e correções antes de avançar para medidas sancionatórias. Ainda assim, a Autoridade deixou claro que futuras reincidências ou novas falhas poderão levar à abertura de processos administrativos com consequências mais severas.

O que essa fiscalização nos ensina?

Essa atuação trouxe lições valiosas:

1. Algumas empresas ainda não estruturaram o essencial para cumprir a LGPD

   Indicar um DPO e oferecer um canal de atendimento são exigências fundamentais e básicas. Mas a fiscalização mostrou que não basta cumprir formalmente — é preciso demonstrar, com evidências atualizadas e disponíveis, que esses mecanismos existem e funcionam.

2. Estar pronto para responder é tão importante quanto estar adequado

   Várias empresas não responderam às solicitações da ANPD ou o fizeram de forma incompleta. Isso mostra que a ausência de estrutura para responder também é um risco real. Ter processos bem definidos, com dados acessíveis e registros organizados, permite uma resposta rápida — mesmo que inicial — às demandas da autoridade.

3. A fiscalização já começou — e tende a se intensificar

   A ANPD tem sinalizado que sua atuação será cada vez mais ativa, com base em dados, denúncias e petições enviadas pelos próprios titulares. A tendência é de uma fiscalização mais contínua e orientada por critérios objetivos.

Como transformar isso em prática diária?

A adequação à LGPD não se resolve com um documento ou uma política publicada. Exige uma estrutura contínua de governança, com:

• Registro dos processos de tratamento de dados;

• Nomeação clara do Encarregado (DPO);

• Canais de atendimento aos titulares e à ANPD;

• Rastreabilidade das ações e decisões;

• Capacidade de resposta rápida e baseada em evidências.

Ferramentas de apoio à governança — como a plataforma Prodpo — ajudam a organizar e manter essa estrutura ativa. Isso permite atender não só os titulares, mas também as exigências da própria ANPD, com segurança e agilidade.

A atuação da ANPD mostrou que o cumprimento da LGPD está sendo fiscalizado — mas também que existe espaço para orientação e correção. Para as empresas, o recado é claro: agir agora de forma estruturada evita problemas depois.

Ter processos claros, registros atualizados e capacidade de resposta rápida com evidências concretas é o que diferencia quem será penalizado ou não.