Adequação à LGPD: o que sua empresa precisa fazer agora
Política de privacidade no site não é suficiente. Descubra o que a LGPD realmente exige das empresas e quais são os pontos que a ANPD está fiscalizando agora
3/10/20265 min ler


A fase educativa da LGPD acabou, desde que a ANPD começou a fiscalizar empresas privadas em 2024, o ritmo de autuações só aumentou. Em 2026, o risco de multa deixou de ser hipótese para se tornar parte do planejamento jurídico de qualquer empresa que trata dados pessoais no Brasil. As sanções podem chegar a R$ 50 milhões por infração e isso não inclui os danos reputacionais de ter o nome da empresa exposto publicamente como infratora. Este artigo explica o que a LGPD exige, o que a ANPD está priorizando agora e quais medidas sua empresa precisa adotar.
O que mudou: a ANPD está fiscalizando empresas privadas
Durante anos, a atuação da ANPD se concentrou em órgãos públicos. Isso mudou. Em dezembro de 2024, a Autoridade instaurou processo de fiscalização contra 20 empresas privadas de grande porte, entre elas empresas de tecnologia, telecomunicações e do setor fitness, por não terem indicado adequadamente o contato do Encarregado pelo tratamento de dados pessoais, conforme exigido pelo artigo 41 da LGPD.
O recado é claro: a ANPD não está mais esperando denúncias para agir. A partir de 2025, o plano de fiscalização prevê busca ativa por infrações, com foco em setores que lidam com alto volume de dados pessoais, como saúde, tecnologia, varejo, educação e serviços financeiros. Empresas que ainda não se adequaram correm o risco de ser as próximas a receber uma notificação.
Quais são as sanções previstas na LGPD
A LGPD prevê um rol de sanções administrativas que vai muito além da multa financeira. A ANPD pode aplicar advertência com prazo para correção, multa simples de até 2% do faturamento bruto anual, multa diária pelo descumprimento de medidas cautelares, bloqueio ou eliminação dos dados envolvidos na infração, e a publicização da infração, o que na prática significa expor publicamente o nome da empresa como infratora.
Para que se tenha uma dimensão prática: uma empresa com faturamento anual de R$ 20 milhões está sujeita a multa de até R$ 400 mil por infração. Uma empresa com R$ 100 milhões de faturamento pode ser multada em até R$ 2 milhões. E cada item descumprido pode configurar uma infração separada. O custo da adequação é consistentemente menor do que o custo das sanções.
O que a LGPD exige: obrigações principais para empresas
A conformidade com a LGPD não se resume a ter uma política de privacidade no site. A lei impõe obrigações estruturais que afetam processos internos, contratos, sistemas e a forma como a empresa se relaciona com seus clientes, funcionários e fornecedores.
O primeiro passo é mapear quais dados pessoais a empresa coleta, por qual base legal os trata e com quem os compartilha. A LGPD estabelece dez bases legais para o tratamento de dados tais como consentimento, o legítimo interesse, a execução de contrato e o cumprimento de obrigação legal. Operar sem uma base legal claramente definida para cada operação de tratamento é uma das violações mais comuns e mais graves.
Além do mapeamento, a empresa precisa implementar mecanismos para atender aos direitos dos titulares: acesso, correção, exclusão, portabilidade e revogação do consentimento. Isso significa ter processos internos claros para responder a essas solicitações dentro de prazos razoáveis, com registro das respostas.
Os contratos com fornecedores e parceiros que acessam dados pessoais da empresa também precisam ser revisados. A LGPD exige que os operadores, ou seja, quem trata dados em nome do controlador, ofereçam garantias suficientes de conformidade. Contratos sem cláusulas específicas de proteção de dados exposta a empresa a responsabilidade solidária em caso de incidente.
Encarregado de dados (DPO): obrigatório e público
Uma das exigências que a ANPD passou a fiscalizar ativamente é a indicação do Encarregado pelo tratamento de dados pessoais, também conhecido como DPO (Data Protection Officer). Desde a Resolução CD/ANPD nº 18/2024, a nomeação do Encarregado é obrigatória e suas informações de contato devem ser publicizadas de forma clara e objetiva, geralmente no próprio site da empresa.
Não basta nomear: o canal de comunicação do Encarregado precisa ser funcional. A ANPD identificou casos em que o canal existia formalmente mas não cumpria sua função de intermediar a relação entre a empresa e os titulares. Isso também configura violação. O Encarregado é o ponto de contato entre a empresa, os titulares de dados e a própria ANPD e sua ausência ou inoperabilidade é um sinal imediato de falta de governança.
Incidentes de segurança: como a empresa deve agir
A LGPD obriga as empresas a comunicar à ANPD e aos titulares afetados qualquer incidente de segurança que possa acarretar risco ou dano aos titulares, como vazamentos de dados, acessos não autorizados ou destruição de informações. O prazo para essa comunicação é de até 3 dias úteis após a ciência do incidente, conforme regulamentado pela Resolução CD/ANPD nº 15/2023.
Dois dos casos sancionados pela ANPD em 2024 envolveram exatamente a falta de comunicação adequada após incidentes de segurança. Em um deles, o órgão público alegou não ter capacidade técnica de identificar os titulares afetados. A ANPD não acolheu a justificativa: no cenário de indeterminação, a obrigação é comunicar de forma ampla, atingindo todos os possíveis afetados. A licão para empresas privadas é direta: ter um plano de gestão de incidentes documentado e pré-aprovado não é exagéro — é uma exigência prática.
Por onde começar: as prioridades práticas de adequação
Para empresas que ainda estão iniciando o processo de adequação, a ordem de prioridades deve levar em conta tanto o risco jurídico quanto os focos de fiscalização da ANPD. O ponto de partida é o diagnóstico: mapear os dados que a empresa trata, as finalidades de cada operação e as bases legais utilizadas. Sem esse mapeamento, não é possível saber onde estão as vulnerabilidades.
Em seguida, as ações de maior impacto são: nomear e publicizar o Encarregado de dados com canal de contato funcional; revisar e atualizar a política de privacidade com informações reais sobre o tratamento de dados da empresa; incluir cláusulas de proteção de dados nos contratos com fornecedores e parceiros; e estruturar um plano de resposta a incidentes de segurança com prazos e responsabilidades definidos.
A adequação à LGPD não é um projeto pontual, é um processo contínuo. A ANPD continua regulamentando novos temas, como o tratamento de dados de crianças e adolescentes, dados biométricos e inteligência artificial. Empresas que tratam a conformidade como prioridade estratégica estão em posição significativamente melhor do que aquelas que esperam uma notificação para agir.
Sua empresa está em conformidade com a LGPD?
reis Araujo assessora empresas no diagnóstico, estruturação e implementação de programas de adequação à LGPD. Se você quer entender o nível de exposição jurídica da sua empresa e saber quais medidas são prioritárias, entre em contato para uma consulta.
Fale com um advogado especialista em direito digital e proteção de dados.


