LGPD na Prática: O que a ANPD Pode Pedir e Como Responder com Evidência Técnica

A ANPD já aplica sanções. Organizações que respondem auditorias com documentos de política estão expostas. Entenda o que fiscalizações reais exigem e como construir a capacidade de resposta técnica que a lei demanda.

8 min de leitura

Em julho de 2023, a ANPD aplicou sua primeira sanção com base na LGPD: uma multa contra uma instituição de ensino por tratamento irregular de dados de menores. Em 2024, o ritmo de fiscalizações aumentou. Em 2025, nenhum DPO responsável pode mais tratar a LGPD como exercício de documentação.

O problema não é a lei — é a diferença entre compliance declarativo e compliance demonstrável.

O que a ANPD pode realmente fazer

A LGPD confere à ANPD poderes concretos de fiscalização e sanção (Art. 52-54):

SançãoValor máximo
Advertência
Multa simples2% do faturamento, até R$ 50 milhões por infração
Multa diáriaAté R$ 50 milhões/dia
Publicização da infraçãoDivulgação pública, com impacto reputacional
Bloqueio de dadosSuspensão do tratamento até regularização
Eliminação de dadosDestruição dos dados pessoais envolvidos

Essas não são ameaças teóricas. São instrumentos que a ANPD já utilizou e continuará usando com crescente frequência.

Atenção: O teto de R$ 50 milhões por infração é por evento de tratamento irregular — não por empresa. Uma organização com múltiplas irregularidades responde por cada uma separadamente.

Os 3 cenários de fiscalização mais comuns

Cenário 1: Fiscalização reativa (pós-incidente)

Ocorre após um incidente de segurança com dados pessoais. A ANPD pode requisitar:

  • Relatório de impacto à proteção de dados (RIPD) do sistema afetado
  • Logs de acesso aos dados comprometidos
  • Evidência de notificação aos titulares e à própria ANPD no prazo de 72 horas
  • Inventário dos dados afetados: quais, de quem, há quanto tempo armazenados
  • Evidência de medidas de segurança implementadas antes do incidente

O que falha: A maioria das organizações consegue produzir o relatório e a notificação. O que falha é o inventário dos dados afetados — porque não havia descoberta contínua, e mapear retroativamente o escopo de um incidente leva semanas.

Cenário 2: Fiscalização proativa (por setor)

A ANPD realiza fiscalizações temáticas por setor — saúde, educação, serviços financeiros. Pode requisitar:

  • Mapeamento de todos os processos de tratamento de dados pessoais
  • Base legal documentada para cada finalidade de tratamento
  • Evidência de implementação de medidas técnicas de segurança
  • Demonstração de processos para responder a direitos dos titulares

O que falha: O mapeamento existe como documento. A evidência técnica não. Declarar que “dados de clientes são protegidos por controle de acesso baseado em função” é muito diferente de demonstrar quais usuários têm acesso a quais dados pessoais e com qual justificativa de negócio.

Cenário 3: Exercício de direito pelo titular (DSAR)

Um titular exerce qualquer dos direitos do Art. 18 — acesso, correção, eliminação, portabilidade. A organização tem prazo para responder. A ANPD pode fiscalizar o processo de resposta.

O que falha: Localizar todos os dados de um titular específico em sistemas heterogêneos (CRM, ERP, banco de dados legado, arquivos de e-mail, planilhas) é operacionalmente impossível sem automação. Respostas parciais ou fora do prazo são infrações.

O gap entre documento e evidência

Existe uma distinção crítica que muitas organizações não percebem até uma auditoria real:

Compliance declarativo = “Temos uma política de classificação de dados aprovada pelo conselho.”

Compliance demonstrável = “Aqui está a lista de todos os dados pessoais de clientes, onde estão armazenados, quem tem acesso, qual é a base legal para cada finalidade, e o log de quem acessou nos últimos 90 dias.”

A LGPD exige o segundo. A maioria das organizações brasileiras tem apenas o primeiro.

Princípio da prestação de contas (Art. 6º, X): O controlador é responsável por demonstrar — não apenas declarar — a conformidade com as normas de proteção de dados. A carga da prova é da organização, não da ANPD.

Como o DSPM constrói capacidade de resposta técnica

Cada cenário de fiscalização tem um pré-requisito técnico que o DSPM resolve:

Para responder a um DSAR em tempo hábil

Sem DSPM: busca manual em 15-20 sistemas, respostas incompletas, risco de omissão, processo que leva 2-4 semanas.

Com DSPM: busca automatizada pelo identificador do titular (CPF, e-mail) em todos os repositórios integrados — retorna localização, tipo de dado, histórico de acesso. Resposta em horas, não semanas.

Para inventariar dados afetados em um incidente

Sem DSPM: reconstrução retroativa baseada em memória e logs fragmentados. Escopo do incidente frequentemente subestimado.

Com DSPM: inventário contínuo e atualizado de quais dados estavam em quais sistemas, com linha do tempo de acesso. Escopo preciso disponível em minutos após contenção.

Para demonstrar medidas técnicas de segurança

Sem DSPM: apresentação de políticas, certificações e arquitetura de referência.

Com DSPM: demonstração de que dados pessoais estão classificados, que permissões excessivas foram identificadas e remediadas, que acessos anômalos geram alertas, com evidência de data e responsável para cada ação.

O RIPD não é suficiente sem o dado técnico

O Relatório de Impacto à Proteção de Dados (RIPD) é exigido pela LGPD para tratamentos de alto risco (Art. 38). Mas o RIPD é um documento de análise de risco — não um controle operacional.

A ANPD pode aceitar um RIPD bem elaborado como evidência de que a organização pensou sobre os riscos. Ela não vai aceitar o RIPD como evidência de que os controles funcionam.

Para os controles funcionarem, é preciso:

  • Saber onde os dados pessoais estão (Data Discovery)
  • Saber o que cada dado é (Data Classification)
  • Saber quem pode acessá-los e por quê (Access Governance)
  • Saber quando e como são movimentados (Data Flow)
  • Ter alertas quando algo anômalo acontece (Detection & Response)

Esses cinco elementos formam o núcleo operacional de um programa DSPM — e são exatamente o que uma auditoria técnica da ANPD vai verificar.

Checklist de preparação para auditoria ANPD

Use este checklist para avaliar a maturidade real da sua organização:

Inventário e classificação

  • Você tem um inventário atualizado de todos os repositórios com dados pessoais?
  • A classificação é contínua ou foi um projeto pontual de 2020?
  • Dados pessoais em ambientes não estruturados (SharePoint, OneDrive, e-mail) estão mapeados?

Controle de acesso

  • Você consegue listar todos os usuários com acesso a dados pessoais sensíveis agora?
  • Existem revisões periódicas de permissões com evidência de data e responsável?
  • Identidades não humanas (APIs, integrações) estão inventariadas e controladas?

Resposta a titulares

  • Você tem um processo definido para DSARs com prazo SLA documentado?
  • A busca por dados de um titular é automatizada ou manual?
  • Você consegue produzir o histórico de acesso aos dados de um titular específico?

Notificação de incidentes

  • Você tem processo para notificar a ANPD em 72 horas?
  • Você consegue determinar o escopo de um incidente (quais dados, de quem) em menos de 24 horas?

Evidência geral

  • Você tem logs de acesso a dados pessoais com retenção mínima de 12 meses?
  • Você consegue demonstrar que as medidas de segurança descritas no RIPD realmente funcionam?

Se mais de quatro itens estiverem descobertos, a organização tem exposição regulatória significativa.

O timing importa mais do que parece

Organizações que esperam um incidente para estruturar a resposta técnica cometem o erro mais caro da compliance com LGPD. Por dois motivos:

Primeiro: A maioria dos incidentes é detectada tardiamente — e o prazo de 72 horas para notificação começa a contar da detecção, não do incidente. Sem inventário contínuo, a detecção é lenta, o escopo é impreciso, e a organização notifica a ANPD com informações incompletas. Isso piora a avaliação do regulador.

Segundo: Construir capacidade técnica de resposta leva tempo. Um programa de DSPM maduro requer de 6 a 18 meses para cobrir todos os ambientes críticos. Começar depois do primeiro incidente significa que a janela de exposição já se fechou em torno de você.

A melhor evidência que você pode apresentar à ANPD é um histórico de maturidade progressiva — não um programa construído às pressas depois de um problema.

“A ANPD não está procurando perfeição. Está procurando responsabilidade. E responsabilidade se demonstra com processo, evidência e histórico — não com um documento de política datado de 2019.”

Rafael Martins

Especialista independente em DSPM e segurança de dados. Escreve sobre governança de dados, risco de IA generativa e LGPD sem patrocínio de vendors.

Saber mais →
← Voltar aos artigos