ANPD intensifica fiscalização de dados: multas, incidentes e desafios regulatórios em 2026
Autoridade Nacional de Proteção de Dados amplia auditorias e estrutura, focando em vazamentos e conformidade. Panorama recente mostra escalada de sanções e exigências às empresas
A LGPD estabelece que multas podem chegar a 2% do faturamento anual da empresa, limitadas a R$ 50 milhões por infração, ou até R$ 50.000 por dia de descumprimento. Com o aumento da fiscalização pela Autoridade Nacional de Proteção de Dados em 2026, é essencial entender como funcionam as multas da LGPD e quais são os critérios para aplicação. A ANPD avalia gravidade, boa-fé e número de afetados antes de aplicar a penalidade. A ausência de DPO é infração autônoma, sancionável independentemente de outros descumprimentos.
A primeira e única multa aplicada pela ANPD foi em 2023, contra uma empresa de telemarketing que vendeu listas de contatos de WhatsApp sem respaldo legal nas Eleições de 2020. Desde então nenhum outro operador de dados pessoais no país foi multado. O valor de aproximadamente R$ 14,4 mil ficou limitado pela condição de microempresa do infrator. Outros processos finalizados se converteram em medidas administrativas ou foram arquivados. Com a transformação da ANPD em agência reguladora e contratação de 200 novos servidores, a fiscalização ganhou mais autonomia. Com estrutura ampliada, a ANPD intensificará auditorias e inspeções, e empresas fora de conformidade podem enfrentar multas e suspensão de operações.
Em 22 de março de 2025, a XP Investimentos sofreu um incidente de segurança que resultou no acesso não autorizado a uma base de dados. O episódio expôs informações sensíveis de clientes, incluindo dados cadastrais completos e informações financeiras detalhadas. O art. 48 da LGPD determina que é dever do controlador comunicar à Autoridade Nacional de Proteção de Dados a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares. A ANPD publicou a Resolução CD/ANPD nº 15, de 24 de abril de 2024, que aprovou o Regulamento de Comunicação de Incidente de Segurança. A comunicação deve ser feita ao encarregado, ao controlador se for o operador, e à ANPD e aos titulares de dados em caso de risco ou dano relevante aos titulares.
A pesquisa IAPP-EY identificou que 26% das organizações sequer possuíam um DPO, apesar da obrigação legal. Dados recentes mostram que apenas 12% das empresas brasileiras atingiram o nível mais avançado de maturidade em proteção de dados. Apenas 27% dos encarregados atuam de forma exclusiva na função. A maioria acumula responsabilidades, principalmente nas áreas Jurídica ou de Compliance. Os DPOs relatam como maiores desafios a falta de equipe, falta de orçamento dedicado, acúmulo de funções e cultura organizacional não colaborativa. Barreiras centrais à efetividade dos programas de privacidade incluem a baixa prioridade do tema na estratégia organizacional e o baixo engajamento da alta gestão.
A primeira multa pública da ANPD foi aplicada em julho de 2023; a escalada de fiscalizações ocorreu em 2024-2025. Os top motivos incluem vazamento sem notificação, tratamento sem base legal e ausência de Encarregado/DPO. Pequenas empresas não estão isentas: a ANPD reiterou esse ponto em 2024. Setores mais fiscalizados são telecomunicações, instituições financeiras, saúde, e-commerce e marketplaces. Com a publicação de regulamentos sobre a aplicação de sanções, a autoridade saiu da fase experimental para a operacional. Para 2025, o plano de fiscalização já está em andamento, indicando uma busca ativa por infrações, não mais dependendo apenas de denúncias.