top of page

ANPD notifica 56 organizações por possível descumprimento da LGPD: o que empresas precisam aprender com essa fiscalização

  • Foto do escritor: Phillipe Marques
    Phillipe Marques
  • 26 de jun.
  • 8 min de leitura

A proteção de dados pessoais deixou de ser apenas uma recomendação de boas práticas para se tornar uma obrigação legal no Brasil. Desde a entrada em vigor da Lei Geral de Proteção de Dados (Lei nº 13.709/2018), empresas privadas e órgãos públicos passaram a responder por todo o ciclo de vida das informações pessoais que coletam, armazenam e utilizam.


A mais recente atuação da Agência Nacional de Proteção de Dados (ANPD) reforça essa mudança de cenário. A Autoridade concluiu a primeira fase de monitoramento envolvendo 56 organizações, verificando o cumprimento de duas obrigações consideradas básicas pela LGPD: a indicação do Encarregado pelo Tratamento de Dados Pessoais (DPO) e a disponibilização de um canal para atendimento aos titulares.


O resultado demonstra que muitas organizações ainda tratam a proteção de dados como uma preocupação secundária, ignorando exigências que podem resultar em processos administrativos, multas e sérios danos à reputação institucional.


O que motivou a fiscalização da ANPD?


A fiscalização teve como objetivo verificar o cumprimento dos artigos 9º, 18 e 41 da Lei Geral de Proteção de Dados.


O artigo 9º estabelece que o titular deve receber informações claras, precisas e facilmente acessíveis sobre o tratamento de seus dados pessoais.


Já o artigo 18 assegura diversos direitos ao titular, entre eles:

  • confirmação da existência do tratamento;

  • acesso aos dados pessoais;

  • correção de informações incompletas ou incorretas;

  • anonimização ou eliminação de dados desnecessários;

  • portabilidade;

  • revogação do consentimento.


Esses direitos somente podem ser exercidos quando a empresa disponibiliza um canal eficiente de comunicação.


Além disso, o artigo 41 da LGPD determina que o controlador indique um Encarregado pelo Tratamento de Dados Pessoais, responsável por atuar como elo entre a empresa, os titulares e a própria ANPD.


Embora a Resolução CD/ANPD nº 18/2024 tenha flexibilizado essa obrigação para determinados agentes de pequeno porte, a nomeação do encarregado continua sendo uma das principais práticas de governança exigidas pela Autoridade Nacional.


O que a ANPD encontrou?


Durante o monitoramento foram analisados 56 agentes de tratamento, compostos por órgãos públicos e empresas privadas.


O resultado foi dividido em três grupos:

  • 27 organizações regularizaram sua situação;

  • 8 ainda apresentaram pendências;

  • 21 sequer responderam à ANPD.


Os casos sem resposta serão encaminhados para a Coordenação - Geral de Fiscalização e Sanções, podendo resultar na abertura de processos administrativos.


Mais do que verificar documentos, a ANPD demonstrou que espera das organizações uma postura colaborativa e transparente durante suas atividades fiscalizatórias.


A importância do DPO para a conformidade com a LGPD


O Encarregado pelo Tratamento de Dados, conhecido internacionalmente como Data Protection Officer (DPO), deixou de ser apenas um requisito burocrático.


Na prática, ele representa o principal responsável pela governança em proteção de dados dentro da organização.


Entre suas atribuições estão:

  • orientar colaboradores sobre a aplicação da LGPD;

  • acompanhar projetos que envolvam dados pessoais;

  • receber solicitações dos titulares;

  • responder às comunicações da ANPD;

  • participar da gestão de incidentes de segurança;

  • auxiliar na elaboração de políticas internas de privacidade;

  • promover treinamentos periódicos.


Empresas que possuem um DPO atuante conseguem identificar riscos antes que eles se transformem em problemas jurídicos.


Mais do que evitar multas, o encarregado contribui para a construção de uma cultura organizacional voltada à privacidade, à segurança da informação e ao respeito aos direitos fundamentais dos cidadãos.


A LGPD não protege apenas dados. Ela protege pessoas.


Um dos maiores equívocos sobre a LGPD é acreditar que ela existe para proteger bancos de dados.


Na realidade, a legislação protege a pessoa natural.


O próprio artigo 1º da Lei nº 13.709/2018 estabelece que sua finalidade é proteger os direitos fundamentais de liberdade, privacidade e o livre desenvolvimento da personalidade da pessoa natural.


Isso significa que toda decisão envolvendo dados pessoais deve observar princípios como:

  • finalidade;

  • necessidade;

  • adequação;

  • transparência;

  • segurança;

  • prevenção;

  • responsabilização e prestação de contas.


Esses princípios, previstos no artigo 6º da LGPD, orientam todas as atividades de tratamento de dados realizadas pelas organizações.


O caso Drogasil: quando o CPF deixa de ser apenas um cadastro


Um dos casos mais emblemáticos envolvendo proteção de dados ocorreu com a rede de farmácias Drogasil.


A empresa passou a condicionar determinados descontos ao fornecimento do CPF do consumidor no momento da compra.


Na prática, muitos clientes acreditavam estar apenas informando um dado cadastral, quando, na realidade, seus dados pessoais eram utilizados para estratégias comerciais, formação de perfis de consumo e ações de marketing.


Em 2024, o Procon de Minas Gerais aplicou multa superior a R$ 8 milhões à empresa por entender que essa prática violava direitos dos consumidores, especialmente porque o desconto era condicionado ao fornecimento de dados pessoais sem transparência suficiente sobre sua finalidade.


Embora a sanção tenha sido aplicada com fundamento no Código de Defesa do Consumidor, o caso possui forte relação com a LGPD.


O princípio da transparência exige que o titular compreenda exatamente por qual motivo seus dados estão sendo coletados.


Da mesma forma, o princípio da necessidade determina que somente os dados estritamente necessários sejam solicitados.


O episódio demonstra que a proteção de dados não é uma discussão exclusivamente tecnológica, mas também consumerista, contratual e constitucional.


A proteção de dados é um direito fundamental previsto na Constituição


Um aspecto que muitas empresas ainda desconhecem é que a proteção de dados pessoais deixou de ser apenas uma obrigação prevista na Lei Geral de Proteção de Dados. Desde a promulgação da Emenda Constitucional nº 115, de 10 de fevereiro de 2022, esse direito passou a integrar expressamente o rol dos direitos e garantias fundamentais da Constituição Federal.


A Emenda Constitucional incluiu o inciso LXXIX ao artigo 5º da Constituição, estabelecendo que:


"é assegurado, nos termos da lei, o direito à proteção dos dados pessoais, inclusive nos meios digitais."


Essa alteração conferiu à proteção de dados o mesmo status constitucional de outros direitos fundamentais, como a liberdade, a igualdade, a intimidade, a vida privada e a inviolabilidade das comunicações.


Na prática, isso significa que o tratamento de dados pessoais não pode ser encarado apenas como uma atividade administrativa ou comercial. Toda empresa, órgão público ou entidade que coleta informações de pessoas físicas deve respeitar princípios constitucionais relacionados à dignidade da pessoa humana, à autodeterminação informativa, à privacidade e à transparência.


Além disso, a própria Emenda Constitucional atribuiu à União a competência privativa para legislar sobre proteção e tratamento de dados pessoais, promovendo maior uniformidade na aplicação da legislação em todo o território nacional.


Essa constitucionalização fortaleceu significativamente a atuação da Agência Nacional de Proteção de Dados (ANPD), que passou a exercer papel central na fiscalização e regulamentação do tratamento de dados pessoais no Brasil.


Sob a perspectiva empresarial, essa mudança representa um marco importante. Descumprir a LGPD não significa apenas violar uma lei federal, mas também afrontar um direito fundamental assegurado pela Constituição da República. Esse entendimento tem sido cada vez mais considerado pela ANPD, pelos órgãos de defesa do consumidor e pelo Poder Judiciário na análise de incidentes envolvendo vazamento, uso indevido ou tratamento irregular de dados pessoais.


A relação entre a proteção de dados e outras legislações brasileiras


A proteção de dados pessoais no Brasil não se limita à LGPD e à Constituição Federal. Trata-se de um tema transversal que dialoga diretamente com diversas outras normas jurídicas, reforçando a necessidade de conformidade ampla por parte das empresas.


O Código de Defesa do Consumidor (Lei nº 8.078/1990), por exemplo, estabelece princípios como a transparência, a boa-fé e o direito à informação adequada, que se conectam diretamente com as obrigações previstas na LGPD. O uso indevido de dados pessoais pode configurar prática abusiva e gerar responsabilidade civil.


O Marco Civil da Internet (Lei nº 12.965/2014) também desempenha papel relevante ao estabelecer diretrizes para o uso da internet no Brasil, incluindo a proteção da privacidade e dos dados pessoais dos usuários. Ele reforça a necessidade de consentimento e de segurança no tratamento de informações digitais.


Já o Código Civil (Lei nº 10.406/2002) prevê a responsabilidade civil por danos causados a terceiros, o que inclui prejuízos decorrentes de vazamentos ou uso indevido de dados pessoais. Empresas que não adotam medidas adequadas de segurança podem ser responsabilizadas judicialmente.


A Lei de Acesso à Informação (Lei nº 12.527/2011), por sua vez, estabelece regras para a transparência na administração pública, mas também impõe limites relacionados à proteção de dados pessoais, garantindo que informações sensíveis não sejam divulgadas indevidamente.


Dessa forma, a proteção de dados deve ser compreendida como um sistema integrado de normas, no qual a LGPD atua como eixo central, mas em constante diálogo com outras legislações. Para as empresas, isso significa que a conformidade não pode ser parcial ou isolada, exigindo uma abordagem estratégica e multidisciplinar.


Por esse motivo, investir em governança de dados, segurança da informação e conformidade com a LGPD deixou de ser uma simples medida de gestão de riscos. Trata-se de uma obrigação jurídica diretamente vinculada à proteção dos direitos fundamentais dos cidadãos brasileiros.


A ausência de um canal para o titular pode gerar consequências


Outro aspecto observado pela ANPD foi a inexistência de canais específicos para atendimento aos titulares.


Muitas empresas ainda disponibilizam apenas um formulário genérico de "Fale Conosco", sem qualquer fluxo interno para tratamento das solicitações relacionadas à LGPD.


Na prática, isso impede que o cidadão exerça direitos garantidos pela legislação.


Mais grave ainda é quando a empresa sequer responde aos pedidos realizados.


Essa conduta pode ser interpretada como descumprimento da LGPD e demonstrar ausência de governança em privacidade.


Quais sanções podem ser aplicadas?


O artigo 52 da Lei Geral de Proteção de Dados estabelece diversas sanções administrativas.


Entre elas estão:

  • advertência;

  • multa simples de até 2% do faturamento da empresa, limitada a R$ 50 milhões por infração;

  • multa diária;

  • publicização da infração;

  • bloqueio dos dados pessoais;

  • eliminação dos dados tratados irregularmente;

  • suspensão parcial das atividades de tratamento;

  • proibição parcial ou total do exercício da atividade relacionada ao tratamento de dados.


A escolha da penalidade leva em consideração fatores como gravidade da infração, vantagem obtida, reincidência, cooperação com a ANPD e existência de programas de governança.


O que empresas devem fazer agora?


A recente fiscalização deixa uma mensagem clara: adequar-se à LGPD não significa apenas elaborar uma política de privacidade.


É necessário construir um programa efetivo de governança em proteção de dados.


Algumas medidas são indispensáveis:

  • nomear formalmente um DPO ou responsável pelo tratamento de dados;

  • publicar seus canais de contato;

  • revisar contratos com fornecedores;

  • mapear todos os dados pessoais tratados pela empresa;

  • elaborar Relatórios de Impacto à Proteção de Dados quando necessários;

  • treinar colaboradores;

  • revisar políticas internas;

  • implementar medidas técnicas e administrativas de segurança;

  • responder imediatamente às comunicações da ANPD.


A fiscalização tende a aumentar


Nos primeiros anos da LGPD, a ANPD concentrou seus esforços em orientar empresas e órgãos públicos.


Esse cenário mudou.


A Autoridade vem estruturando procedimentos permanentes de monitoramento e já demonstra disposição para instaurar processos sancionadores sempre que identificar resistência das organizações em cumprir suas obrigações legais.


O monitoramento das 56 organizações representa mais um passo nessa evolução regulatória e serve como alerta para todo o mercado.


A recente atuação da ANPD demonstra que a conformidade com a LGPD não pode mais ser tratada como um diferencial competitivo, mas como uma obrigação jurídica e estratégica.


A nomeação de um Encarregado pelo Tratamento de Dados, a disponibilização de canais eficientes para os titulares e a adoção de uma cultura de governança em privacidade são medidas que reduzem riscos, fortalecem a confiança dos consumidores e evitam prejuízos financeiros e reputacionais.


Casos como o da Drogasil evidenciam que a utilização inadequada de dados pessoais pode gerar consequências não apenas perante a ANPD, mas também perante órgãos de defesa do consumidor, Ministério Público e Poder Judiciário.


Em um ambiente cada vez mais orientado pela proteção de dados, investir em conformidade com a LGPD deixou de ser custo para se tornar uma estratégia essencial de sustentabilidade, credibilidade e competitividade empresarial.


Conte com especialistas para adequar sua empresa à LGPD


A adequação à Lei Geral de Proteção de Dados não deve ser encarada apenas como uma obrigação legal, mas como um investimento em segurança jurídica, credibilidade e competitividade. Empresas que adotam uma política sólida de proteção de dados reduzem riscos de sanções, fortalecem a confiança de clientes e parceiros e demonstram compromisso com as melhores práticas de governança.


Nesse cenário, contar com profissionais especializados faz toda a diferença. A Marques Marketing reúne expertise nas áreas de Direito Digital, LGPD, Compliance e Marketing Estratégico, oferecendo uma abordagem multidisciplinar para auxiliar empresas de todos os portes na implementação de programas de conformidade.


Entre os serviços prestados estão o diagnóstico de conformidade, mapeamento do tratamento de dados pessoais, elaboração e revisão de políticas internas, adequação documental, treinamento de equipes, implementação de boas práticas de governança, consultoria para atendimento às exigências da ANPD e suporte na estruturação do Encarregado pelo Tratamento de Dados (DPO).


Mais do que evitar multas e processos administrativos, o objetivo é transformar a conformidade com a LGPD em um diferencial competitivo, fortalecendo a imagem institucional e a relação de confiança com consumidores, colaboradores e parceiros de negócios.


Se sua empresa ainda não iniciou sua adequação ou deseja revisar seus processos internos, a Marques Marketing está preparada para oferecer soluções personalizadas, alinhadas às exigências legais e às necessidades do seu negócio. Afinal, proteger dados pessoais é proteger pessoas, preservar a reputação da empresa e construir um ambiente de negócios mais seguro e sustentável.

bottom of page