Como este tema funciona na sua empresa
Pequena empresa raramente é foco direto de ANPD. Mas deve estar ciente: processamento de dados pessoais (clientes, funcionários) exige conformidade. Se ANPD receber denúncia sobre violação, pode investigar qualquer empresa.
Médias empresas começam a ser alvo de ANPD. Se processam muitos dados (clientes, funcionários), estão no escopo. Devem ter DPO, política de privacidade clara, e responder a solicitações de titulares conforme LGPD.
Grandes empresas são foco de regulação de ANPD. Multas podem chegar a 50M reais ou 2% da receita. Devem ter DPO dedicado, programa de conformidade robusto, responder a investigações, e participar em consultas públicas.
ANPD (Autoridade Nacional de Proteção de Dados) é agência reguladora brasileira que fiscaliza conformidade com LGPD (Lei Geral de Proteção de Dados). Responsável por orientar empresas, investigar violações, e aplicar multas administrativas[1].
Missão e poderes da ANPD
ANPD foi criada em 2020, com independência funcional. Não está subordinada a ministério. Tem autoridade para: (1) orientar empresas sobre LGPD, (2) receber denúncias de violação, (3) investigar empresas, (4) aplicar multas até 50 milhões de reais ou 2% da receita bruta anual (o que for maior).
ANPD processa reclamações: pessoa que acha seus dados foram usados ilegalmente notifica ANPD, que investiga. Se encontra violação, pode multar empresa. Processo é administrativo (não requer ação judicial).
Principais atribuições da ANPD
Orientação: ANPD publica guias, cartilhas, e orientações sobre como implementar LGPD. Exemplo: "Guia de Princípios LGPD" (como seguir diretrizes).
Consulta pública: ANPD abre consultas para ouvir empresas, entidades, especialistas antes de tomar decisões importantes. Empresa pode contribuir com comentários.
Investigação: ANPD pode convocar empresa, pedir documentos, entrevistar responsáveis. Investigação pode levar meses a anos.
Fiscalização: ANPD pode fazer auditorias diretas em empresa para verificar conformidade (rara, exige mandado).
Aplicação de multas: Se encontra violação, aplica multa. Multa pode ser advertência (sem valor), multa simples (até 50M) ou multa diária (se violação persiste). Multa é última opção — tentativa de acordo é comum.
Tipos de violação que ANPD investiga
Falta de consentimento: Usar dados pessoais sem base legal. Exemplo: coletar email de cliente sem pedir permissão para marketing.
Violação de privacidade: Dados vazam ou são acessados indevidamente. Exemplo: hacker acessa base de clientes.
Recusa em atender direitos: Pessoa solicita acesso/exclusão de dados e empresa recusa ou demora demais.
Falta de notificação: Dados vazam e empresa não notifica ANPD ou afetados dentro de prazo.
Transferência ilegal: Transferir dados para outro país sem proteção adequada.
Como se proteger de investigação de ANPD
1. Tenha política de privacidade clara: Publicar no site: quais dados coleta, por quê, onde armazena, quanto tempo mantém. Simples e acessível.
2. Peça consentimento: Antes de usar dados para fim novo (marketing, pesquisa), peça consentimento explícito. Cookie banner é exemplo.
3. Contrate DPO: Se empresa tem muitos dados, DPO ajuda a navegar conformidade e responde a ANPD.
4. Documente decisões: Guardar registros de: por que usa esse dado, base legal, quando coleta, onde armazena. Prova de conformidade.
5. Notifique se vazar: Se detecta violação de dados, notifique ANPD dentro de 10 dias e afetados assim que possível. Rápida notificação reduz penalidade.
6. Implemente segurança: Criptografia, controle de acesso, backup. ANPD espera "medidas de segurança apropriadas".
Sinais de que você pode estar em desacordo com ANPD
- Você coleta dados sem consentimento ou base legal clara.
- Não tem política de privacidade publicada no site.
- Demora mais de 15 dias para responder a solicitação de pessoa sobre seus dados.
- Não sabe onde ou como seus dados estão armazenados.
- Teve violação de dados e não notificou ANPD.
- Transfere dados para exterior sem contrato de proteção.
Caminhos para estar em conformidade com ANPD
- Perfil necessário: DPO interno ou responsável de privacidade
- Tempo estimado: 3-6 meses para conformidade básica
- Faz sentido quando: Empresa pequena ou menos complexa
- Tipo de fornecedor: Consultoria LGPD, DPO terceirizado
- Vantagem: Experiência em múltiplas empresas, conformidade garantida
- Faz sentido quando: Empresa média/grande com dados críticos
Precisa de apoio para estar em conformidade com ANPD?
Se implementar conformidade LGPD é prioridade, o oHub conecta você gratuitamente a consultores de privacidade. Em menos de 3 minutos, descreva seu cenário, e receba propostas, sem compromisso.
Encontrar fornecedores de TI no oHub
Sem custo, sem compromisso. Você recebe propostas e decide se e com quem avançar.
Perguntas frequentes
Qual é o máximo que ANPD pode multar?
Até 50 milhões de reais ou 2% da receita bruta anual da empresa, o que for maior. Limite é severíssimo; multas típicas são menores.
Se tiver violação, devo notificar ANPD?
Depende da gravidade. Se há risco à privacidade, deve notificar dentro de 10 dias. ANPD recomenda notificar sempre para manter transparência.
Como ANPD investiga empresa?
Começa por denúncia ou monitoramento. ANPD pede documentos, entrevista responsáveis. Investigação é sigilosa até conclusão. Se encontra violação, avisa empresa e oferece oportunidade de defesa antes de multar.
Posso contestar multa de ANPD?
Sim. Há processo administrativo de recurso. Mas ônus é seu (provar que cumpriu LGPD). Ter documentação ajuda muito.