oHub Base TI / Desafios / Crise / Recebi notificação da ANPD

Recebi notificação da ANPD

Notificação por incidente ou denúncia — prazos de resposta, articulação com jurídico, evidências de conformidade e plano de remediação para reduzir sanção.

Resposta rápida

Notificação da ANPD exige resposta estruturada em prazo curto, com tom técnico e respeitoso. A primeira ação é ler o documento integralmente: qual o gatilho (incidente comunicado, denúncia, fiscalização espontânea, requerimento de titular), o que está sendo pedido (informações, documentos, esclarecimentos, plano), qual o prazo de resposta. Acione jurídico ou DPO imediatamente — resposta a autoridade tem natureza legal além de técnica. Em paralelo, monte as evidências de conformidade disponíveis: política de privacidade, registro de operações de tratamento (RoPA), termos de consentimento, contratos com operadores, evidências de medidas de segurança. A resposta precisa ser tempestiva (no prazo), completa (responde ao que foi pedido), honesta (não inventa o que não existe) e demonstrativa (anexa evidência do que afirma). Não responder, responder tarde ou minimizar costuma agravar substancialmente o desfecho.

Pequena até 50 colaboradores

Na empresa pequena, raramente há DPO interno ou jurídico estruturado. A primeira ligação é para advogado de LGPD — se o atual não dominar, vale contratar pontualmente. ANPD não aceita "não tínhamos quem cuidasse disso" como justificativa. A resposta exige montar documentação que talvez não exista de forma organizada: política de privacidade, mapeamento básico de tratamento de dados, contratos com fornecedores que tratam dados. Se a empresa não tem essa documentação, parte da resposta vai ser declarar o que falta e apresentar plano realista para construir — tentar fingir compliance que não existe costuma piorar muito o desfecho. A notificação costuma ser o gatilho para finalmente implementar o programa de privacidade que vinha sendo adiado.

Média 51–500 colaboradores

Na empresa média, costuma haver DPO designado e algum nível de programa de privacidade. A resposta passa por DPO coordenando jurídico, TI, gestor da área afetada e direção. Monte equipe de resposta com prazo claro: leitura do pedido, levantamento de evidências, redação coordenada. Se a notificação vem de incidente prévio, o histórico documentado da resposta a esse incidente é evidência central — daí a importância de documentar resposta a incidente em tempo real, não no pós. Evidências comuns: política de privacidade aplicada, registro de operações, contratos com operadores com cláusulas de privacidade, evidências de treinamento, plano de resposta a incidente, log de medidas técnicas. Trate a notificação como prioritária; outras demandas esperam.

Grande +500 colaboradores

Na empresa grande, há DPO formal, comitê de privacidade, jurídico próprio com prática de LGPD e programa de privacidade maduro. A resposta segue rito estabelecido: ativação de processo de resposta a autoridade, equipe dedicada (DPO, jurídico, CISO, comunicação institucional), revisão por escritório externo se o caso for sensível. Evidências de conformidade estão organizadas e atualizadas — programa maduro produz documentação contínua que sustenta resposta sem improvisação. Comunicação externa coordenada com comunicação institucional e RI, especialmente se há risco de vazamento da notificação para mídia. Para sanções relevantes, articulação com associações setoriais e benchmarking com pares ajuda a calibrar resposta. Pós-resposta, atualização de programa com aprendizado é mandatória.

Você está vivendo isso se…
  • Chegou ofício, e-mail oficial ou comunicação no canal eletrônico da ANPD
  • A notificação cita incidente que você comunicou antes
  • A notificação tem origem em denúncia de titular ou de terceiro
  • É fiscalização espontânea (sem incidente prévio relatado)
  • Há pedido de informações, documentos ou plano em prazo definido
  • Há referência a tipo de tratamento de dados que sua empresa realiza

A primeira ação: ler o documento direito

O reflexo de panicar dispara a resposta errada. Antes de qualquer ação, leia integralmente, com tempo, junto com jurídico. Identifique cinco pontos: o gatilho da notificação (incidente, denúncia, fiscalização), o que está sendo pedido (informações, documentos, esclarecimentos, plano de remediação), qual o prazo, qual o canal de resposta, se há intimação para reunião ou audiência. A clareza sobre o pedido define a estrutura da resposta.

Sobre o prazo

Prazos da ANPD são curtos e o cumprimento é determinante. Em geral variam entre dias e poucas semanas, dependendo do tipo de procedimento. Pedido de prorrogação fundamentado pode ser feito quando o prazo é objetivamente inviável — mas tem que ser pedido com antecedência e com justificativa real, não no último dia. Perder prazo sem pedir prorrogação é demonstração de descaso, não de problema operacional, aos olhos da autoridade.

Protocolo da primeira semana
  1. Leia integralmente com jurídico. Identifique gatilho, pedido, prazo, canal. Não improvise leitura técnica sem jurídico.
  2. Acione DPO se há DPO designado. A resposta passa por ele. Sem DPO, contrate advogado de LGPD imediatamente — não tente conduzir sozinho.
  3. Defina equipe de resposta. DPO, jurídico, TI, gestor da área de tratamento afetada, direção. Reunião inicial para alinhar prazo, divisão e quem coordena.
  4. Levante evidências de conformidade. Política de privacidade, RoPA, termos de consentimento, contratos com operadores, evidências de medidas de segurança, registros de treinamento, plano de resposta a incidente.
  5. Construa narrativa coerente. Responde ao pedido, demonstra com evidência, reconhece o que não está em conformidade (se for o caso) com plano de remediação realista.
  6. Revise antes de enviar. Jurídico, DPO e direção precisam aprovar. Resposta a autoridade não é texto técnico solto — é peça que pode ser usada em procedimento sancionador.
  7. Documente a resposta enviada. Cópia completa, protocolo, data, comprovante. Resposta protocolada é evidência da tempestividade.
Particularidade brasileira: a ANPD valoriza demonstração de cooperação e de programa de privacidade em construção mesmo quando há não conformidade pontual. Reconhecer falha com plano de remediação concreto e cronograma realista costuma render desfecho substancialmente melhor que negação ou tentativa de minimização. Esconder o que existe e a autoridade já sabe é o pior caminho.

O que evidenciar na resposta

A resposta precisa demonstrar, não só afirmar. Para cada ponto da resposta, anexe ou aponte para o documento que sustenta. Evidências mais comuns que costumam entrar.

Documentação de programa de privacidade

Política de privacidade publicada e versão histórica, registro de operações de tratamento (RoPA), termo de uso, contratos de tratamento com operadores. Mostra que há programa formalizado, não improviso.

Evidências de medidas de segurança

Política de segurança da informação, evidências técnicas (firewall, criptografia, MFA, gestão de acessos, EDR), procedimento de backup e recuperação. Mostra que o tratamento tem proteção adequada ao risco.

Histórico de resposta a incidentes (se aplicável)

Para notificações relacionadas a incidente, o histórico documentado da resposta a esse incidente é central: linha do tempo, contenção, avaliação de risco, comunicações realizadas, remediação executada. Sem esse histórico documentado, defender resposta tempestiva fica difícil mesmo se ela aconteceu.

Evidências de treinamento e governança

Registros de treinamento em LGPD para o time, atas de comitê de privacidade, indicadores monitorados, auditorias internas. Mostra que privacidade é prática contínua.

Plano de remediação

Quando há não conformidade real, o plano de remediação realista costuma ser o que mais reduz risco de sanção severa. O plano precisa cobrir: causa raiz identificada, ações imediatas para cessar a não conformidade, ações estruturais para prevenir reincidência, cronograma exequível com responsáveis nomeados, indicadores de acompanhamento. Promessa vaga ("vamos melhorar nossa governança") não rende; plano concreto com data e dono rende.

Armadilhas comuns na resposta à ANPD

Perder o prazo sem pedir prorrogação. Demonstração de descaso aos olhos da autoridade. Pedido de prorrogação fundamentado e antecipado costuma ser aceito.

Responder sem jurídico. Resposta a autoridade tem natureza legal além de técnica. Improvisar texto técnico solto pode gerar afirmação que enfraquece defesa em procedimento sancionador.

Inventar conformidade que não existe. Autoridade investiga. Discrepância entre o que se afirma e o que se constata costuma agravar substancialmente.

Negar ou minimizar sem fundamento. ANPD costuma já ter informação que motivou a notificação. Negar o que é fato perde credibilidade para o resto.

Não construir plano de remediação concreto. "Vamos melhorar" não rende. Plano com causa raiz, ações, cronograma, responsáveis e indicadores demonstra programa real.

Antes de enviar a resposta, confira:
  • Jurídico e DPO revisaram e aprovaram
  • Resposta cobre todos os pontos pedidos pela ANPD
  • Para cada afirmação relevante, há evidência anexada ou referenciada
  • Não conformidades identificadas têm plano de remediação concreto
  • O tom é técnico, respeitoso, sem defensividade
  • Prazo será cumprido (ou prorrogação foi formalmente pedida)
  • Cópia completa e protocolo estão arquivados internamente

O que fazer ao receber notificação da ANPD?

Leia integralmente com jurídico identificando gatilho, pedido, prazo e canal de resposta. Acione DPO ou contrate advogado de LGPD imediatamente — resposta a autoridade tem natureza legal além de técnica. Monte equipe (DPO, jurídico, TI, gestor da área, direção), levante evidências de conformidade (política, RoPA, contratos, evidências técnicas) e construa resposta tempestiva, completa, honesta e demonstrativa. Não responder, responder tarde ou minimizar costuma agravar substancialmente o desfecho.

Qual o prazo para responder à ANPD?

Varia conforme o tipo de procedimento — entre dias e poucas semanas, especificado na própria notificação. Prazos da ANPD são curtos e cumprir é determinante. Quando o prazo é objetivamente inviável, pedido de prorrogação fundamentado pode ser feito com antecedência (não no último dia) e com justificativa real. Perder prazo sem pedir prorrogação é interpretado como descaso, não como problema operacional, e tende a agravar o procedimento.

O que precisa estar na resposta à ANPD?

Resposta aos pontos pedidos, com evidência demonstrativa para cada afirmação relevante. Evidências comuns: política de privacidade aplicada, registro de operações de tratamento, contratos com operadores, evidências de medidas técnicas de segurança, registros de treinamento, plano de resposta a incidente. Quando há não conformidade real, plano de remediação concreto com causa raiz, ações, cronograma e responsáveis. Tom técnico e respeitoso. Honestidade sobre o que falta com plano realista rende mais que tentativa de minimizar.

Posso negar uma não conformidade que existe?

Não vale a pena. A ANPD investiga e costuma já ter informação que motivou a notificação. Discrepância entre o que se afirma e o que se constata costuma agravar substancialmente. A autoridade valoriza demonstração de cooperação e de programa em construção, mesmo com não conformidade pontual. Reconhecer falha com plano de remediação concreto e cronograma realista costuma render desfecho melhor que negação ou minimização. Esconder o que existe e a autoridade já sabe é o pior caminho.

Sou pequeno, preciso mesmo de advogado especializado?

Sim. ANPD não diferencia obrigação por porte. A resposta a autoridade tem implicações legais que advogado generalista raramente domina, e a peça produzida na resposta pode ser usada em procedimento sancionador. Para empresa pequena sem DPO interno, vale contratar pontualmente advogado de LGPD para conduzir a resposta. O custo é menor que o risco de sanção decorrente de resposta mal calibrada — e a notificação costuma ser o gatilho para finalmente implementar o programa de privacidade que vinha sendo adiado.
Aprofundar
Ver todos os artigos sobre LGPD e Conformidade (Cibersegurança e Proteção de Dados)