LGPD: Adequação e Sanções
Guia completo sobre a Lei Geral de Proteção de Dados: sanções recentes da ANPD e passo a passo de adequação para empresas. Entenda os riscos reais de não conformidade.
Sanções Recentes da ANPD
A ANPD já está fiscalizando e aplicando penalidades. Conheça os casos reais e entenda os riscos de não conformidade.
Telekall Infoservice
R$ 14.400
Oferecimento de listagem de contatos de WhatsApp de eleitores para campanha eleitoral sem base legal.
Instituto Nacional do Seguro Social (INSS)
Advertência
Ausência de comunicação aos titulares sobre incidente de segurança e falha na manutenção de registro de operações.
Secretaria de Saúde de Santa Catarina
Advertência
Incidente de segurança com dados de saúde sem comunicação adequada aos titulares e à ANPD.
Secretaria de Educação do DF
Advertência + Medidas Corretivas
Tratamento de dados pessoais de estudantes sem elaboração de Relatório de Impacto e sem indicação de DPO.
Empresa de Energia Elétrica
R$ 7.200 + Medidas Corretivas
Compartilhamento indevido de dados de consumidores com empresas parceiras sem consentimento.
Clínica de Saúde Estética
R$ 29.700
Uso de dados sensíveis de pacientes para marketing direcionado sem base legal adequada.
Sanções Previstas na LGPD
Advertência
Com prazo para adoção de medidas corretivas
Multa Simples
Até 2% do faturamento, limitada a R$ 50 milhões por infração
Bloqueio de Dados
Suspensão do tratamento até regularização
Publicização
Divulgação pública da infração após apurada
Adequação à LGPD em 8 Etapas
Um roteiro prático e objetivo para adequar sua empresa à LGPD, do mapeamento inicial ao monitoramento contínuo.
Mapeamento de Dados
Identifique todos os fluxos de dados pessoais: quais dados são coletados, por qual meio, para qual finalidade, com quem são compartilhados, onde são armazenados e por quanto tempo retidos.
Entregas
- Inventário de bases de dados e sistemas
- Identificação de categorias de dados e titulares
- Mapeamento de fluxos internos e externos
- Registro de bases legais por operação
Análise de Gap e Riscos
Compare a situação atual com os requisitos da LGPD. Identifique lacunas de conformidade e avalie riscos associados a cada operação de tratamento.
Entregas
- Avaliação de conformidade por área
- Classificação de riscos por criticidade
- Identificação de dados sensíveis
- Análise de contratos com terceiros
Governança e Políticas
Elabore políticas internas de privacidade, termos de uso, política de cookies e procedimentos operacionais que reflitam os princípios da LGPD.
Entregas
- Política de Privacidade externa
- Política interna de proteção de dados
- Política de retenção e descarte
- Procedimento de resposta a titulares
Designação do DPO
Nomeie o Encarregado de Proteção de Dados (DPO). Pode ser interno ou terceirizado (DPO as a Service), mas deve ter autonomia e conhecimento adequado.
Entregas
- Indicação formal à ANPD
- Publicação dos dados de contato
- Definição de atribuições e autonomia
- Canal de comunicação com titulares
Medidas Técnicas de Segurança
Implemente controles técnicos proporcionais ao risco: criptografia, controle de acesso, backup, monitoramento e plano de resposta a incidentes.
Entregas
- Criptografia em trânsito e repouso
- Controle de acesso baseado em privilégio mínimo
- Logs de acesso e auditoria
- Plano de resposta a incidentes
Adequação de Contratos
Revise todos os contratos com fornecedores, parceiros e prestadores de serviço para incluir cláusulas específicas de proteção de dados.
Entregas
- Aditivos de processamento de dados (DPA)
- Cláusulas de confidencialidade
- Obrigações de segurança para terceiros
- Transferência internacional de dados
Treinamento e Cultura
Capacite todos os colaboradores sobre proteção de dados. A conformidade depende de pessoas, não apenas de documentos.
Entregas
- Treinamentos periódicos obrigatórios
- Simulações de incidentes
- Programa de conscientização
- Cultura de privacidade by design
Monitoramento Contínuo
A conformidade não é um projeto com data de término. Implemente processos de monitoramento, auditoria e melhoria contínua.
Entregas
- Auditorias internas periódicas
- Relatório de Impacto (RIPD)
- Registro de operações atualizado
- Revisão anual de políticas
Perguntas Frequentes
Sim. A ANPD aplicou suas primeiras sanções em 2023, incluindo multa à Telekall Infoservice por uso de dados de eleitores para campanha sem base legal. Desde então, as sanções vêm se intensificando — em 2024, multas chegaram a R$ 29.700 para clínicas de saúde e empresas de energia. A tendência é de fiscalização crescente com multas cada vez maiores.
A multa simples pode chegar a 2% do faturamento da pessoa jurídica no último exercício, limitada a R$ 50 milhões por infração. Há ainda multa diária para compelir o cumprimento de obrigações. Além da multa, a ANPD pode aplicar advertência, publicização da infração, bloqueio e eliminação de dados pessoais — sanções que podem ser mais devastadoras do que a multa em si.
A adequação segue 8 etapas principais: (1) mapeamento de dados pessoais, (2) análise de gap e riscos, (3) elaboração de políticas de privacidade, (4) designação do DPO, (5) implementação de medidas técnicas de segurança, (6) adequação de contratos com terceiros, (7) treinamento de colaboradores e (8) monitoramento contínuo com auditorias periódicas.
O RIPD é um documento que descreve os processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e direitos fundamentais dos titulares. Deve conter: descrição dos processos, medidas de segurança, análise de necessidade e proporcionalidade e medidas mitigatórias. A ANPD pode solicitar o RIPD a qualquer momento, especialmente para tratamento de dados sensíveis.
Não. A LGPD prevê 10 bases legais para o tratamento de dados pessoais (art. 7º), e o consentimento é apenas uma delas. Outras bases incluem: execução de contrato, cumprimento de obrigação legal, legítimo interesse, proteção da vida, tutela da saúde e proteção ao crédito. A escolha da base legal deve considerar a finalidade, o contexto e a expectativa do titular.
O envio de e-mails de marketing exige base legal — geralmente consentimento prévio, livre e inequívoco do destinatário, ou legítimo interesse com análise documentada. O titular deve poder se descadastrar facilmente (opt-out). E-mails sem base legal configuram tratamento irregular de dados pessoais e podem gerar sanções da ANPD, além de ações judiciais individuais e coletivas.
Sim, a LGPD se aplica a órgãos públicos. A ANPD já sancionou o INSS e secretarias estaduais por falhas na proteção de dados. A diferença é que órgãos públicos não estão sujeitos a multa pecuniária — as sanções possíveis são advertência, publicização da infração e medidas corretivas. Servidores responsáveis, porém, podem responder administrativamente.
Sim, mas com restrições. O art. 33 da LGPD permite transferência internacional quando: o país de destino oferece proteção adequada (lista da ANPD), mediante cláusulas contratuais específicas, consentimento específico do titular, ou quando necessária para execução de contrato. A ANPD regulamentou os mecanismos de transferência e está avaliando a adequação de países — semelhante ao modelo do GDPR europeu.
Sua empresa está em conformidade?
A adequação à LGPD é uma obrigação legal com impactos reais. Agende uma consulta para avaliar a situação da sua empresa e estruturar um plano de conformidade.