Durante muito tempo, os empresários acreditaram que a Lei Geral de Proteção de Dados – LGPD seria uma legislação de caráter predominantemente educativa. A percepção era de que a Agência Nacional de Proteção de Dados – ANPD concentraria seus esforços apenas para orientar empresas, publicar Guias e incentivar as boas práticas em segurança da informação.
Entretanto, no último dia 25/06/26, a ANPD divulgou uma notícia demonstrando que o cenário mudou. A Agência concluiu a primeira fase de monitoramento envolvendo 56 empresas e órgãos públicos que não haviam cumprido obrigações básicas previstas na LGPD, como a indicação do Encarregado pelo Tratamento de Dados Pessoais (DPO) e a disponibilização de um canal de comunicação para atendimento aos titulares de dados. O resultado chama atenção: diversas organizações regularizaram sua situação após o monitoramento da ANPD.
No entanto, 21 empresas públicas e privadas não atenderam às solicitações da ANPD e tiveram seus casos encaminhados para instauração de processo administrativo sancionador. Mais do que um dado estatístico, esse resultado demonstra que a ANPD avançou para uma nova fase: a da efetiva fiscalização das empresas quando as obrigações legais previstas na LGPD deixarem de ser cumpridas.
Embora 21 organizações representem menos da metade dos casos monitorados, o dado revela um aspecto importante: a ANPD NÃO POUPARÁ AS EMPRESAS QUANDO IDENTIFICAR RESISTÊNCIA INJUSTIFICADA AO CUMPRIMENTO DA LGPD. Mais do que uma notícia, esse fato representa um importante sinal para o mercado. A mensagem da ANPD é clara: a fiscalização deixou de ser uma hipótese distante para se tornar uma realidade concreta. O aspecto mais relevante desse monitoramento é que ele não decorreu de um grande vazamento de dados ou de um incidente de segurança.
A fiscalização concentrou-se no cumprimento de requisitos estruturantes da LGPD, evidenciando que a Agência está avaliando a maturidade das organizações em relação à governança em proteção de dados. Isso significa que a conformidade não será analisada apenas quando ocorrer um incidente. A existência de elementos básicos, como a nomeação dos Encarregados de Dados – DPO’s e a disponibilização de um canal de atendimento aos titulares passaram a integrar a agenda de fiscalização da ANPD. Esse movimento representa uma mudança importante na forma como as empresas devem encarar a LGPD. Ainda é comum encontrar organizações que acreditam estar em conformidade apenas porque possuem uma Política de Privacidade publicada em seu site ou um gestor de cookies. Embora esses documentos sejam importantes, eles representam apenas uma pequena parte de um Programa de Governança em Privacidade. A conformidade exige estrutura, processos, definição de responsabilidades, gestão de riscos, treinamento de colaboradores, Due Diligence de fornecedores, resposta a incidentes e mecanismos efetivos de atendimento aos direitos dos titulares.
Em outras palavras, a LGPD não se resume à elaboração de documentos é necessário que a proteção de dados faça parte da rotina operacional da empresa. Sob essa perspectiva, a ANPD também reforça a importância estratégica das empresas terem dois Encarregados de Dados nomeados para atender o Art. 41 da LGPD e a Resolução CD/ANPD nº 18 de 2024. Muito além de atender a uma exigência legal, o Encarregado de Dados atua como elo entre a organização, os titulares de dados e a própria ANPD. Sua atuação contribui para fortalecer a governança, orientar colaboradores, acompanhar e mitigar riscos, apoiar a implementação de boas práticas e demonstrar que a empresa possui um programa de privacidade efetivamente ativo.
Quando uma empresa deixa de se adequar à LGPD, de nomear os Encarregados de Dados e de disponibilizar um Canal exclusivo para que os titulares exerçam seus direitos, ela transmite ao mercado uma mensagem negativa e preocupante: Que a proteção de dados ainda não faz parte de sua cultura organizacional. Outro ponto que merece reflexão é que a atuação da ANPD acompanha uma tendência mundial. Em diversos países, autoridades de proteção de dados vem ampliando suas ações fiscalizatórias nas empresas priorizando não apenas a punição de incidentes, mas também a verificação preventiva da conformidade à legislação vigente de proteção de dados. No Brasil, esse movimento demonstra que a maturidade regulatória da LGPD está avançando.
Por isso, a pergunta que os empresários precisam fazer não é mais: “A ANPD irá fiscalizar minha empresa?” A pergunta correta é: Se a fiscalização começar amanhã, minha empresa conseguirá demonstrar através de evidências documental que cumpre as obrigações básicas previstas na LGPD? Essa mudança de perspectiva é fundamental. Empresas que ainda enxergam a LGPD apenas como uma obrigação legal tendem a agir somente quando notificadas ou diante de um incidente. Já aquelas que investem preventivamente em governança, proteção de dados e conformidade conseguem reduzir riscos, fortalecer sua reputação, aumentar o valor da sua marca, solidificar a confiança de clientes e parceiros e construir um diferencial competitivo sustentável em face aos seus concorrentes.
A recente atuação da ANPD deixa um importante ensinamento para o mercado: A fase exclusivamente orientativa ficou para trás. Estamos em um novo momento em que a conformidade à LGPD será cada vez mais acompanhada, monitorada e exigida. Mais do que evitar sanções, investir na LGPD e na segurança das informações significa preparar a empresa para um ambiente de negócios onde a transparência, a responsabilidade e a governança não sejam apenas diferenciais e sim se tornem pré-requisitos estratégicos para a realização de novos negócios e contratações.
E a meu ver como Encarregada de Dados esta é a principal mensagem que se extrai da notícia objeto deste Artigo: A LGPD nunca foi um projeto com começo, meio e f im. Ela precisa fazer parte da gestão diária das organizações.
