As 10 maiores falhas de conformidade LGPD e como evitar cada uma

Entre 2022 e 2024, a ANPD concluiu 9 processos administrativos sancionatórios, notificou 20 grandes empresas em uma única ação de dezembro de 2024 e acumulou centenas de reclamações de titulares. Os dados são suficientes para mapear um padrão: as mesmas falhas aparecem repetidamente, em organizações de diferentes setores e portes.

Este artigo analisa as 10 maiores falhas de conformidade com a LGPD, documentadas diretamente nas decisões da ANPD, e explica como evitar cada uma.

---

Contexto: o que a ANPD já fez

Antes de listar as falhas, é importante entender a escala e a natureza da atuação sancionatória da ANPD:

Os 9 processos sancionatórios concluídos (2022–2024):

Caso	Ano	Sanção
Telekall Infoservice	2023	Multa de R$ 14.400 + advertência (1º caso privado)
Jardim Botânico do Rio	2023	Advertência (setor público)
IAMSPE (SP)	2023	Advertência (saúde pública)
Secretaria de Saúde de SC	2023	Advertência + prazo de regularização
INSS	2024	Advertência + notificação obrigatória aos beneficiários
SEEDF (DF)	2024	4 advertências (3.030 crianças afetadas)
SAS-PE	2024	2 advertências + notificação obrigatória
Ministério da Saúde (SCPA)	2024	Advertência + RIPD obrigatório
Ministério da Saúde (ConecteSUS)	2024	Advertência + medidas corretivas

A ação de dezembro de 2024: 20 empresas notificadas em uma única operação proativa — TikTok, Uber, Serasa, Vivo, Telegram, X Corp., Dell, Latam Airlines, Cacau Show, QuintoAndar, Equatorial Energia, entre outras — por ausência de Encarregado publicado ou canal do titular inadequado.

O que esses números revelam: a ANPD está escalando sua capacidade de fiscalização. O Mapa de Temas Prioritários 2026-2027 prevê 75 ações de fiscalização no biênio, distribuídas em quatro eixos — incluindo 30 ações para direitos dos titulares, 30 para crianças e adolescentes e 20 para IA. A pergunta não é mais "se" as organizações serão fiscalizadas — é "quando" e "com que grau de preparação".

---

As 10 maiores falhas — ranking por frequência

Falha #1 — Encarregado ausente, não publicado ou inadequado

Frequência: Identificada em todos os 9 casos sancionatórios + nas 20 empresas notificadas em 2024.

O que a ANPD encontrou:

• Telekall: Ausência de Encarregado designado — infração autônoma
• Ministério da Saúde (ambos os casos): Ausência de designação formal do Encarregado
• 20 empresas (dez/2024): Encarregado não publicado no site ou dados de contato inacessíveis/não funcionais

Base legal: Art. 41, §1º LGPD (designação e publicação) + Resolução CD/ANPD Nº 18/2024 (requisitos do Encarregado)

Como evitar:

1. Designar formalmente o Encarregado por ato interno (portaria, resolução, contrato)
2. Publicar nome ou razão social e endereço de e-mail funcional no site, em local de fácil acesso
3. Testar o e-mail publicado periodicamente — a ANPD verificou em 2024 se os canais funcionavam efetivamente
4. Verificar conflito de interesses do Encarregado (Resolução Nº 18/2024): acúmulo de funções que criem conflito é irregular
5. Para pequenos agentes: consultar Resolução Nº 2/2022 sobre flexibilizações — mesmo assim, o canal de comunicação é obrigatório

---

Falha #2 — Tratamento de dados sem base legal documentada

Frequência: Identificada no caso Telekall (infração central do primeiro processo sancionatório privado).

O que a ANPD encontrou:

No caso Telekall, a empresa realizava atividades de telemarketing usando dados pessoais sem conseguir demonstrar qual das hipóteses legais dos Arts. 7º e 11 da LGPD amparava o tratamento. A ANPD concluiu que o tratamento era ilícito em sua origem — a base legal não estava identificada nem documentada.

Base legal: Arts. 7º (dados pessoais gerais) e 11 (dados sensíveis) LGPD

Como evitar:

1. Para cada atividade de tratamento no ROPA, registrar expressamente a base legal utilizada
2. Verificar se a base legal escolhida é adequada à finalidade do tratamento (ex: consentimento para marketing, legítimo interesse para segurança interna, obrigação legal para impostos)
3. Documentar a análise jurídica que levou à escolha da base legal
4. Revisar a base legal quando a finalidade do tratamento mudar
5. Atenção especial a dados sensíveis (Art. 11): as hipóteses são mais restritas do que para dados pessoais gerais

---

Falha #3 — Não comunicação ou atraso na comunicação de incidentes

Frequência: Identificada em 7 dos 9 processos sancionatórios — a infração mais frequentemente sancionada.

O que a ANPD encontrou:

• INSS: Acesso não autorizado a 90+ milhões de registros — sem comunicação adequada aos beneficiários afetados
• SEEDF: Exposição de dados de 3.030 crianças — atraso na comunicação do incidente à ANPD e aos titulares
• SAS-PE: Planilha pública expôs dados de pessoas com deficiência — ausência de comunicação
• Ministério da Saúde (ambos os casos): Incidentes de grande escala sem comunicação adequada

Base legal: Art. 48 LGPD + Resolução CD/ANPD Nº 15/2024 (prazo de 3 dias úteis)

Como evitar:

1. Ter um plano de resposta a incidentes elaborado antes do incidente — não improvisado durante a crise
2. Treinar a equipe de TI para reportar ao DPO imediatamente ao identificar qualquer suspeita de incidente
3. Realizar a análise de relevância (dois critérios da Resolução Nº 15/2024) com rapidez — se houver dúvida, prefira comunicar
4. Se todas as informações não estiverem disponíveis em 3 dias úteis, enviar comunicação preliminar à ANPD (prevista na Resolução Nº 15/2024) e complementar em até 20 dias úteis adicionais
5. Comunicar titulares simultaneamente à comunicação à ANPD (Art. 48 é expresso: ambos)
6. Registrar todos os incidentes, mesmo os não comunicados, por pelo menos 5 anos

---

Falha #4 — Medidas técnicas de segurança insuficientes

Frequência: Identificada em múltiplos casos, especialmente nos incidentes com dados de saúde.

O que a ANPD encontrou:

• Ministério da Saúde (API sem autenticação): API exposta à internet sem mecanismo de autenticação — dados de saúde de milhões de brasileiros acessíveis sem credenciais
• IAMSPE: Medidas técnicas inadequadas para o volume e a sensibilidade dos dados tratados
• SEEDF: Formulário Google Forms mal configurado expôs dados de crianças — controle de acesso inexistente

Base legal: Art. 46 LGPD ("medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados")

Como evitar:

1. Autenticação em todos os sistemas com dados pessoais — especialmente APIs: nenhuma API exposta ao público sem autenticação
2. Autenticação multifator para sistemas com dados sensíveis (saúde, financeiro, biometria)
3. Controle de acesso por princípio do menor privilégio: cada usuário acessa apenas o que precisa para sua função
4. Criptografia em trânsito (TLS 1.2+) e em repouso para dados sensíveis
5. Revisão periódica de permissões de acesso (ao menos anual ou quando colaborador muda de função)
6. Pentest ao menos anual para sistemas que tratam dados sensíveis em larga escala

---

Falha #5 — ROPA ausente ou desatualizado

Frequência: Identificada em múltiplos casos, incluindo Telekall e SEEDF.

O que a ANPD encontrou:

O Registro das Operações de Tratamento (ROPA) — exigido pelo Art. 37 da LGPD — estava ausente, incompleto ou não refletia as atividades de tratamento reais da organização. A ANPD solicita o ROPA como um dos primeiros documentos em qualquer fiscalização. Sua ausência ou precariedade é sinal imediato de conformidade deficiente.

Base legal: Art. 37 LGPD ("o controlador e o operador devem manter registro das operações de tratamento de dados pessoais que realizarem")

Como evitar:

1. Criar o ROPA para todas as atividades de tratamento — não apenas para as mais óbvias
2. Incluir os campos mínimos: atividade, finalidade, base legal, categorias de dados, grupos de titulares, operadores envolvidos, prazo de retenção, medidas de segurança aplicadas
3. Revisar o ROPA ao menos anualmente — ou sempre que uma nova atividade de tratamento for iniciada
4. Integrar o ROPA ao processo de aprovação de novos sistemas e processos (Privacy by Design): nenhum sistema novo vai ao ar sem estar no ROPA

---

Falha #6 — RIPD não elaborado para atividades de alto risco

Frequência: Identificada em múltiplos casos (SEEDF, Ministério da Saúde). A negativa do SEEDF em elaborar o RIPD foi tratada como infração autônoma pela ANPD.

O que a ANPD encontrou:

Atividades de tratamento com alto potencial de impacto aos titulares — dados de crianças, dados de saúde, decisões automatizadas — sem Relatório de Impacto (RIPD) elaborado. Em um dos casos do Ministério da Saúde, a ANPD determinou especificamente a elaboração do RIPD como medida corretiva.

Base legal: Art. 38 LGPD + Resolução CD/ANPD Nº 2/2022 (critérios para atividades de alto risco)

Como evitar:

1. Elaborar RIPD proativamente para tratamentos que envolvam:
   • Dados sensíveis (saúde, biometria, origem racial, religião, etc.)
   • Dados de crianças e adolescentes
   • Decisões automatizadas que produzem efeitos jurídicos
   • Tratamento em larga escala
   • Monitoramento sistemático de titulares (geolocalização, comportamento online)
2. O RIPD deve descrever o tratamento, avaliar riscos, e documentar as medidas adotadas para mitigá-los
3. Integrar o RIPD ao processo de aprovação de novos produtos: nenhum sistema com alto risco vai ao ar sem RIPD aprovado

---

Falha #7 — Canal do titular ineficaz ou inacessível

Frequência: Motivo central da ação contra as 20 empresas em dezembro de 2024. Verificada como infração autônoma pela ANPD.

O que a ANPD encontrou:

Em dezembro de 2024, a ANPD verificou que muitas das 20 empresas notificadas, mesmo tendo alguma forma de canal publicado, não tinham canais efetivamente funcionais: e-mails que não respondiam, formulários que não chegavam ao DPO ou simplesmente ausência de qualquer mecanismo de contato para questões de privacidade.

Base legal: Art. 41, §2º LGPD ("o encarregado deverá (...) receber reclamações e comunicações dos titulares")

Como evitar:

1. Publicar e-mail ou formulário específico para solicitações de titulares — separado do suporte geral ao cliente
2. Testar periodicamente: enviar uma solicitação como titular e verificar se há resposta no prazo adequado
3. Definir responsável interno para receber e triagem das solicitações — o DPO deve ser notificado
4. Cumprir o prazo do Art. 19 da LGPD: até 15 dias para confirmação de existência de dados e acesso; imediatamente em formato simplificado quando solicitado
5. Documentar todas as solicitações recebidas e as respostas fornecidas

---

Falha #8 — Consentimento como base legal única para todo tratamento

Frequência: Padrão de erro recorrente identificado em organizações que tratam toda conformidade como "get consent" sem analisar alternativas mais adequadas.

O que a prática regulatória revela:

O consentimento é apenas uma das 10 hipóteses legais do Art. 7º da LGPD — e frequentemente não é a mais adequada nem a mais robusta. Problemas com o uso indevido do consentimento:

• Consentimento para obrigação legal (folha de pagamento, nota fiscal) é desnecessário e cria expectativa errada
• Consentimento para execução de contrato é inadequado — a base correta é o próprio contrato (Art. 7º, V)
• Consentimento revogável para tratamentos essenciais ao negócio cria risco operacional
• Consentimento de crianças menores de 16 anos sem consentimento parental é nulo (Art. 14, §1º LGPD)

Como evitar:

1. Mapear a base legal mais adequada para cada atividade no ROPA, começando pelas hipóteses que não requerem consentimento (obrigação legal, contrato, legítimo interesse, etc.)
2. Usar consentimento apenas quando for genuinamente a base mais adequada — geralmente para marketing, pesquisas voluntárias, tratamentos não essenciais ao contrato
3. Quando usar consentimento, garantir que seja: livre (sem coerção), informado (com finalidade clara), inequívoco (ação afirmativa) e revogável a qualquer momento
4. Documentar a análise que levou à escolha da base legal — não apenas a conclusão

---

Falha #9 — Ausência de programa de treinamento documentado

Frequência: Padrão consistente de ausência, identificado em praticamente todos os casos analisados. Pesquisa Sebrae 2025: 77% das PMEs brasileiras ainda não tomaram nenhuma ação efetiva em relação à LGPD.

O que a prática regulatória revela:

A LGPD exige que o controlador adote medidas "aptas a proteger os dados pessoais" (Art. 46) — e o erro humano é sistematicamente o maior vetor de incidentes. Em múltiplos casos sancionatórios (SEEDF, SAS-PE, Ministério da Saúde), a causa raiz foi um colaborador que configurou incorretamente um sistema, sem o treinamento adequado para reconhecer o risco.

Como evitar:

1. Treinamento básico para todos os colaboradores que tratam dados pessoais — não apenas para TI ou jurídico
2. Treinamentos específicos por função: marketing (bases legais, cookie consent), RH (dados de funcionários), TI (segurança técnica), atendimento (direitos dos titulares)
3. Documentar todos os treinamentos: data, conteúdo, participantes, assinaturas de presença — essa documentação é evidência de boas práticas para a ANPD
4. Periodicidade mínima: anual para todos os colaboradores; imediatamente para novos colaboradores
5. Atualização do treinamento quando houver mudanças regulatórias relevantes (nova resolução da ANPD) ou após incidentes

---

Falha #10 — Fornecedores sem DPA (Data Processing Agreement)

Frequência: Ausência generalizada, identificada em due diligences de conformidade. A ANPD tem poderes para investigar toda a cadeia de tratamento, não apenas o controlador principal.

O que a legislação e a prática revelam:

O Art. 39 da LGPD é claro: o controlador tem dever legal de verificar se o operador cumpre as instruções e as normas de proteção de dados. Sem DPA:

• O controlador não tem como provar que forneceu instruções claras ao operador
• O controlador não tem como demonstrar que fiscalizou o operador
• Em caso de incidente causado pelo operador, o controlador responde solidariamente (Art. 42, §1º)

Como evitar:

1. Mapear todos os fornecedores que acessam dados pessoais em nome da organização (operadores)
2. Assinar DPA antes de iniciar qualquer compartilhamento de dados — nenhum dado pessoal para fornecedor sem DPA
3. O DPA deve incluir: escopo do tratamento autorizado, medidas de segurança exigidas, prazo de retenção, destino dos dados ao fim do contrato, obrigações de notificação de incidentes, direito de auditoria
4. Revisar DPAs anualmente ou quando o escopo do tratamento mudar
5. Para fornecedores críticos (dados sensíveis, larga escala): exigir evidências de conformidade (ISO 27001, SOC 2, relatórios de auditoria)

---

O custo real dessas falhas

Financeiro

A Resolução CD/ANPD Nº 4/2023 permite sanções de até 2% do faturamento do grupo econômico no Brasil, limitadas a R$ 50 milhões por infração. Além da multa, as atenuantes mostram o que está em jogo:

Situação	Redutor
Cessação espontânea antes de qualquer procedimento	-75%
Programa de governança documentado	-20%
Medidas para mitigar efeitos	-20% ou -10%

Uma organização com multa base de R$ 500.000 que cessa a infração espontaneamente e demonstra programa de governança pode ter redução de até 95% — multa final inferior a R$ 30.000. Sem nenhuma das atenuantes, paga R$ 500.000.

Reputacional

A publicização da infração (Art. 52, V da LGPD) — quando a ANPD decide tornar pública a sanção — é frequentemente mais custosa do que a multa para empresas B2C com marcas fortes.

Operacional

Medidas corretivas determinadas pela ANPD — como notificação individualizada de milhões de titulares (INSS), elaboração compulsória de RIPD (Ministério da Saúde) ou bloqueio de dados — geram custos operacionais significativos e consomem recursos que poderiam ter sido investidos preventivamente.

---

Como usar este ranking

Este ranking não é uma lista de problemas alheios — é um espelho. Para cada falha identificada:

1. Verifique sua organização: Você tem essa falha?
2. Avalie a urgência: Qual o risco real dado seu setor e volume de dados?
3. Implemente a correção: As medidas "Como evitar" são a resposta prática
4. Documente: A evidência da correção é tão importante quanto a correção em si

---

Checklist rápido de prioridades

• Encarregado designado por ato formal e publicado no site com e-mail funcional?
• Base legal documentada para cada atividade no ROPA?
• Plano de resposta a incidentes elaborado e testado?
• Medidas técnicas de segurança adequadas ao risco dos dados tratados?
• ROPA completo, atualizado e revisado nos últimos 12 meses?
• RIPDs elaborados para todos os tratamentos de alto risco?
• Canal do titular testado e funcionando efetivamente?
• Base legal não é apenas "consentimento" para todos os tratamentos?
• Treinamentos realizados e documentados para todos os colaboradores?
• Todos os fornecedores que acessam dados pessoais têm DPA assinado?

---

Conclusão

As 10 falhas listadas neste artigo não são teoria — são o que a ANPD encontrou na prática, documentado em processos sancionatórios públicos e ações de fiscalização reais. O padrão é consistente: as mesmas falhas se repetem, em organizações diferentes, a um custo crescente conforme a ANPD expande sua capacidade de fiscalização.

A boa notícia é que todas as 10 falhas têm solução conhecida. A diferença entre organizações que respondem a fiscalizações com documentação pronta e aquelas que entram em crise é precisamente a escolha de endereçar essas questões agora — antes do ofício chegar.

---

O Confidata centraliza a documentação necessária para corrigir todas as 10 falhas: ROPA, RIPD, gestão de incidentes, canal do titular, contratos com fornecedores e programa de governança — tudo rastreável e pronto para apresentar em uma fiscalização da ANPD. Conheça como podemos apoiar a conformidade da sua organização.