Como preparar sua organização para uma auditoria da ANPD
Em dezembro de 2024, a ANPD iniciou processos de fiscalização contra 20 grandes empresas — TikTok, Uber, Serasa, Vivo, Telegram, X Corp., Dell, Latam Airlines, Cacau Show e outras — por ausência de Encarregado de Dados ou canal de comunicação com titulares inadequado. Todas ajustaram sua conduta após a notificação.
A fiscalização não avisou com semanas de antecedência. Chegou com prazo curto e exigência imediata de regularização. Organizações que não tinham os documentos e estruturas básicas em ordem tiveram de correr — e quem corre em situação de fiscalização comete mais erros, produz mais evidências desfavoráveis e tende a enfrentar sanções mais severas.
Este guia explica como funciona o processo de fiscalização da ANPD, o que a autoridade verifica e como preparar sua organização antes de receber qualquer notificação.
Como funciona o processo de fiscalização da ANPD
A Resolução CD/ANPD Nº 1, de 28 de outubro de 2021, regulamenta o processo de fiscalização em duas estruturas distintas: o processo de fiscalização (caráter preventivo e orientativo) e o Processo Administrativo Sancionador — PAS (caráter repressivo).
Processo de fiscalização — 3 fases sequenciais
Fase 1 — Monitoramento: A ANPD coleta e analisa informações para avaliar a conformidade dos agentes de tratamento. Inclui análise de dados públicos, comunicações de incidentes recebidas, denúncias e petições de titulares de dados. Em 2022, foram enviados 281 ofícios e 34 avisos; em apenas seis meses de 2023, foram recebidos 496 requerimentos.
Fase 2 — Orientação: A ANPD emite guias, recomendações, ferramentas de autoavaliação e reconhece boas práticas. Essas medidas não constituem sanções — são tentativas de induzir conformidade voluntária.
Fase 3 — Atuação preventiva: A ANPD notifica formalmente o agente com prazo para regularização. Instrumentos: avisos, solicitações de regularização, planos de conformidade. É a última etapa antes do processo repressivo.
Processo Administrativo Sancionador (PAS) — 5 etapas
Se o agente não adota medidas efetivas dentro do prazo da fase preventiva:
- Fase preparatória (instrução preliminar): A Coordenação-Geral de Fiscalização (CGF) pode instaurar investigação preliminar quando as evidências iniciais forem insuficientes para abrir o PAS imediatamente.
- Instauração e instrução: Emissão do auto de infração. O investigado recebe notificação com prazo de 10 dias úteis para apresentar defesa.
- Decisão de primeira instância: A CGF emite decisão fundamentada aplicando as sanções do Art. 52 da LGPD, com base nos critérios da Resolução Nº 4/2023.
- Fase recursal: O autuado pode recorrer ao Conselho Diretor da ANPD no prazo de 10 dias úteis — instância administrativa final.
- Fase de cumprimento: A CGF monitora o cumprimento da decisão.
Sanções possíveis (Art. 52 da LGPD)
- Advertência com prazo para medidas corretivas
- Multa de até 2% do faturamento do grupo econômico no Brasil, limitada a R$ 50 milhões por infração
- Multa diária
- Publicização da infração (tornada pública após apuração)
- Bloqueio dos dados pessoais afetados
- Eliminação dos dados pessoais
Fiscalização reativa vs. fiscalização proativa (temática)
A Resolução CD/ANPD Nº 1/2021 distingue duas origens das ações de fiscalização:
Fiscalização reativa: Iniciada a partir de denúncias (comunicação de infração por qualquer pessoa) e petições/reclamações dos próprios titulares de dados sobre questões não resolvidas pelo controlador. Os casos chegam pelo portal da ANPD e são analisados de forma agregada.
Fiscalização proativa (temática): Planejada e orientada pelo Mapa de Temas Prioritários, publicado bianualmente pela ANPD. Não depende de denúncia — a ANPD seleciona setores e condutas prioritários e fiscaliza independentemente de reclamação. A ação contra as 20 empresas em dezembro de 2024 foi proativa, parte do Mapa 2024-2025.
A agenda de fiscalização: quais setores estão na mira
Mapa de Temas Prioritários 2024-2025
A ANPD publicou em dezembro de 2023 o primeiro Mapa formal com quatro eixos:
- Direitos dos titulares — Foco em Poder Público, plataformas digitais, setor financeiro e telecomunicações. Inclui verificação de canais de comunicação e designação pública do Encarregado.
- Dados de crianças e adolescentes no ambiente digital — Compatibilidade com a LGPD, consentimento parental, verificação de idade em plataformas.
- IA para reconhecimento facial — Sistemas de reconhecimento em locais públicos e estádios com alcance significativo ou envolvendo grupos vulneráveis.
- Raspagem de dados e agregadores — Quatro processos repressivos instaurados entre 2023-2024; ação conjunta planejada com Banco Central, Anatel e Senacom.
Mapa de Temas Prioritários 2026-2027
Publicado em dezembro de 2025, os quatro eixos do novo ciclo são:
- Direitos dos titulares — Dados biométricos, de saúde e financeiros; publicidade direcionada.
- Proteção de crianças e adolescentes — Ganhou importância adicional com a Lei Nº 15.211/2025 (ECA Digital), que atribuiu à ANPD competências específicas. Previsão de 30 ações de fiscalização ao longo do biênio.
- Poder Público — Compartilhamento de dados públicos, biometria em órgãos públicos, governança de dados.
- IA e tecnologias emergentes — Supervisão intensificada sobre sistemas de IA; verificação de Privacy by Design.
Se sua organização opera em qualquer um desses setores ou usa as tecnologias mencionadas, você já está no radar da ANPD.
O que a ANPD verifica: os documentos tipicamente solicitados
Com base nos processos sancionatórios públicos (Telekall, INSS, SEEDF, Ministério da Saúde, Secretaria de Saúde de SC, SAS-PE) e nos poderes formais da Resolução Nº 1/2021, os documentos e informações tipicamente requisitados são:
Governança e conformidade (verificados primeiro)
| Documento | Base legal | Por que a ANPD solicita |
|---|---|---|
| Dados de contato do Encarregado (DPO), publicados no site | Art. 41, §1º LGPD | Infração na Telekall e nas 20 empresas de 2024 |
| Canal de comunicação funcional com titulares | Art. 41, §2º LGPD | Verificado como funcional/efetivo na fiscalização de 2024 |
| Registro das operações de tratamento (ROPA) | Art. 37 LGPD | Infração na Telekall e SEEDF |
| Base legal documentada para cada atividade | Arts. 7º e 11 LGPD | Infração central na Telekall |
| RIPD para tratamentos de alto risco | Art. 38 LGPD | Infração na Telekall e SEEDF; negativa em elaborar foi infração autônoma |
| Programa de Governança em Privacidade | Art. 50 LGPD | Evidência de boas práticas (atenuante) |
Segurança e incidentes
| Documento | Relevância |
|---|---|
| Plano de resposta a incidentes | Verificado em múltiplos casos |
| Registros de incidentes (mesmo os não comunicados) | Obrigação de 5 anos — Resolução Nº 15/2024 |
| Comprovantes de comunicação à ANPD e a titulares | Infração mais sancionada: ausente em 7 dos 9 primeiros processos |
| Medidas técnicas de segurança implementadas | Art. 46 — verificado em casos com incidentes |
Contratos e terceiros
| Documento | Relevância |
|---|---|
| Contratos com operadores e DPAs | Evidência de fiscalização do controlador sobre operadores (Art. 39) |
| Políticas internas de privacidade | Parte do Programa de Governança |
| Registros de treinamentos realizados | Evidência de boas práticas |
A ANPD avisa com antecedência?
Regra geral: sim, há notificação prévia. A Resolução Nº 1/2021 prevê que o agente regulado pode acompanhar a auditoria da ANPD, e a comunicação ocorre preferencialmente por meios eletrônicos.
Exceções expressas: A notificação prévia pode ser dispensada quando:
- For incompatível com a natureza da apuração (situações que exigem elemento surpresa para preservar evidências)
- O sigilo for necessário para garantir a eficácia da ação
Na prática: Antes de instaurar o PAS, a ANPD geralmente envia um aviso formal com prazo para resposta e regularização. Esse aviso é, na maioria dos casos, a última oportunidade de corrigir a situação antes do processo repressivo.
O que isso significa: ter a documentação pronta antes do aviso é o que diferencia uma organização que responde em horas de uma que responde em semanas — ou não consegue responder.
Como preparar: as 7 áreas essenciais
1. Encarregado publicado e funcional
Verifique se:
- O nome ou a razão social do Encarregado está publicado no site de forma clara e de fácil acesso
- O e-mail de contato funciona (envie uma mensagem de teste)
- O Encarregado tem autonomia real e acesso aos sistemas necessários (Resolução Nº 18/2024)
- O acúmulo de funções não gera conflito de interesses (verificado na Resolução Nº 18/2024)
2. ROPA completo e atualizado
O Registro das Operações de Tratamento (Art. 37) deve cobrir:
- Todas as atividades de tratamento de dados pessoais da organização
- Base legal documentada para cada atividade
- Categorias de dados, titulares, operadores envolvidos, prazos de retenção
- Revisão periódica (recomendado: mínimo anual)
3. RIPD para atividades de alto risco
Elabore proativamente o Relatório de Impacto (Art. 38) para atividades que envolvam:
- Dados sensíveis (saúde, biometria, racial, etc.)
- Dados de crianças e adolescentes
- Decisões automatizadas
- Tecnologias emergentes (IA, reconhecimento facial)
- Tratamento em larga escala
4. Canal do titular efetivo
A ANPD verificou em dezembro de 2024 que ter o canal publicado não basta — ele precisa funcionar. Teste seu canal periodicamente: envie uma solicitação como titular e veja se recebe resposta no prazo adequado (até 15 dias para confirmação de existência e acesso, conforme Art. 19 da LGPD).
5. Plano de resposta a incidentes e registros
- Plano formal, testado, com equipe designada
- Registro de todos os incidentes (inclusive os não comunicados) por pelo menos 5 anos (Resolução Nº 15/2024)
- Comprovantes de comunicações enviadas à ANPD e a titulares
6. Programa de governança documentado
O Art. 50 prevê que o controlador pode demonstrar conformidade por meio de um Programa de Governança em Privacidade. Este documento é importante não apenas como evidência de boas práticas — é a base da principal atenuante (20% de redução, conforme Resolução Nº 4/2023).
7. Contratos com operadores (DPAs)
Contratos com todos os fornecedores que tratam dados pessoais em nome da organização devem conter cláusulas de proteção de dados. Ausência de DPA pode configurar descumprimento do dever de fiscalização do Art. 39.
Consequências de não responder à ANPD
A não resposta ou resposta tardia a um ofício da ANPD tem consequências progressivas:
- Agravante no PAS: Constitui circunstância agravante conforme a Resolução Nº 4/2023, aumentando o valor da sanção.
- A ANPD não é impedida de investigar: Mesmo sem cooperação, a autoridade tem poderes para requisitar acesso irrestrito a documentos, sistemas e instalações.
- Perda da atenuante de cessação: Demonstrar cooperação e atitude colaborativa é fator atenuante. Não responder elimina essa redução.
- Escalonamento: Ausência de resposta ao aviso preventivo resulta na instauração formal do PAS.
As atenuantes financeiras: quanto você pode reduzir
A Resolução CD/ANPD Nº 4/2023 estabelece redutores que podem diminuir substancialmente o valor das sanções:
| Atenuante | Redução |
|---|---|
| Cessação da infração antes de qualquer procedimento da ANPD | 75% |
| Cessação após procedimento preparatório e antes do PAS | 50% |
| Cessação após instauração do PAS e antes da 1ª decisão | 30% |
| Programa de boas práticas e governança implementado | 20% |
| Medidas para reverter ou mitigar efeitos da infração | 20% ou 10% |
Exemplo prático: Uma organização com multa base calculada em R$ 500.000 que cessa a infração espontaneamente e demonstra programa de governança pode ter redução de até 95% (75% + 20%) — multa final inferior a R$ 30.000.
Os agravantes existem na direção oposta: descumprir medidas orientativas ou corretivas da ANPD acrescenta percentuais significativos sobre a base calculada, conforme os critérios de agravamento previstos na Resolução Nº 4/2023.
Checklist de preparação para fiscalização da ANPD
Use esta lista para verificar a prontidão da sua organização:
Governança:
- Encarregado designado por ato formal e publicado no site com dados de contato funcionais?
- Canal do titular testado e funcionando efetivamente?
- Programa de Governança em Privacidade documentado?
Documentação:
- ROPA completo, atualizado e com base legal registrada para cada atividade?
- RIPD elaborado para todas as atividades de alto risco?
- Contratos com operadores e DPAs assinados e vigentes?
Incidentes:
- Plano de resposta a incidentes documentado e testado?
- Registro de todos os incidentes (mínimo 5 anos)?
- Comprovantes de comunicações enviadas à ANPD e a titulares?
Treinamento:
- Registros de treinamentos de colaboradores em proteção de dados?
- Evidências documentadas de conscientização?
Atendimento à ANPD:
- Processo definido para responder a ofícios da ANPD em até 10 dias úteis?
- DPO capacitado para interagir com a ANPD como interlocutor oficial?
Conclusão
A pergunta não é "se" a ANPD vai fiscalizar — é "quando". Com o Mapa de Temas Prioritários 2026-2027 estabelecendo 75 ações de fiscalização no biênio — 30 para direitos dos titulares, 30 para crianças e adolescentes, 20 para poder público e 20 para IA —, o risco de fiscalização é real e crescente.
A preparação não começa quando o ofício chega — começa agora, com a documentação em ordem, o canal do titular funcionando e o Programa de Governança construído. Organizações que constroem conformidade estruturalmente respondem a auditorias em horas. As que não constroem respondem em semanas — e costumam sair muito mais caras do processo.
A Confidata é uma plataforma de gestão de privacidade que centraliza toda a documentação necessária para uma resposta rápida à ANPD: inventário de dados, RIPD, gestão de incidentes, canal do titular e relatórios de conformidade — tudo rastreável e pronto para apresentar em uma fiscalização.
Artigos relacionados
Quer ir além? Conheça o Confidata
Sistema completo de gestão de conformidade LGPD com IA integrada para acelerar seu programa de privacidade.