Como documentar evidências de conformidade LGPD para a ANPD
O princípio do accountability — responsabilização e prestação de contas — está no Art. 6°, X da LGPD. É um princípio ativo, não passivo: não basta ser conforme, é preciso demonstrar conformidade. E demonstrar, no contexto de uma fiscalização da ANPD, significa ter documentação organizada, atualizada e pronta para apresentação.
A análise dos casos já julgados pela ANPD revela um padrão: as organizações que passam por processo sancionador raramente foram pegas em flagrante de violação grosseira. Com mais frequência, foram penalizadas por não conseguir demonstrar que tinham as estruturas adequadas. O problema não era apenas o que faziam — era o que não podiam comprovar.
Este guia apresenta o que a ANPD efetivamente solicita, como organizar as evidências em cinco grupos documentais e como esse investimento reduz sanções quando algo der errado.
O que a ANPD realmente pede em fiscalizações
A análise dos casos públicos da ANPD revela quais documentos e evidências são consistentemente solicitados nos processos administrativos:
O que foi exigido — casos documentados
Caso Telekall Infoservice (julho 2023 — primeira multa ao setor privado): A ANPD solicitou: (1) identificação e contato do Encarregado (DPO); (2) origem dos dados utilizados para disparos no WhatsApp; (3) metodologia de coleta e formação do banco de dados; (4) tipos de dados disponíveis; (5) quantidade de registros em posse da empresa.
As infrações constatadas foram ausência de base legal documentada, ausência de ROPA e ausência de Encarregado formalmente designado.
Caso SEEDF — Secretaria de Educação do DF (janeiro 2024): As infrações incluíram: (1) ausência de registros de operações de tratamento (ROPA); (2) omissão em elaborar RIPD após solicitação da ANPD; (3) não comunicação de incidente de segurança aos titulares; (4) uso de sistemas sem medidas de segurança adequadas (Google Forms para coleta de dados sensíveis).
Caso INSS (2024): A infração central foi a não comunicação a titulares de incidente de segurança que expôs dados de dezenas de milhões de registros. A ANPD rejeitou a alegação de que a notificação individual era tecnicamente inviável e aplicou publicização da infração — exigindo comunicação ampla por 60 dias no site e no aplicativo Meu INSS.
Caso Ministério da Saúde (novembro 2024): Infrações: (1) ausência de Encarregado designado antes da abertura do processo; (2) não apresentação de dois RIPDs solicitados pela ANPD.
Padrão identificado: A ANPD verifica, de forma consistente em todos os casos, os seguintes documentos:
- Ato formal de designação do Encarregado de Dados (DPO)
- Registro de Atividades de Tratamento (ROPA) — Art. 37 da LGPD
- RIPD/DPIA para tratamentos de alto risco — quando solicitado (Art. 38)
- Registros de notificação de incidentes de segurança — Art. 48 da LGPD
- Medidas técnicas de segurança implementadas e documentadas — Art. 46
Por que o ônus da prova recai sobre o controlador
O princípio do accountability (Art. 6°, X da LGPD) não apenas exige que o controlador seja responsável — exige que ele demonstre essa responsabilidade. Na prática dos processos administrativos da ANPD, o controlador que não apresenta documentação adequada assume o ônus de provar conformidade sem evidências.
O Art. 8°, §2° da LGPD é explícito para o consentimento: "O ônus da prova de que o consentimento foi obtido em conformidade com o disposto nesta Lei caberá ao controlador." Esse mesmo princípio, por lógica do accountability, estende-se às demais bases legais e às medidas de segurança.
Em termos práticos: a ANPD não precisa provar que você não estava conforme — você precisa provar que estava.
Como a documentação reduz sanções: a dosimetria
A Resolução CD/ANPD nº 4/2023 — o Regulamento de Dosimetria — traduz em percentuais concretos o valor da documentação de conformidade:
| Circunstância atenuante | Redução |
|---|---|
| Implementação de política de boas práticas e governança (demonstrada) | 20% |
| Adoção de mecanismos internos para minimizar o dano (demonstrada) | 20% |
| Reversão do dano ou mitigação antes da decisão de 1ª instância | 20% |
| Cooperação e boa-fé demonstrada com a ANPD | 5% |
A palavra-chave é "demonstrada": as atenuantes só se aplicam quando o controlador apresenta evidências documentais de que os mecanismos existem e estão em funcionamento — não são suficientes alegações verbais ou políticas que nunca foram implementadas.
O Art. 52, §1°, VIII e IX da LGPD elenca como critérios de dosimetria: "a adoção reiterada e demonstrada de mecanismos e procedimentos internos capazes de minimizar o dano" e "a adoção de política de boas práticas e governança". A combinação das duas atenuantes pode representar redução de até 40% no valor da multa base.
O Programa de Governança em Privacidade (PGP), formalizado conforme o Art. 50 da LGPD, é a estrutura que organiza e demonstra essas boas práticas. Um PGP bem documentado é o argumento de defesa mais sólido em qualquer processo administrativo.
Os 5 grupos documentais do dossiê de conformidade
Organize as evidências de conformidade LGPD em cinco grupos temáticos, com controle de versão e trilha de auditoria:
Grupo 1 — Políticas e Governança
Documentos que demonstram que a proteção de dados está institucionalizada como política corporativa:
| Documento | Conteúdo | Frequência de revisão |
|---|---|---|
| Política de Privacidade (externa) | Aviso público aos titulares — Art. 9 da LGPD | Ao menos anual ou quando há mudanças relevantes |
| Política de Segurança da Informação | Controles técnicos e organizacionais — Art. 46 | Ao menos anual |
| Política Interna de Proteção de Dados | Procedimentos para colaboradores, sanções internas | Ao menos anual |
| Política de Retenção e Eliminação de Dados | Ciclo de vida dos dados por categoria e prazo legal | Ao menos anual |
| Política de Resposta a Incidentes | Fluxo de detecção, contenção, notificação e pós-incidente | Ao menos anual ou após incidente |
| Programa de Governança em Privacidade (PGP) | Documento-mestre do programa de conformidade — Art. 50 | Ao menos anual |
Evidência crítica: Cada política deve ter data de aprovação, número de versão e assinatura do responsável que aprovou. Versões anteriores devem ser arquivadas com a data de vigência de cada uma.
Grupo 2 — Inventário e Mapeamento de Dados
Documentos que demonstram que a organização conhece o que trata e com que fundamento:
| Documento | Base legal | Frequência de atualização |
|---|---|---|
| ROPA — Registro de Atividades de Tratamento | Art. 37 da LGPD | Contínua (7 gatilhos de atualização) |
| Inventário de dados (mapeamento detalhado) | Art. 37 + Art. 6° (princípio da necessidade) | A cada novo sistema ou processo |
| Data Flow Maps — diagramas de fluxo de dados | Suporte ao ROPA | A cada novo sistema ou processo |
| Registro de bases legais por atividade | Art. 7° e Art. 11 da LGPD | Quando houver mudança de base legal |
| Mapeamento de transferências internacionais | Art. 33 da LGPD + Res. CD/ANPD nº 19/2024 | A cada novo fornecedor internacional |
Evidência crítica: O ROPA deve mostrar a data da última atualização e quem a realizou. Um ROPA com data de criação de anos atrás sem qualquer atualização posterior é evidência negativa — demonstra que o documento existe mas não é gerenciado.
Grupo 3 — Atividades do Encarregado (DPO)
Documentos que demonstram a função ativa do Encarregado como eixo do programa de conformidade:
| Documento | Base legal/normativa |
|---|---|
| Ato formal de designação do Encarregado | Art. 41 + Res. CD/ANPD nº 18/2024 |
| Publicação do contato do Encarregado no site | Art. 41, §1° da LGPD |
| Log de atendimento a titulares (DSARs) | Arts. 18-20 da LGPD |
| Registros de comunicação com a ANPD | Art. 41, §2°, II da LGPD |
| Atas de reuniões do Comitê de Privacidade | Boa prática / Art. 50 |
| Registros de treinamentos conduzidos | Art. 41, §2°, III da LGPD |
| Registros de orientações emitidas a colaboradores | Art. 41, §2°, III da LGPD |
Evidência crítica: A Resolução CD/ANPD nº 18/2024 determina que o ato de designação deve ser "mantido pelo controlador e apresentado à autoridade quando solicitado". Em dois casos julgados em 2024, o Ministério da Saúde foi sancionado parcialmente por ter designado o Encarregado após a abertura do processo — evidenciando que a designação retroativa não é aceita como conformidade.
Grupo 4 — Avaliações de Impacto e Segurança
Documentos que demonstram que a organização avalia riscos antes de iniciar tratamentos de alto risco:
| Documento | Base legal |
|---|---|
| RIPDs elaborados (um por tratamento de alto risco) | Art. 38 da LGPD |
| Análises de risco de privacidade (sem atingir o limiar do RIPD) | Art. 50 + boas práticas |
| Relatórios de testes de penetração (pentest) e varredura de vulnerabilidades | Art. 46 da LGPD |
| Evidências de criptografia e pseudonimização implementadas | Art. 46, §1°, I da LGPD |
| Plano de continuidade de negócios — aspectos de privacidade | Art. 46 |
Evidência crítica: O caso SEEDF demonstra que a ANPD sanciona especificamente a omissão em elaborar o RIPD quando solicitado. O RIPD não precisa ser proativamente enviado à ANPD — mas deve existir e estar acessível para apresentação imediata quando solicitado.
Grupo 5 — Registros Operacionais
Documentos que demonstram que o programa de conformidade funciona na prática, não apenas no papel:
| Documento | Conteúdo | Frequência |
|---|---|---|
| Log completo de DSARs | Data, canal, tipo de direito, resposta, prazo — Art. 18 da LGPD | Contínuo |
| Registros de treinamentos de equipe | Lista de presença, conteúdo, data, responsável | Por treinamento |
| Registro de incidentes de segurança (todos, não apenas os comunicados) | Detecção, classificação, ações, comunicação — Art. 48 | Por incidente |
| Comunicações de incidentes à ANPD | Notificação preliminar (3 dias úteis) e complementar (20 dias) — Res. CD/ANPD nº 15/2024 | Por incidente comunicável |
| DPAs assinados com operadores | Contratos de tratamento de dados — Art. 39 da LGPD | Por operador |
| Resultados de due diligence de fornecedores | Avaliação de privacidade antes de contratar | Por fornecedor com acesso a dados pessoais |
| Revisões periódicas do ROPA | Relatório de revisão anual com data e responsável | Ao menos anual |
Evidência crítica: O log de DSARs é a evidência operacional mais frequentemente cobrada. Deve conter, para cada solicitação: data de recebimento, tipo de direito exercido, verificação de identidade realizada, resposta fornecida, data da resposta e — em caso de negativa — fundamentação documentada.
Como organizar o repositório de evidências
Estrutura de pastas recomendada
📁 Dossiê de Conformidade LGPD/
├── 📁 01_Governanca/
│ ├── Política de Privacidade — v3.2 (15/11/2025).pdf
│ ├── Política de Privacidade — HISTÓRICO/
│ │ ├── v3.1 (01/03/2025).pdf
│ │ └── v3.0 (15/08/2024).pdf
│ └── PGP — Programa de Governança em Privacidade (2025).pdf
├── 📁 02_Inventario/
│ ├── ROPA — atualização 12/2025.xlsx
│ └── ROPA — HISTÓRICO/
├── 📁 03_Encarregado/
│ ├── Designação formal DPO — Portaria n° 15/2024.pdf
│ ├── Log_DSARs_2025.xlsx
│ └── Atas_Comitê_Privacidade/
├── 📁 04_Avaliacoes_Impacto/
│ ├── RIPD_Reconhecimento_Facial_Acesso.pdf
│ └── RIPD_Scoring_Credito.pdf
└── 📁 05_Registros_Operacionais/
├── Registro_Incidentes_2025.xlsx
├── DPAs_Fornecedores/
└── Treinamentos_Equipe/
Controle de versão obrigatório
Para cada documento, registre:
- Data de criação
- Data de última atualização e responsável pela atualização
- Data de próxima revisão prevista
- Histórico de versões arquivado e acessível
Acesso controlado e trilha de auditoria
O repositório de evidências deve ter:
- Acesso restrito ao DPO e responsáveis de privacidade (não "todo mundo acessa")
- Log de acesso ao repositório (quem consultou, quando)
- Backup em local separado do sistema principal
Quanto tempo guardar as evidências
A LGPD não estabelece um prazo único de retenção de documentos de conformidade. As melhores práticas do mercado, ancoradas nos prazos de prescrição civil, recomendam:
| Tipo de documento | Prazo de guarda recomendado |
|---|---|
| ROPA e mapeamentos | Enquanto o tratamento existir + 5 anos |
| DPAs / contratos com operadores | Vigência do contrato + 5 anos |
| Registros de incidentes e comunicações à ANPD | Indefinido (documentação regulatória) |
| Log de DSARs (atendimento a titulares) | 5 anos |
| Registros de treinamentos | Enquanto o colaborador estiver + 5 anos |
| RIPDs | Enquanto o tratamento de alto risco existir + 5 anos |
| Políticas (versões anteriores) | 5 anos após substituição |
A base para o prazo de 5 anos é a prescrição geral de pretensão de reparação civil (Art. 206, §5°, I do Código Civil). Para comunicações à ANPD, o prazo de guarda deve ser permanente, pois se trata de documentação em processo regulatório que pode ser retomado.
O que não se documenta, não conta
Quatro situações frequentes onde a falta de evidência agrava a posição do controlador:
1. Treinamento realizado sem registro: O colaborador foi treinado, mas não há lista de presença, certificado ou data documentada. Para a ANPD, o treinamento não aconteceu.
2. Revisão do ROPA feita informalmente: A equipe discutiu o ROPA numa reunião mas não gerou ata ou relatório de revisão. O ROPA aparece desatualizado na documentação.
3. RIPD elaborado mas não versionado: O RIPD foi feito mas sem número de versão ou data de aprovação do DPO. Em um processo, não há como demonstrar quando foi feito ou se precede o incidente investigado.
4. Comunicação de incidente à ANPD sem cópia arquivada: A comunicação foi enviada, mas não há registro interno com data de envio, protocolo e conteúdo. Se a ANPD questionar o prazo, a organização não consegue comprovar o cumprimento.
Checklist do dossiê de conformidade
Grupo 1 — Políticas e Governança
- Política de Privacidade publicada e atualizada (com data e versão)?
- Política Interna de Proteção de Dados aprovada pela direção?
- PGP (Programa de Governança em Privacidade) formalizado — Art. 50 LGPD?
- Versões anteriores das políticas arquivadas com data de vigência?
Grupo 2 — Inventário e Mapeamento
- ROPA completo, atualizado e com histórico de revisões?
- Bases legais documentadas por atividade de tratamento?
- Transferências internacionais mapeadas com salvaguardas documentadas?
Grupo 3 — Encarregado (DPO)
- Ato formal de designação do Encarregado existente e arquivado?
- Contato do Encarregado publicado em local de destaque no site?
- Log de DSARs mantido com todos os campos obrigatórios?
- Atas de reuniões do Comitê de Privacidade arquivadas?
Grupo 4 — Avaliações de Impacto
- RIPD elaborado para todos os tratamentos de alto risco identificados?
- Parecer formal do DPO sobre cada RIPD documentado?
- Relatórios de pentest e varredura de vulnerabilidades arquivados?
Grupo 5 — Registros Operacionais
- Registros de todos os incidentes (não apenas os comunicados à ANPD)?
- Cópia das comunicações de incidentes à ANPD com data e protocolo?
- DPAs assinados com todos os fornecedores que acessam dados pessoais?
- Registros de treinamentos com lista de presença e data?
- Relatório de revisão anual do ROPA documentado?
Organização
- Repositório centralizado com acesso controlado?
- Controle de versão com histórico de cada documento?
- Backup em local separado do sistema principal?
- DPO sabe onde estão todas as evidências e consegue apresentá-las em até 24h?
Conclusão
O dossiê de conformidade LGPD não é um arquivo para ficar na gaveta. É a demonstração material de que o programa de privacidade existe, funciona e evolui — o que a ANPD chama de accountability. Organizações com documentação bem organizada têm duas vantagens concretas: ficam em posição de defesa muito mais sólida em fiscalizações e qualificam para as atenuantes de dosimetria que podem reduzir sanções em até 40%.
O princípio é simples: documente hoje o que você não conseguirá recriar depois de uma notificação. A evidência que protege é a que existe antes do problema, não a que se tenta reunir às pressas após a fiscalização chegar.
O Confidata centraliza todos os documentos e evidências do seu programa de conformidade LGPD em um repositório integrado com controle de versão automático, trilha de auditoria e alertas de prazo de revisão — pronto para apresentar à ANPD quando necessário.
Artigos relacionados
Quer ir além? Conheça o Confidata
Sistema completo de gestão de conformidade LGPD com IA integrada para acelerar seu programa de privacidade.