Segurança

LGPD na prática: o que muda no operacional da empresa entre o papel e a fiscalização

Por Maria Augusta Bezerra 13 de maio, 2026 16 min de leitura
LGPD para pequenas empresas — gestor revisando documentos de compliance e proteção de dados em reunião

Uma violação de dados custa, em média, R$ 7,19 milhões às empresas brasileiras — e esse número cresceu 6,5% em relação ao ano anterior (IBM Cost of a Data Breach 2025, julho de 2025). Não é projeção. É o que já aconteceu com empresas reais, com dados reais, entre 2024 e 2025.

A LGPD (Lei nº 13.709/2018) entrou em vigor em setembro de 2020. Nos primeiros anos, a ANPD — Autoridade Nacional de Proteção de Dados — funcionou como educadora. Publicou guias, recebeu relatos, orientou sem punir. Essa fase acabou.

Em 2025, a ANPD é uma agência regulatória ativa: notifica, investiga, sanciona. E o custo de não ter preparado a operação está subindo.

Este artigo explica o que a lei exige no dia a dia — não nos artigos em PDF do advogado, mas no trabalho real de TI, jurídico e gestão. E mostra onde a maioria das empresas ainda tropeça.

Pontos principais

  • Violações custam R$ 7,19 milhões em média no Brasil (IBM, 2025) — saúde chega a R$ 11,43M e financeiro a R$ 8,92M
  • A ANPD notificou 20 grandes empresas em dezembro de 2024 por ausência de DPO e canal de comunicação com titulares
  • 77% das PMEs brasileiras ainda não tomaram nenhuma providência concreta de adequação (Sebrae, 2025)
  • A multa máxima chega a 2% do faturamento, com teto de R$ 50 milhões por infração (LGPD, Art. 52)
  • Empresas com automação extensiva em segurança pagam 26% menos por violação: R$ 6,48M vs. R$ 8,78M (IBM, 2025)

A virada de 2025: como a ANPD deixou de ser educadora

Em julho de 2023, a ANPD aplicou sua primeira multa por descumprimento à LGPD. O alvo foi a Telekall Infoservice, uma microempresa de telemarketing. O valor: R$ 14,4 mil — duas infrações de R$ 7,2 mil cada (ANPD, julho de 2023). Pequeno no valor, enorme no sinal.

Antes disso, a agência tinha passado três anos publicando guias, orientando setores e recebendo comunicações voluntárias de incidentes. A Resolução CD/ANPD nº 1/2021 (Regulamento de Fiscalização) criou o arcabouço legal para investigar e punir. Mas a fiscalização ativa demorou para chegar.

O que mudou em 2025?

A Resolução CD/ANPD nº 4/2023 — o Regulamento de Dosimetria — definiu critérios claros para calcular multas. Com as regras formalizadas, a agência passou a agir com mais consistência e previsibilidade.

Em dezembro de 2024, a ANPD notificou 20 grandes empresas — TikTok, Uber, X (antigo Twitter), Vivo, Telegram, Serasa e Latam Airlines, entre outras — por ausência de Encarregado (DPO) e de canal de comunicação com titulares de dados (ANPD, dezembro de 2024). Esse movimento não foi casual. Foi metodológico: fiscalização temática, setor por setor.

Os dados de notificações de incidentes confirmam a tendência. Em 2021, a ANPD recebeu 186 comunicações de incidentes de segurança (CIS). Em 2023, chegou a 352 — crescimento de 89% em dois anos. No total, foram 1.146 comunicações entre 2021 e 2024 (BL Consultoria Digital / dados ANPD, 2025).

0 100 200 300 2021 2022 2023 2024 186 275 352 333 Incidentes de segurança notificados à ANPD por ano
Fonte: BL Consultoria Digital / dados ANPD, 2025

Dado que muda o argumento: Muitas análises focam na “ameaça de multa administrativa da ANPD”. Mas apenas 1 empresa privada foi multada pela agência entre 2020 e 2024 (a Telekall). O risco real e imediato está no custo operacional de uma violação e nas indenizações civis — não na multa administrativa. O alerta que deveria mover os gestores não é “ANPD vai multar”. É “uma violação vai custar R$ 7,19 milhões”.

A mensagem é clara: o período de tolerância acabou. E os próximos alvos não serão necessariamente pequenas empresas.

O que a lei exige no operacional (e onde as empresas falham)

A LGPD não é difícil de entender — é difícil de implementar. Seus requisitos principais são conhecidos. O problema está na execução: no gap entre o documento aprovado em reunião e o processo que realmente funciona na segunda de manhã.

Grupo diversificado de profissionais em reunião de escritório moderno discutindo estratégia de compliance e proteção de dados corporativos

Segundo a pesquisa Sebrae 2025, 77% das pequenas e médias empresas brasileiras ainda não tomaram nenhuma providência concreta de adequação. Mesmo entre as grandes, apenas 36% se declaram totalmente conformes (Logicalis, 2024). São os números de uma lei com cinco anos de vigência.

O que precisa estar funcionando na prática?

Encarregado (DPO): mais do que um nome no site

O Encarregado de Proteção de Dados — DPO, do inglês Data Protection Officer — é obrigatório para todo controlador de dados, independentemente do porte (LGPD, Art. 41). O nome e o canal de contato devem estar publicados no site. Não ter DPO não é risco futuro — é exatamente a infração que a ANPD puniu em dezembro de 2024 com a notificação às 20 empresas. DPO terceirizado vs. interno: critérios para decidir

Mapeamento de dados: o inventário que a maioria não faz

A empresa precisa saber quais dados pessoais coleta, onde ficam armazenados, quem tem acesso e por quanto tempo são retidos. Esse mapeamento é a base do Relatório de Impacto à Proteção de Dados Pessoais (RIPD) — obrigatório quando o tratamento apresenta alto risco aos titulares (LGPD, Art. 38). RIPD na prática: quem faz, quando faz e como faz

Bases legais: a escolha que define a responsabilidade

A LGPD lista dez hipóteses que autorizam o tratamento de dados (Art. 7º). Consentimento é só uma delas. Usar a base legal errada cria vulnerabilidade operacional mesmo com tudo mais funcionando.

Política de retenção: dados não podem ficar para sempre

Cada categoria de dado precisa de um prazo definido de guarda. Depois desse prazo, os dados são deletados ou anonimizados. Sem essa política, a empresa acumula passivo invisível — dados que deveria excluir mas ainda guarda.

Resposta a incidentes em 72 horas

Quando um incidente de segurança afeta dados pessoais, a LGPD exige comunicação à ANPD e aos titulares em prazo razoável. A Resolução CD/ANPD nº 1/2021 especifica 72 horas como referência. Empresas sem protocolo definido perdem esse prazo sistematicamente — e a perda do prazo agrava a dosimetria da sanção. Resposta à ANPD em 72h: protocolo passo a passo.

De acordo com dados de incidentes da ANPD, 1.146 comunicações de segurança foram registradas entre 2021 e 2024. A maioria veio de empresas que já conheciam a obrigação. As que não conhecem são maioria.

Quais são as cinco maiores armadilhas operacionais da LGPD?

As empresas não descumprem a LGPD por má-fé — descumprem por brechas operacionais que parecem pequenas até deixarem de ser. Aqui estão as cinco mais frequentes.

Painel de LED azul representando infraestrutura tecnológica de segurança digital corporativa e proteção de dados pessoais

Armadilha 1: consentimento como única base legal

Muitas empresas tratam o consentimento como base legal padrão — o “autorizo” no pop-up do site. O problema: consentimento pode ser revogado a qualquer momento (LGPD, Art. 8º, §5º). Para dados de funcionários, fornecedores e processos internos, bases como obrigação legal, execução de contrato ou legítimo interesse são mais adequadas — e muito mais sólidas juridicamente. Bases legais da LGPD: o consentimento não é o que você pensa.

Armadilha 2: DPO simbólico

O cargo existe no organograma. O profissional responde a outros e-mails, não tem acesso aos sistemas, não revisa contratos, não recebe notificações de incidentes. Isso não é conformidade — é aparência de conformidade. A ANPD sabe distinguir os dois durante uma investigação: pede registros de atividade, atas de reunião, evidências de atuação real.

Armadilha 3: política sem inventário de dados

A política de privacidade está publicada. Mas a empresa não sabe quais dados coleta, onde ficam ou quem acessa. A política descreve o que deveria acontecer. O inventário mostra o que realmente acontece. Sem o segundo, o primeiro é só texto.

O que o inventário revela: Empresas que chegam a uma auditoria com política bem escrita mas sem inventário quase sempre descobrem tratamentos que não estavam no documento — integrações com ferramentas de terceiros, backups em nuvem não mapeados, dados em planilhas locais de colaboradores. O inventário é o espelho. A política é a moldura.

Armadilha 4: backup sem governança

Backups contêm dados pessoais. Em muitas empresas, ficam fora da política de retenção — o dado é deletado do sistema principal, mas permanece no backup por anos. Isso cria passivo concreto: dados que a empresa é obrigada a excluir, mas que continuam existindo tecnicamente, em locais que a ANPD pode requisitar.

Armadilha 5: treinamento que não acontece

Todos os colaboradores que tratam dados pessoais precisam entender o básico da LGPD. Na maioria das empresas, o treinamento aconteceu uma vez — na implementação — e nunca mais. Novos contratados não recebem o conteúdo. E o tema muda: regulamentos novos da ANPD exigem atualização contínua do conhecimento interno.

Como a ANPD calcula a multa: anatomia de uma sanção

A Resolução CD/ANPD nº 4/2023 definiu como a agência calcula penalidades, e entender essa lógica tem valor prático. Permite prever o risco real e, principalmente, montar atenuantes antes de uma investigação começar.

O ponto de partida é a gravidade da infração: o tipo de dado afetado, o número de titulares envolvidos, a vantagem obtida pelo infrator e se houve negligência ou dolo. A partir daí, oito fatores ajustam o valor — para cima ou para baixo (Resolução CD/ANPD nº 4/2023):

  1. Gravidade e natureza da infração
  2. Boa-fé do infrator
  3. Vantagem auferida
  4. Condição econômica do infrator
  5. Reincidência — genérica (qualquer infração à LGPD) ou específica (mesma infração repetida)
  6. Grau do dano aos titulares
  7. Cooperação com a investigação
  8. Adoção de políticas e boas práticas antes da infração

O oitavo fator é o mais estratégico para quem ainda está se adequando. Empresas que demonstram programa de governança ativo — com registros, treinamentos documentados, inventário de dados e contratos com operadores revisados — chegam a uma investigação com o atenuante mais relevante do regulamento.

Padrão observado nos casos públicos: Nas sanções publicadas a órgãos públicos entre 2021 e 2024, a cooperação ativa com a investigação e a existência de programa de governança prévia reduziram consistentemente o peso das penalidades. Não eliminam a infração — mas determinam se a punição é proporcional ou máxima.

A reincidência específica é o fator que mais escala o risco. Uma empresa que recebe advertência sem corrigir o problema está, na prática, construindo a base legal para a multa máxima na infração seguinte.

Qual é o custo real de não fazer nada?

R$ 7,19 milhões é a média. Mas “médio” mascara uma dispersão enorme — e os setores com dados mais sensíveis pagam muito mais caro.

Custo médio de violação de dados por setor — Brasil (2025) Saúde R$ 11,43M Financeiro R$ 8,92M Serviços R$ 8,51M Média BR R$ 7,19M R$ 0 R$ 6M R$ 12M
Fonte: IBM Cost of a Data Breach Report 2025 — IBM Newsroom Brasil, 30 jul. 2025. Metodologia: Ponemon Institute, 600 organizações analisadas entre mar. 2024 e fev. 2025.

No setor de saúde, o custo médio chegou a R$ 11,43 milhões. No financeiro, R$ 8,92 milhões. No de serviços, R$ 8,51 milhões. Esses valores cobrem investigação forense, notificação a titulares, resposta a reguladores, honorários jurídicos, perda de negócios e dano reputacional — não só a multa administrativa.

Some a isso o teto legal: multa máxima de 2% do faturamento anual, limitada a R$ 50 milhões por infração (LGPD, Art. 52, II). E a condenação civil: em setembro de 2023, a 29ª Vara Cível de Belo Horizonte condenou uma rede social a R$ 20 milhões por dano moral coletivo, em ação relacionada a vazamento de dados de cerca de 15 milhões de usuários (Migalhas, 2023).

Do outro lado da balança: implementar um programa LGPD para PMEs custa entre R$ 1.900 por mês em assessoria continuada e R$ 50 mil a R$ 150 mil para estruturação completa. O cálculo de ROI é direto.

Por que a maioria ainda posterga? Porque o custo da violação é incerto e futuro. O custo da adequação é certo e imediato. Gestores tendem a procrastinar investimentos cujo retorno é “evitar algo que pode não acontecer”. O IBM 2025 acrescenta ainda: empresas com automação e IA extensiva em segurança pagam, em média, R$ 6,48 milhões por violação — 26% menos do que as que não usam (R$ 8,78 milhões). A tecnologia de proteção amortiza o risco antes do incidente acontecer.

Três profissionais em reunião de negócios com laptop discutindo cronograma e documentação de processo de adequação LGPD corporativa

Por onde começar sem virar refém de consultoria

Adequação à LGPD não exige um projeto de 18 meses e R$ 500 mil de consultoria. Exige método. Há cinco passos que qualquer empresa pode dar imediatamente, sem esperar o projeto “perfeito” ser aprovado.

Passo 1 — Nomear o DPO. Pode ser interno (gestor de TI, advogado com dedicação parcial) ou externo (serviço de DPO as a Service). O que não pode é não existir. Nome e canal de contato vão para o site. Prazo realista: esta semana.

Passo 2 — Fazer o inventário de dados. Listar quais dados pessoais a empresa coleta, de quem (clientes, funcionários, fornecedores), onde ficam armazenados e quem tem acesso. Uma planilha resolve na primeira versão. Prazo: 30 dias.

Passo 3 — Revisar as bases legais. Para cada tipo de dado do inventário, definir qual hipótese do Art. 7º justifica o tratamento. Substituir consentimento por bases mais sólidas onde couber. Prazo: em paralelo com o inventário.

Passo 4 — Criar um protocolo de resposta a incidentes. Definir: quem aciona quem, o que é comunicado à ANPD, o que é comunicado aos titulares, em qual prazo. Um documento de uma página já é infinitamente melhor que nenhum. Prazo: 15 dias.

Passo 5 — Registrar tudo. A ANPD não avalia só o que a empresa faz — avalia o que consegue provar que faz. Atas de reunião, registros de treinamento, logs de acesso, contratos com operadores de dados: tudo documentado.

Quando contratar DPO externo: quando a empresa não tem profissional interno com disponibilidade real e conhecimento técnico mínimo. DPO simbólico cria risco, não resolve.

Quando contratar consultoria: para estruturar o RIPD em operações complexas, adequar contratos com fornecedores e parceiros, e montar programa formal de governança. Não para redigir a política de privacidade do site na fase inicial — isso é custo sem retorno proporcional.

Perguntas frequentes sobre LGPD na prática

DPO é obrigatório para empresas de qualquer porte?

Sim. A LGPD não prevê exceção por porte ou volume de dados tratados (Art. 41). Microempresas podem ter um DPO interno acumulando a função, ou contratar um serviço externo. A ANPD deixou claro em dezembro de 2024, ao notificar 20 grandes empresas, que a exigência vale para todos — e é verificada ativamente.

Qual é o prazo para comunicar um incidente de dados à ANPD?

A Resolução CD/ANPD nº 1/2021 estabelece 72 horas como referência para comunicação de incidentes que possam causar risco ou dano relevante aos titulares. O prazo conta do momento em que a empresa toma conhecimento do incidente — não da data em que ele ocorreu. Empresas sem protocolo definido sistematicamente perdem esse prazo. [INTERNAL-LINK: Resposta à ANPD em 72h: protocolo passo a passo → artigo do cluster]

Consentimento ainda é a base legal mais usada corretamente?

Não. É a mais usada — mas com frequência de forma equivocada. Para relações de trabalho, execução de contratos e cumprimento de obrigações legais, outras bases são mais adequadas e mais sólidas juridicamente. Consentimento pode ser revogado a qualquer momento, criando instabilidade operacional quando usado como base para tratamentos essenciais ao negócio.

Quanto custa implementar um programa LGPD para PMEs?

O intervalo varia conforme porte e complexidade. Assessoria continuada com DPO externo parte de R$ 1.900 por mês. Implementações completas ficam entre R$ 50 mil e R$ 150 mil, conforme levantamento de mercado 2024-2025. O custo médio de uma violação — R$ 7,19 milhões (IBM, 2025) — torna o investimento de adequação financeiramente óbvio para qualquer tamanho de empresa.

A ANPD pode multar diretamente qualquer empresa privada?

Sim. A competência é ampla: empresas de qualquer porte e setor estão sujeitas às sanções do Art. 52 da LGPD, que incluem advertência, multa de até R$ 50 milhões por infração, bloqueio ou eliminação de dados e suspensão parcial do banco de dados. A agência adota fiscalização temática e setorial — o que significa que a notificação pode chegar por setor inteiro.

LGPD não é gasto. É maturidade institucional.

A virada de 2025 não foi surpresa. A ANPD sinalizou por dois anos que a fase de tolerância acabaria. O Regulamento de Dosimetria foi publicado em 2023. As notificações de dezembro de 2024 vieram com nome e CNPJ de empresas conhecidas.

Empresas que chegaram a 2026 com programa de governança ativo têm um ativo invisível: a capacidade de provar conformidade quando precisam. Isso reduz o risco de sanção, reduz o custo de um eventual incidente e, cada vez mais, é uma exigência de clientes corporativos e parceiros internacionais que transferem dados ao Brasil.

Empresas que ainda não começaram têm as mesmas informações que você acabou de ler — e a escolha é mais simples do que parece. O primeiro passo não é um projeto de 18 meses. É nomear o DPO. O resto vem depois.

Fontes primárias consultadas:

Se você quer continuar acompanhando temas como esse, LGPD, segurança de dados e decisões de tecnologia para gestores, assine nossa newsletter. Análises semanais, sem jargão.

Os melhores artigos no seu e-mail.

Curadoria semanal. Sem barulho.

Tags:
Compartilhe:
Maria Augusta Bezerra

Maria Augusta Bezerra

Trabalha com tecnologia há 35 anos, tempo suficiente para entender que a parte mais importante do ofício é não parar de aprender. Acompanhou de perto as transformações que mudaram a forma como lidamos com informação: da chegada da internet comercial ao surgimento da computação em nuvem, da automação de processos à era da inteligência artificial. Cada onda trouxe uma lição, e a Mabex é o espaço onde essas lições viram texto. Aqui, escreve sobre os projetos que conduz, os debates que considera urgentes e as tecnologias que merecem atenção sem promessa milagrosa, com honestidade sobre o que funciona e o que ainda está em construção.

Site do Autor

Você também pode gostar

Damos valor à sua privacidade

Nós e os nossos parceiros armazenamos ou acedemos a informações dos dispositivos, tais como cookies, e processamos dados pessoais, tais como identificadores exclusivos e informações padrão enviadas pelos dispositivos, para as finalidades descritas abaixo. Poderá clicar para consentir o processamento por nossa parte e pela parte dos nossos parceiros para tais finalidades. Em alternativa, poderá clicar para recusar o consentimento, ou aceder a informações mais pormenorizadas e alterar as suas preferências antes de dar consentimento. As suas preferências serão aplicadas apenas a este website.

Cookies estritamente necessários

Estes cookies são necessários para que o website funcione e não podem ser desligados nos nossos sistemas. Normalmente, eles só são configurados em resposta a ações levadas a cabo por si e que correspondem a uma solicitação de serviços, tais como definir as suas preferências de privacidade, iniciar sessão ou preencher formulários. Pode configurar o seu navegador para bloquear ou alertá-lo(a) sobre esses cookies, mas algumas partes do website não funcionarão. Estes cookies não armazenam qualquer informação pessoal identificável.

Cookies de desempenho

Estes cookies permitem-nos contar visitas e fontes de tráfego, para que possamos medir e melhorar o desempenho do nosso website. Eles ajudam-nos a saber quais são as páginas mais e menos populares e a ver como os visitantes se movimentam pelo website. Todas as informações recolhidas por estes cookies são agregadas e, por conseguinte, anónimas. Se não permitir estes cookies, não saberemos quando visitou o nosso site.

Cookies de funcionalidade

Estes cookies permitem que o site forneça uma funcionalidade e personalização melhoradas. Podem ser estabelecidos por nós ou por fornecedores externos cujos serviços adicionámos às nossas páginas. Se não permitir estes cookies algumas destas funcionalidades, ou mesmo todas, podem não atuar corretamente.

Cookies de publicidade

Estes cookies podem ser estabelecidos através do nosso site pelos nossos parceiros de publicidade. Podem ser usados por essas empresas para construir um perfil sobre os seus interesses e mostrar-lhe anúncios relevantes em outros websites. Eles não armazenam diretamente informações pessoais, mas são baseados na identificação exclusiva do seu navegador e dispositivo de internet. Se não permitir estes cookies, terá menos publicidade direcionada.

Visite as nossas páginas de Políticas de privacidade e Termos e condições.

Utilizamos cookies para oferecer melhor experiência, aperfeiçoar o desempenho, analisar como você interage em nosso site e personalizar conteúdo.