A ANPD instaurou fiscalização contra 20 grandes empresas, incluindo organizações de saúde, por não terem Encarregado nomeado ou por oferecerem canais de atendimento ao titular que não funcionam. O que parece detalhe de compliance é, na prática, um processo operacional crítico. Quem não controla esse processo está exposto ao art. 52 da LGPD.

A notícia que reabriu uma ferida operacional

Em comunicado oficial, a Autoridade Nacional de Proteção de Dados informou que instaurou fiscalização contra 20 grandes empresas dos setores de tecnologia, telecomunicações, educação, saúde e varejo. O motivo: descumprimento do art. 41 da LGPD, que obriga o controlador a indicar o Encarregado pelo tratamento de dados pessoais e a manter um canal de comunicação adequado, efetivo e acessível ao titular.

A autoridade foi clara: não basta exibir um endereço genérico de e-mail em uma página perdida do rodapé. Se o canal existe no papel, mas não responde, não confirma o pedido, não cumpre prazo e não oferece caminho efetivo para o titular exercer seus direitos de acesso, correção, eliminação e portabilidade, ele é considerado inadequado.

E inadequação, agora, virou objeto de processo administrativo sancionador, com risco do rol completo de sanções do art. 52.

Se você é responsável pela operação de privacidade da sua empresa, a pergunta correta não é “temos um canal?”. É: “esse canal funciona como um processo, com rastreio, prazo, responsável e evidência?”

O que a ANPD chama de canal adequado

Lendo a comunicação da ANPD e cruzando com o Mapa de Temas Prioritários 2026 a 2027, que colocou os direitos dos titulares como tema prioritário, um canal adequado precisa, no mínimo:

1. Estar publicamente visível e em local de fácil acesso, e não escondido no rodapé do site.
2. Permitir identificação do solicitante com segurança, sem criar barreira indevida.
3. Confirmar o recebimento da solicitação em tempo razoável.
4. Cumprir os prazos legais do art. 18 e regulamentos correlatos, em regra de até 15 dias para resposta substantiva.
5. Registrar tudo: quem pediu, o que pediu, quem analisou, quando respondeu, qual foi a decisão e qual a base legal aplicada.
6. Gerar evidência auditável, exportável e apresentável à ANPD em uma eventual fiscalização.

Tudo isso é um processo. Não é uma página estática de política de privacidade. É um fluxo com gatilho de entrada, etapas, prazos, responsáveis, dados de saída e trilha de auditoria.

E todo processo que não é gerenciado, falha.

Por que e-mail genérico e formulário solto não dão conta

A maioria das empresas autuadas tem alguma forma de canal, quase sempre um e-mail compartilhado ou um formulário em página estática. Esses arranjos falham por três motivos previsíveis:

1. Não há fila. Pedidos do titular se misturam a outros e-mails. Sem fila, não há SLA. Sem SLA, não há prazo cumprido.
2. Não há responsável. O e-mail vai para uma caixa coletiva, todo mundo lê, ninguém responde. O Encarregado descobre o pedido quando o titular já reclamou na ANPD.
3. Não há evidência. Quando a fiscalização chega, a empresa não consegue produzir o histórico do caso: quem viu, quando, o que decidiu, com qual base legal.

Diante da ANPD, ausência de evidência equivale a ausência de processo.

O resultado é o que se viu na fiscalização: empresas que achavam que tinham canal e descobriram, no ofício da ANPD, que tinham apenas uma caixa de entrada.

Como o PROTEGON resolve o canal do titular como processo

O PROTEGON foi desenhado exatamente para tratar o atendimento ao titular como o que ele é: um processo crítico de privacidade que precisa rodar todos os dias, sem depender da memória de uma pessoa.

Na prática, o módulo de atendimento ao titular do PROTEGON cobre o fluxo completo:

1. Página pública de solicitação já configurada com a identidade visual da empresa, com identificação segura do titular e tipificação do pedido nas modalidades previstas no art. 18.
2. Fila única com SLA, alertas de prazo e escalonamento automático para o Encarregado quando o relógio acende.
3. Rastreio ponta a ponta: cada solicitação tem identificador único, status, histórico de tratativas, base legal aplicada e decisão final assinada pelo Encarregado.
4. Evidência auditável e exportável em um clique, no formato adequado para apresentação à ANPD em fiscalização.
5. Painel do Encarregado com volume, tipos, tempo médio de resposta e pendências, para que a liderança consiga demonstrar conformidade, e não apenas declará-la.

A diferença é simples: em vez de o Encarregado descobrir que tem um problema porque o titular reclamou na ANPD, ele descobre porque o próprio sistema sinalizou que um prazo está prestes a estourar.

O risco sai do reativo e entra no preventivo.

O custo de continuar com o canal no improviso

Vale registrar a ordem de grandeza. O art. 52 da LGPD prevê multa de até 2% do faturamento da empresa no Brasil, limitada a R$ 50 milhões por infração, além de advertência, publicização da infração, bloqueio e eliminação dos dados pessoais a que se refere a infração e, em casos graves, suspensão parcial ou total da atividade de tratamento.

Isso sem contar o custo reputacional de figurar em lista pública de processos sancionatórios.

Empresas que regularizaram após o ciclo de fiscalização anterior conseguiram fazê-lo justamente porque adotaram canal estruturado e nomearam Encarregado de fato.

As que continuarem improvisando entram no próximo ciclo.

O que fazer ainda esta semana

Se você é DPO, gestor de privacidade ou liderança operacional, três providências cabem antes da sexta-feira:

1. Audite seu canal atual. Faça um pedido-teste e cronometre.
2. Confirme a publicidade do contato do Encarregado no site, aplicativo e políticas.
3. Estruture o processo, não apenas o canal. Defina fila, SLA, responsável, registro e evidência.

Tudo o que não estiver registrado não existe para fins de demonstração de conformidade.