21 entidades rumo à sanção: o que o monitoramento da ANPD revela sobre a sua governança

21 entidades rumo à sanção: o que o monitoramento da ANPD revela sobre a sua governança

A ANPD encaminhou 21 organizações para processo sancionador por silêncio administrativo. O problema não foi técnico: foi de governança.

O ofício que ninguém respondeu

Existe um tipo de risco que não chega com estrondo. Ele chega em um ofício da Agência Nacional de Proteção de Dados (ANPD) solicitando informações sobre a indicação do encarregado pelo tratamento de dados pessoais e sobre o canal de comunicação com os titulares. Um documento aparentemente burocrático, com prazo de resposta, que atravessa a caixa de entrada de alguém, é encaminhado a um departamento, aguarda uma reunião que não acontece e, silenciosamente, vence.

Foi exatamente isso que aconteceu com 21 organizações brasileiras. A ANPD concluiu a primeira fase de dois processos de monitoramento voltados a verificar o cumprimento de obrigações básicas da Lei nº 13.709/2018 (LGPD): a indicação do encarregado, prevista no artigo 41, e a disponibilização de canais de comunicação entre controladores e titulares. Dos 56 agentes de tratamento monitorados (39 órgãos públicos e 17 empresas privadas), 27 cumpriram integralmente as solicitações, 8 seguem com pendências e 21 simplesmente não responderam. O destino desses 21? Encaminhamento direto à Coordenação-Geral de Sanção, para abertura de processos administrativos sancionadores.

Repare no detalhe que muda tudo: essas entidades não foram encaminhadas para sanção por um vazamento de dados, por um incidente de segurança ou por uma denúncia de titular. Foram encaminhadas porque não conseguiram responder à autoridade. O problema não foi técnico; foi de governança.

Por que isso é mais grave do que parece

O monitoramento de encarregados não é um evento isolado. Ele se insere em um movimento estrutural da ANPD, que definiu ao menos 75 atividades de fiscalização para o biênio 2026-2027, com prioridade explícita para os direitos dos titulares, o tratamento de dados pelo Poder Público, a proteção de crianças e adolescentes e a inteligência artificial. A mensagem regulatória é inequívoca: a fase pedagógica terminou e a fase de verificação sistemática começou.

E a verificação sistemática tem uma característica incômoda para organizações desorganizadas: ela não pergunta se você tem boas intenções, pergunta se você consegue provar. O artigo 5º, inciso X, combinado com o artigo 6º, inciso X, da LGPD estabelece a accountability (prestação de contas) como princípio: o agente de tratamento deve demonstrar a adoção de medidas eficazes e capazes de comprovar a observância das normas de proteção de dados.

Quando a ANPD solicita a comprovação da indicação do encarregado, ela está testando três coisas ao mesmo tempo. Primeiro, se a obrigação formal foi cumprida (a Resolução CD/ANPD nº 18/2024, que regulamenta a atuação do encarregado, detalha essas exigências, incluindo a divulgação da identidade e das formas de contato). Segundo, se existe alguém com atribuição clara para receber e tratar comunicações da autoridade. Terceiro, e mais revelador, se a organização possui um circuito interno funcional que faz um ofício regulatório sair da caixa de entrada e virar uma resposta formal dentro do prazo.

As 21 entidades que agora respondem a processos sancionadores falharam no terceiro teste. E esse teste não se passa com um documento assinado às pressas: se passa com estrutura. Comitê de privacidade que se reúne de fato, papéis e responsabilidades definidos, indicadores acompanhados, evidências arquivadas e um encarregado que não está sozinho segurando a conformidade inteira com planilhas dispersas.

Há ainda um agravante financeiro e reputacional. As sanções do artigo 52 da LGPD vão de advertência a multa de até 2% do faturamento, limitada a R$ 50 milhões por infração, passando por publicização da infração, bloqueio e eliminação de dados. Para órgãos públicos, o dano reputacional e o controle externo pesam tanto quanto a multa pesaria para uma empresa. E processos sancionadores abertos por silêncio administrativo são os mais difíceis de defender: não existe tese jurídica elegante para justificar a ausência de resposta.

Como o módulo Governança do PROTEGON resolve

A raiz do problema exposto pelo monitoramento da ANPD não é a falta de encarregado no papel; é a falta de um sistema que sustente a atuação dele. O módulo Governança do PROTEGON existe exatamente para transformar a governança de privacidade de um conceito abstrato em uma rotina operacional auditável.

Na prática, o módulo permite:

  • Estruturar o comitê de privacidade com atas, pautas e deliberações registradas, de modo que a existência e o funcionamento da instância de governança sejam demonstráveis perante a ANPD, e não apenas declarados;
  • Definir papéis e responsabilidades formais (encarregado, suplência, pontos focais por área), eliminando a cena clássica do ofício que circula sem dono até o prazo vencer;
  • Acompanhar indicadores de conformidade em painéis que mostram, em tempo real, pendências, prazos regulatórios e o estágio do programa de privacidade em cada frente;
  • Centralizar evidências de accountability, criando o repositório que responde à pergunta central de qualquer fiscalização: “comprove”;
  • Registrar demandas regulatórias e seus encaminhamentos, com trilha de auditoria de quem recebeu, quem tratou e o que foi respondido;
  • Conectar a governança aos demais processos do programa, para que decisões do comitê virem tarefas com responsável e prazo, e não recomendações esquecidas em ata.

Dois módulos complementam esse circuito. O Portal de Privacidade resolve a segunda obrigação verificada pelo monitoramento: a divulgação da identidade e do contato do encarregado e a disponibilização de um canal claro de comunicação com titulares, em página pública e sempre atualizada. E a Gestão de Documentos garante que políticas, atos de designação do encarregado e normativos internos estejam versionados, aprovados e localizáveis em minutos, não em semanas.

Do silêncio administrativo à resposta em 48 horas

O contraste entre os dois grupos do monitoramento da ANPD ilustra bem o “depois”. No grupo que cumpriu integralmente as solicitações estão organizações como OpenAI, Shopee, XP Investimentos e Natura, além de entes públicos como o Detran de São Paulo e a Universidade Federal de Pernambuco. O que essas organizações têm em comum não é sorte: é circuito. O ofício chegou, alguém tinha a atribuição de recebê-lo, as evidências já existiam organizadas e a resposta saiu no prazo.

Organizações que estruturam a governança de privacidade em plataforma relatam uma mudança qualitativa perceptível: demandas regulatórias que antes mobilizavam semanas de reconstrução de histórico passam a ser respondidas com evidências já consolidadas, em poucos dias. O encarregado deixa de ser um coletor de informações dispersas e passa a ser um gestor de um programa mensurável. E a diretoria, que antes só ouvia falar de LGPD quando havia crise, passa a acompanhar indicadores objetivos em comitê.

Essa é a diferença entre ter um encarregado indicado e ter uma governança que funciona. A primeira situação atende ao papel; a segunda atende à fiscalização.

Próximo passo

O monitoramento da ANPD deixou uma lição que vale para todo controlador, público ou privado: a autoridade não vai perguntar se a sua organização leva a LGPD a sério; vai enviar um ofício e cronometrar a resposta. As 21 entidades encaminhadas para sanção descobriram isso da pior forma.

Se um ofício da ANPD chegasse hoje solicitando a comprovação da indicação do seu encarregado, do funcionamento do seu comitê e do canal de comunicação com titulares, sua organização responderia em quantos dias, e com quais evidências? Conheça o módulo Governança do PROTEGON e transforme essa pergunta desconfortável em uma rotina controlada

PROTEGON

Se um ofício da ANPD chegasse hoje, sua organização responderia em quantos dias, e com quais evidências? Conheça o módulo Governança do PROTEGON e transforme essa exposição em rotina controlada

Conheca o modulo Governanca →

Facebook
LinkedIn

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Assine nossa newsletter

AUTOMATIZE SEU PROJETO LGPD

Você está em um processo manual de adequação LGPD? AJUDAMOS VOCÊ.