A ANPD encerrou a fase educativa.
A partir de agora, fiscalização com multa.
E o número assusta: apenas 4% das empresas brasileiras cumprem todos os requisitos da lei.
As outras 96% estão expostas a multas de até 2% do faturamento anual — além de processos coletivos e, em alguns casos, bloqueio total das operações de dados.
Então, o que precisa estar resolvido?
Primeiro: mapeamento de dados. Parece óbvio, mas a maioria das empresas não sabe responder onde estão os dados pessoais que coleta, quem acessa, por quanto tempo ficam armazenados e com quem são compartilhados. Sem esse mapa, qualquer fiscalização vira risco imediato.
Segundo: base legal documentada. Consentimento é só uma das dez possibilidades. Execução de contrato, obrigação legal, legítimo interesse — cada operação precisa de uma justificativa clara e registrada. A ANPD pergunta. E a empresa que não souber responder já começa em desvantagem.
Terceiro: contratos revisados. Fornecedor, cliente, colaborador — todos os contratos que envolvem dados pessoais precisam de cláusulas específicas de proteção.
A responsabilidade é solidária: se o fornecedor vaza, a empresa responde junto.
Quarto: plano de resposta a incidente. Se acontecer vazamento, a empresa tem 72 horas para comunicar a ANPD e os titulares afetados. Quem não tem processo definido improvisa — e improviso, nesse contexto, gera multa adicional por omissão.
Quinto: DPO definido. Interno ou terceirizado, alguém precisa estar formalmente nomeado como encarregado de dados. E essa pessoa precisa ter autonomia real para questionar decisões que violem a lei.
Sexto: política de privacidade que funcione. Publicar um texto genérico no site e ignorá-lo na operação é exatamente o tipo de incoerência que a ANPD está verificando agora.
A fiscalização intensificada já começou. Vinte grandes empresas foram notificadas no último ciclo. Médias empresas com dados sensíveis — saúde, biometria, pagamentos — estão no radar.
A pergunta deixou de ser “preciso me adequar?” e virou “consigo provar que estou adequado?”