Como ANPD impacta a TI da sua empresa

O que é a ANPD e por que ela mudou o jogo para a TI brasileira

A Autoridade Nacional de Proteção de Dados (ANPD) é o órgão federal responsável por fiscalizar, regulamentar e aplicar sanções relacionadas à Lei Geral de Proteção de Dados (LGPD — Lei nº 13.709/2018). Criada pela Medida Provisória 869/2018 e consolidada como autarquia de natureza especial em 2022, a ANPD deixou de ser uma figura abstrata no organograma governamental e assumiu protagonismo efetivo: desde 2023, multas milionárias, notificações de incidentes e auditorias regulatórias passaram a ser rotina para empresas brasileiras de todos os portes.

Para a área de TI, essa mudança é sísmica. Se antes o departamento era cobrado apenas por uptime, backup e chamados de suporte, hoje ele carrega uma responsabilidade jurídica direta: cada servidor mal configurado, cada permissão excessiva e cada log ausente pode se transformar em evidência contra a empresa em um processo administrativo. A ANPD não pune apenas quem vaza dados — pune quem não consegue provar que fez o dever de casa.

O impacto prático é que a TI deixou de ser uma função de suporte e passou a ser peça central de compliance. Segurança da informação, gestão de identidades, criptografia, registro de atividades de tratamento (ROPA) e resposta a incidentes deixaram de ser "boas práticas" para se tornarem obrigações mensuráveis, auditáveis e sujeitas a multa de até 2% do faturamento, limitadas a R$ 50 milhões por infração.

As exigências técnicas que a ANPD cobra da sua infraestrutura

A LGPD, regulamentada pela ANPD, não traz um checklist técnico explícito — e é justamente aí que muitas empresas tropeçam. O artigo 46 exige "medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais". A ANPD, por meio de guias orientativos e resoluções (como a Resolução CD/ANPD nº 2/2022 sobre agentes de tratamento de pequeno porte e a Resolução nº 15/2024 sobre transferência internacional), traduz essa exigência em controles concretos.

Na prática, a TI precisa implementar e documentar, no mínimo:

• Controle de acesso baseado em função (RBAC): nenhum colaborador deve ter acesso a dados pessoais além do estritamente necessário para sua atividade.
• Autenticação multifator (MFA): obrigatória para acessos administrativos, VPN e sistemas que tratam dados sensíveis.
• Criptografia em repouso e em trânsito: bancos de dados com TDE ou equivalente, tráfego TLS 1.2+ em todas as integrações.
• Logs de auditoria imutáveis: registro de quem acessou, quando e o quê, com retenção mínima de 6 meses e idealmente 12-24 meses.
• Backup testado e segregado: cópias offline ou imutáveis (WORM) que resistam a ransomware e permitam recuperação em tempo hábil.
• Plano de resposta a incidentes (IRP): com papéis definidos, fluxo de comunicação ao encarregado (DPO) e gatilhos para notificação à ANPD em até 48 horas (prazo que vem sendo consolidado na jurisprudência administrativa).
• Gestão de vulnerabilidades: varreduras periódicas, patch management e pentests anuais, especialmente em sistemas expostos à internet.

O ponto cego mais comum é achar que "ter antivírus e firewall" resolve. A ANPD, nas sanções já aplicadas contra empresas como a Telekall Infoservice (multa de R$ 14 mil em 2023) e em processos posteriores contra instituições financeiras e marketplaces, deixou claro: o que pesa na dosimetria não é só o incidente em si, mas a ausência de controles prévios documentados e a demora na notificação.

Como se preparar para uma fiscalização da ANPD

A ANPD pode agir de três formas: por denúncia de titular (qualquer cidadão pode acionar o órgão via Fala.BR), por ofício (fiscalização própria com base em indicadores de risco) ou por cooperação com outros órgãos (Procon, MPF, CADE). Em qualquer cenário, a empresa recebe uma notificação com prazo — geralmente 10 a 15 dias úteis — para apresentar documentos e evidências.

"A ausência de registro de operações de tratamento é, por si só, indício de descumprimento. A empresa que não consegue demonstrar o que faz com os dados presume-se tratá-los de forma inadequada." — trecho extraído de guia orientativo publicado pela ANPD em 2023 sobre agentes de tratamento.

O que a fiscalização pede, tipicamente:

1. Registro de Operações de Tratamento (ROPA) atualizado, conforme art. 37 da LGPD.
2. Relatório de Impacto à Proteção de Dados Pessoais (RIPD), quando aplicável.
3. Política de Privacidade publicada, versionada e acessível.
4. Contratos com operadores (cloud, SaaS, terceirizados) contendo cláusulas específicas de proteção de dados.
5. Evidências técnicas: prints de configurações de segurança, relatórios de pentest, logs de acesso, comprovação de treinamento da equipe.
6. Nomeação formal do Encarregado (DPO) e canal de atendimento ao titular.

Empresas que montam esse dossiê de forma proativa, antes de qualquer fiscalização, reduzem drasticamente o risco de multa — a ANPD tem aplicado o princípio da boa-fé regulatória, atenuando penalidades para quem demonstra esforço genuíno de adequação. Já quem improvisa documentação no prazo da notificação costuma ser enquadrado em má-fé.

O custo de não se adequar: multas, incidentes e reputação

As sanções administrativas da LGPD vão muito além da multa financeira. O artigo 52 prevê advertência, multa simples (até 2% do faturamento, limitada a R$ 50 milhões), multa diária, publicização da infração, bloqueio e eliminação dos dados pessoais, suspensão parcial do banco de dados e até proibição total de atividade de tratamento. Ou seja: a ANPD pode, literalmente, parar sua operação.

Além das sanções administrativas, há o custo indireto que assusta mais que a multa: a exposição reputacional. Quando um vazamento vira notícia, a empresa perde clientes, contratos B2B são rescindidos (muitos já têm cláusulas de rescisão por incidente LGPD) e o custo de aquisição de novos clientes sobe. Estudos da IBM (Cost of a Data Breach Report 2024) apontam custo médio global de US$ 4,88 milhões por incidente — no Brasil, R$ 6,75 milhões em média.

Há ainda a esfera cível: o titular pode pleitear indenização individual ou coletiva (via ação civil pública do MP ou Defensoria). A jurisprudência dos Tribunais de Justiça estaduais, desde 2021, tem fixado danos morais entre R$ 3 mil e R$ 15 mil por titular afetado — em vazamentos com milhares de registros, o passivo se torna existencial.

• Multa administrativa: até R$ 50 milhões por infração.
• Indenizações cíveis: ações individuais e coletivas com dano moral fixado por titular.
• Perda de contratos: cláusulas de rescisão por incidente em contratos B2B.
• Custo operacional do incidente: forense, notificação, crédito reparatório, overtime da TI.
• Dano reputacional: queda em NPS, churn acelerado, mídia negativa.

Arquitetura de TI compliant: por onde começar

A boa notícia é que adequação à ANPD não exige reconstruir a infraestrutura do zero. Ela exige reorganizar o que já existe sob três pilares: visibilidade, controle e resposta. Visibilidade significa saber onde os dados pessoais estão — mapeamento via descoberta de dados (data discovery) em bancos, file servers, SharePoint, e-mail e endpoints. Controle é aplicar políticas proporcionais ao risco de cada ativo. Resposta é ter processo testado para quando algo der errado.

Uma stack mínima viável para pequenas e médias empresas inclui: Microsoft 365 com Purview (DLP, rótulos de sensibilidade, retenção), Entra ID com Conditional Access e MFA obrigatório, Defender para Endpoint nas estações, backup imutável em nuvem (Azure Backup, Veeam Cloud Connect ou equivalente), SIEM leve para correlacionar logs (Microsoft Sentinel na versão pay-as-you-go funciona bem), e um processo documentado de gestão de incidentes. Para empresas maiores, soma-se CASB, NDR e governança de identidades.

O erro clássico é comprar ferramentas sem processo. Uma licença de Purview sem rótulos configurados é linha no balanço sem retorno em compliance. Por isso a adequação é sempre um projeto conjunto de TI, jurídico e negócio — nunca um checklist de compras.

Como a Duk ajuda sua empresa a se adequar à ANPD

Há 18+ anos ajudando empresas brasileiras a construir infraestruturas seguras e auditáveis, a Duk Informática & Cloud atua como parceiro técnico de adequação à LGPD/ANPD para mais de 550 clientes ativos. Como Microsoft Gold Partner, implementamos a stack de segurança e governança da Microsoft (Entra ID, Purview, Defender, Sentinel) integrada ao ambiente de cada cliente — com data center próprio em Alphaville para quem precisa manter dados em território nacional sob regime de soberania.

Nosso trabalho começa por um diagnóstico técnico de 15 dias: mapeamento de dados, avaliação de controles existentes, gap analysis contra os requisitos da ANPD e um plano de adequação priorizado por risco e custo. A partir daí, conduzimos a implementação com SLA de resposta em 3,7 minutos em horário comercial, suporte 24/7 para incidentes e acompanhamento contínuo do encarregado de dados (DPO) da sua empresa — ou, se preferir, oferecemos DPO as a Service.

Se a sua empresa ainda está no ponto de "sabemos que precisamos fazer algo, mas não sabemos por onde começar", esse é exatamente o cenário em que entramos. Converse com nosso time técnico em uma reunião de 30 minutos, sem compromisso, e receba um mapa claro dos próximos passos.

👉 Fale com um especialista Duk pelo WhatsApp — ou ligue (11) 95702-4493. Proteger dados pessoais é obrigação legal. Fazer isso sem parar a operação é o nosso trabalho.