Fiscalização da ANPD: Como Funciona e O Que Esperar em 2026

Atualizado em junho de 2026 · Leitura: 13 min

Estrutura da ANPD: Criação, Competência e Poderes

A Autoridade Nacional de Proteção de Dados (ANPD) foi criada pelo Art. 55-A da LGPD, inserido pela Lei nº 13.853/2019, que alterou a redação original da Lei nº 13.709/2018. A estrutura operacional foi definida pelo Decreto nº 10.474/2020, que aprovou a estrutura regimental da ANPD.

A ANPD é órgão da administração pública federal, integrante da Presidência da República, com autonomia técnica e decisória. Seu Conselho Diretor é composto por cinco diretores com mandatos fixos de quatro anos, indicados pelo Presidente da República e aprovados pelo Senado Federal — estrutura que lhe confere independência operacional.

As competências da ANPD incluem (Art. 55-J da LGPD):

  • Elaborar diretrizes e normas de proteção de dados
  • Fiscalizar e aplicar sanções em caso de tratamento irregular
  • Promover o conhecimento da população sobre proteção de dados
  • Estimular a adoção de padrões técnicos
  • Representar o Brasil em organismos internacionais de proteção de dados
  • Editar regulamentos e procedimentos (como a Resolução CD/ANPD nº 1/2021 e a nº 2/2022)

A partir de 2023, a ANPD ganhou natureza de autarquia especial (Lei nº 14.460/2022), ampliando sua autonomia administrativa e financeira e consolidando sua posição como regulador independente — similar à ANS na saúde ou ao Banco Central no sistema financeiro.

Poderes Sancionatórios: O Que a ANPD Pode Fazer (Art. 52-54)

O Art. 52 da LGPD lista as sanções administrativas aplicáveis, em ordem crescente de gravidade:

  1. Advertência (Art. 52 I): com prazo para adoção de medidas corretivas. É a sanção mais leve e geralmente a primeira aplicada em casos de descumprimento sem dano comprovado.
  2. Multa simples (Art. 52 II): de até 2% do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração.
  3. Multa diária (Art. 52 III): com limite total de R$ 50 milhões, aplicada para cada dia de descumprimento. Especialmente relevante quando a empresa não adota medidas corretivas após advertência.
  4. Publicização da infração (Art. 52 IV): divulgação pública do descumprimento após devidamente apurado e confirmado. Representa dano reputacional significativo, especialmente para clínicas que dependem da confiança do paciente.
  5. Bloqueio dos dados pessoais (Art. 52 V): os dados tratados irregularmente ficam bloqueados para uso até a regularização.
  6. Eliminação dos dados pessoais (Art. 52 VI): determinação de exclusão definitiva dos dados tratados irregularmente.
  7. Suspensão parcial do funcionamento do banco de dados (Art. 52 VII): pelo período máximo de 6 meses, prorrogável por igual período.
  8. Suspensão do exercício do tratamento de dados (Art. 52 VIII): pelo período máximo de 6 meses, prorrogável por igual período.
  9. Proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados (Art. 52 IX): a sanção mais grave, que pode impossibilitar o funcionamento normal da empresa.

O Art. 52 §1º lista os critérios para dosimetria da sanção: gravidade e natureza das infrações, boa-fé do infrator, vantagem auferida, condição econômica, reincidência, grau do dano, cooperação com a ANPD, adoção de mecanismos de mitigação e de políticas de boas práticas.

O Art. 54 trata especificamente de microempresas e startups: as sanções devem ser graduadas levando em conta o potencial de dano e a capacidade econômica do infrator. Isso não significa isenção — significa proporcionalidade.

Como Começa uma Investigação da ANPD

Uma investigação pode ter três origens distintas:

1. Reclamação do Titular de Dados

Qualquer pessoa pode registrar reclamação contra uma empresa no canal da ANPD (gov.br). O processo é gratuito e simples. A ANPD triagem as reclamações com base em critérios de prioridade: volume de titulares afetados, sensibilidade dos dados, recorrência do infrator e risco ao titular.

Para clínicas odontológicas, os motivos mais comuns de reclamação incluem: (a) envio de marketing não consentido após o paciente ter solicitado cancelamento; (b) recusa em fornecer cópia do prontuário quando solicitado; (c) compartilhamento de dados com terceiros sem informação prévia; (d) vazamento de dados de pacientes.

2. Investigação de Ofício

A ANPD pode iniciar investigação por iniciativa própria, sem reclamação prévia. Isso ocorre especialmente em setores de alto risco (saúde, educação, finanças) ou quando a ANPD identifica padrões de não-conformidade sistêmica em um setor.

3. Monitoramento e Denúncias Públicas

Notícias sobre vazamentos, publicações em redes sociais sobre práticas irregulares e denúncias de entidades do setor podem disparar uma investigação. A ANPD monitora ativamente o ambiente digital em busca de indícios de tratamento irregular.

O Processo Administrativo Sancionador (PAS): Como Funciona

O PAS é regulado pela Resolução CD/ANPD nº 1/2021 (Regulamento do Processo Administrativo Sancionador). As etapas são:

Fase 1 — Triagem e Avaliação Preliminar

A ANPD avalia se a reclamação ou denúncia é admissível. Verifica competência, tempestividade e se há indícios mínimos de infração. Se não admitida, o reclamante é notificado com fundamentação.

Fase 2 — Investigação Preliminar

Coleta de elementos informativos. A ANPD pode requisitar documentos e informações da empresa investigada. Não há prazo legal fixo, mas a ANPD tem priorizado resolver casos em 6 a 18 meses nessa fase.

Fase 3 — Instauração do PAS

Se há indícios suficientes de infração, a ANPD publica portaria de instauração do PAS. A empresa investigada é notificada e tem prazo (geralmente 15 dias) para apresentar defesa prévia.

Fase 4 — Instrução

Produção de provas: a empresa pode apresentar documentos, laudos técnicos, políticas internas, registros de consentimento. Peritos podem ser convocados. A ANPD pode realizar inspeções.

Fase 5 — Relatório e Decisão de Primeira Instância

O relator apresenta relatório ao Conselho Diretor, que decide. A decisão fundamentada pode: arquivar o caso, aplicar advertência, ou aplicar multa e outras sanções.

Fase 6 — Recurso

Cabe recurso ao próprio Conselho Diretor em nova composição. A Lei nº 14.460/2022 não criou tribunal recursal independente — o recurso é apreciado pela própria ANPD. Após esgotamento da via administrativa, cabe ação judicial.

Prazo estimado total do PAS: entre 12 e 36 meses, dependendo da complexidade do caso e do volume de processos na ANPD. A ANPD está em fase de estruturação e os prazos devem se reduzir com o amadurecimento institucional.

Casos Reais de Atuação da ANPD

Caso Telekall Inboxy (2023) — Primeiro PAS Sancionatório

A ANPD instaurou o primeiro processo administrativo sancionador contra a empresa Telekall Inboxy, que operava serviços de telemarketing. O caso envolveu tratamento de dados pessoais sem base legal adequada e ausência de mecanismo para o titular exercer seus direitos. A ANPD aplicou advertência com prazo para adequação. O caso estabeleceu precedente importante sobre a necessidade de base legal documentada para cada tratamento.

Investigações Setoriais (2023-2024)

A ANPD realizou fiscalização temática no setor de saúde em 2023-2024, verificando práticas de clínicas, hospitais e operadoras de planos de saúde. Os pontos de análise incluíram: existência de políticas de privacidade, mecanismos de consentimento, gestão de incidentes e nomimento de encarregado (DPO).

Casos de Vazamento (2022-2025)

A ANPD recebeu e processou dezenas de notificações de incidentes de segurança, incluindo casos de exposição de dados médicos em sistemas sem autenticação adequada. Em casos de vazamento com dano comprovado a titulares, a ANPD priorizou a investigação mesmo para empresas de pequeno porte.

Acordos de Cessação (Termo de Compromisso)

A partir de 2022, a ANPD passou a aceitar Termos de Compromisso — acordos nos quais a empresa investigada compromete-se a adotar medidas de adequação em troca da suspensão do PAS. Esse instrumento é relevante para pequenas empresas que querem resolver a situação sem litigar.

Como a ANPD Avalia Proporcionalidade para Pequenos Negócios

O Art. 52 §1º, VIII da LGPD determina que a dosimetria considere a "condição econômica do infrator". O Art. 54 reforça: para microempresas (receita bruta anual até R$ 360 mil) e empresas de pequeno porte (até R$ 4,8 milhões), as sanções devem ser graduadas.

Na prática, a ANPD avalia:

  • Boa-fé e cooperação: empresas que colaboram com a investigação, apresentam documentação voluntariamente e adotam medidas corretivas antes da decisão têm sanção reduzida.
  • Adoção de política de boas práticas: ter um programa de conformidade documentado — mesmo que básico — demonstra comprometimento e pode atenuar a sanção.
  • Natureza e extensão do dano: infração sem dano real aos titulares (ex.: política de privacidade desatualizada mas sem vazamento) tende a receber advertência em vez de multa.
  • Reincidência: empresa que descumpriu advertência anterior ou que foi investigada múltiplas vezes tem sanção agravada.
  • Vantagem obtida com a infração: empresa que lucrou com o tratamento irregular (ex.: vendeu dados de pacientes) tem sanção agravada.

Para uma clínica odontológica com faturamento de R$ 500 mil anuais, uma multa de 2% representaria R$ 10 mil. Mais relevante, porém, é o dano reputacional da publicização da infração — especialmente crítico para profissional de saúde que depende da confiança do paciente.

Como Clínicas Devem se Preparar para uma Eventual Fiscalização

Em caso de recebimento de ofício ou notificação da ANPD, a clínica deve:

  1. Não ignorar o prazo: a ANPD define prazos para resposta. O não atendimento configura infração autônoma e pode agravar a situação.
  2. Reunir documentação de conformidade: mapa de dados atualizado, registros de consentimento, política de privacidade, contratos DPA com fornecedores, registros de treinamento da equipe.
  3. Contratar assessoria jurídica especializada: o PAS é um processo formal com consequências jurídicas. Advogado especializado em proteção de dados é essencial para a defesa.
  4. Adotar medidas corretivas imediatamente: demonstrar boa-fé adotando medidas de adequação antes da decisão é fator atenuante explícito na dosimetria.
  5. Avaliar o Termo de Compromisso: se a ANPD oferecer acordo, avaliar com assessoria jurídica se é mais vantajoso do que o litígio até a decisão final.

A melhor defesa, porém, é a prevenção. Uma clínica com mapa de dados atualizado, consentimentos documentados e política de privacidade acessível tem condições de demonstrar conformidade antes que o PAS avance — e a ANPD tem arquivado casos quando o infrator demonstra adequação durante a investigação preliminar.

FAQ — Fiscalização da ANPD

A ANPD pode fiscalizar uma clínica odontológica pequena?

Sim. A LGPD não distingue porte. A ANPD pode iniciar investigação por reclamação de qualquer paciente, de ofício ou por monitoramento. Para microempresas, há previsão de gradação da sanção, mas a obrigação existe independente do tamanho.

Qual o valor das multas aplicadas pela ANPD?

Multa simples de até 2% do faturamento bruto no Brasil, limitada a R$ 50 milhões por infração (Art. 52 II LGPD). A ANPD também pode aplicar multa diária até o mesmo teto global.

Como começa uma investigação?

Por reclamação do titular (qualquer paciente pode registrar), investigação de ofício pela ANPD, ou monitoramento de denúncias públicas. Após triagem, a ANPD instaura o PAS.

A ANPD já aplicou multas a empresas brasileiras?

Sim. O primeiro caso publicizado foi o PAS contra a Telekall Inboxy (2023), com advertência. A ANPD intensificou investigações setoriais em saúde e educação em 2024-2025.

Posso recorrer de uma multa da ANPD?

Sim. O PAS prevê contraditório e ampla defesa. Após a decisão de primeira instância, cabe recurso ao Conselho Diretor. Decisões definitivas podem ser contestadas judicialmente.

Documente Sua Conformidade Antes que a ANPD Bata à Porta

O Consentimento LGPD oferece mapa de dados, registros de consentimento com evidência forense, portal do titular e relatórios de conformidade — a documentação que a ANPD pede numa investigação, gerada automaticamente pela plataforma.

Planos a partir de R$ 79,90/mês. 15 dias grátis, sem cartão de crédito.

Proteger minha clínica agora — 15 dias grátis