LGPD — A ANPD está fiscalizando.
A semana do dia 22 de junho de 2026 trouxe novos sinais de que a Agência Nacional de Proteção de Dados está em pleno modo de execução, com foco especial em uma das infrações mais fáceis de verificar e mais custosas de ignorar: a ausência de um Encarregado de Dados formalmente nomeado e acessível.
O Encarregado de Dados, mais conhecido pela sigla em inglês DPO (Data Protection Officer), é a figura prevista no artigo 41 da LGPD, responsável por fazer a ponte entre a empresa, os titulares dos dados e a própria ANPD. Não se trata de um cargo opcional reservado a grandes corporações. A lei exige a nomeação de qualquer empresa que trate dados pessoais de forma relevante, e a Resolução CD/ANPD nº 18, de julho de 2024, foi além: detalhou as atribuições do cargo, exigiu formalização por ato escrito e estabeleceu que a identidade e o canal de contato do Encarregado devem ser publicados em local de destaque no site da empresa e reforçou sobre a importância de conferir e comprovar a ausência de conflito de interesse.
A ANPD tem cobrado exatamente isso. Em dezembro de 2024, a Autoridade notificou 20 grandes empresas em uma única operação, entre elas Uber, Serasa, Vivo, TikTok, Telegram e X Corp., justamente por ausência de Encarregado devidamente publicado ou por canal de comunicação que não funcionava na prática. O recado foi direto: não basta nomear alguém internamente. É preciso que o DPO exista, esteja operante e seja acessível a qualquer pessoa que precise acionar a empresa em matéria de dados pessoais.
Esse padrão de fiscalização segue ativo e escalando. Em março de 2026, a ANPD deu mais um passo inédito ao publicar o Edital de Intimação nº 1, a primeira vez na história da Autoridade em que um Encarregado de Dados foi formalmente intimado por edital eletrônico no contexto de um processo sancionador. O caso envolveu um clube de futebol, mas a mensagem é universal: quando a empresa não consegue nem ser contatada pela ANPD por meio do DPO que ela mesma indicou, o problema não é de comunicação. É de governança inexistente. E esse problema, agora, tem nome e número de processo.
Para as empresas, o impacto é financeiro e reputacional ao mesmo tempo. A ausência de DPO pode ser tratada como infração autônoma pela ANPD, o que significa que ela pode gerar uma multa separada, independentemente de qualquer vazamento ou incidente. Somada a outras infrações, a conta pode se multiplicar rapidamente, cada conduta irregular representa uma infração distinta, com multas de até 2% do faturamento e teto de R$ 50 milhões por infração. A publicização da sanção, que também está no rol do artigo 52 da LGPD, agrava ainda mais o custo reputacional.
E se ainda restava alguma dúvida sobre a trajetória da ANPD, a semana trouxe um indicador institucional importante: no dia 24 de junho, o Governo Federal publicou a Portaria MGI nº 5.092/2026 autorizando o primeiro concurso público da história da Agência para seu quadro efetivo. São 50 vagas para o cargo de Especialista em Regulação de Proteção de Dados, com remuneração inicial próxima de R$ 17,7 mil e edital previsto para sair até dezembro deste ano. A carreira foi criada pela Lei nº 15.352/2026, que transformou a ANPD em autarquia de natureza especial com estrutura comparável às demais agências reguladoras federais. Mais especialistas concursados significa mais capacidade técnica para investigar, notificar e sancionar. O ciclo se fecha.
Se o DPO não está nomeado por escrito, não está publicado no site e não tem um canal que realmente funcione, a empresa está exposta, independentemente do setor ou do tamanho. Para quem ainda não deu esse passo, a adequação pode ser feita de forma enxuta, inclusive com a contratação de um DPO externo especializado, o que atende plenamente a lei sem onerar a estrutura interna.
© 2025 - Todos os direitos reservados | FD.law - Gustavo Tonet Fagundes Sociedade Individual de Advocacia
Itajaí - SC
Rua Samuel Heusi
nº 190, sala 701, Centro
CEP 88301-320




(47) 98806-7489


