Desde fevereiro de 2026, o cenário de proteção de dados no Brasil mudou de forma definitiva. A publicação da Lei nº 15.352/2026 transformou a Autoridade Nacional de Proteção de Dados (ANPD) em autarquia de natureza especial — o equivalente, em termos práticos, a uma agência reguladora com autonomia funcional, técnica e financeira plena. Para empresários e gestores, isso significa uma coisa: a fase de tolerância acabou.
Durante anos, a ANPD operou em modo predominantemente educativo. Orientava, alertava, publicava guias. Hoje, ela investiga, autua e pune. A primeira multa já foi aplicada — e recaiu sobre uma microempresa. O tamanho da empresa não é mais um escudo. O que protege é a conformidade.
O Que Mudou com a Lei 15.352/2026
Publicada em 25 de fevereiro de 2026, a Lei nº 15.352/2026 alterou a Lei Geral de Proteção de Dados (Lei nº 13.709/2018) em pontos estruturais. A principal mudança foi a consolidação da ANPD como autarquia especial, dotando-a de quadro próprio de servidores — 200 cargos de especialista em regulação de proteção de dados, a serem preenchidos por concurso público — e garantindo-lhe orçamento independente.
Na prática, o órgão deixou de depender da estrutura da Presidência da República para existir e agir. Passou a ter poder real de enforcement: pode instaurar procedimentos administrativos de ofício, intimar empresas, realizar inspeções e aplicar sanções sem necessidade de provocação de terceiros.
Quais São as Sanções Previstas na LGPD
A LGPD prevê um rol de sanções administrativas que a ANPD pode aplicar de forma cumulativa ou isolada, conforme a gravidade da infração:
Advertência com indicação de prazo para adoção de medidas corretivas; multa simples de até 2% do faturamento da pessoa jurídica de direito privado no Brasil, limitada a R$ 50 milhões por infração; multa diária, observado o mesmo teto; publicização da infração após devidamente apurada; bloqueio ou eliminação de dados pessoais; suspensão parcial ou total das atividades de tratamento de dados por até seis meses, prorrogável por igual período; e, nos casos mais graves, proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.
A suspensão de atividades é, provavelmente, a sanção mais temida por empresas cujo modelo de negócio depende do tratamento de dados — o que, em 2026, inclui praticamente todas as empresas digitais, fintechs, clínicas, escritórios e varejistas com e-commerce.
O Que a ANPD Está Fiscalizando em 2026
Com base nas ações fiscalizatórias já iniciadas pela ANPD, os focos prioritários de fiscalização em 2026 incluem: incidentes de segurança com vazamento de dados pessoais; uso de dados para publicidade comportamental sem base legal adequada; tratamento de dados de crianças e adolescentes sem o consentimento dos responsáveis; ausência de política de privacidade ou política inadequada; e falta de resposta a solicitações dos titulares dos dados dentro dos prazos legais.
Não há mais distinção relevante entre grandes corporações e pequenas empresas no radar da ANPD. O critério é a gravidade do descumprimento e o risco gerado aos titulares dos dados — não o porte empresarial.
As Obrigações Centrais da LGPD que Toda Empresa Deve Cumprir
Para estar em conformidade com a LGPD, a empresa precisa, no mínimo, observar os seguintes pontos:
Mapeamento de dados: identificar quais dados pessoais a empresa coleta, armazena, usa e compartilha, e com qual finalidade. Sem esse mapeamento, é impossível garantir conformidade.
Base legal para cada tratamento: todo tratamento de dados precisa se apoiar em uma das hipóteses legais previstas na LGPD (consentimento, execução de contrato, obrigação legal, legítimo interesse, entre outras). Tratar dados sem base legal é infração autônoma.
Nomeação de Encarregado (DPO): embora a Lei 15.352/2026 tenha dispensado microempresas e empresas de pequeno porte da obrigatoriedade de nomear formalmente um Data Protection Officer, a designação de um responsável interno pelo tema é fortemente recomendada para evitar autuações.
Política de privacidade: documento claro, acessível e atualizado, informando aos titulares como seus dados são tratados.
Gestão de incidentes: procedimento interno para identificar, conter e comunicar à ANPD e aos titulares eventuais vazamentos ou acessos não autorizados a dados pessoais.
Responsabilidade Civil: O Risco Além da Multa Administrativa
A sanção administrativa da ANPD não é o único risco jurídico. A LGPD estabelece responsabilidade civil objetiva ou subjetiva — dependendo se o tratamento de dados é realizado por controlador ou operador — pelos danos causados a titulares em razão do descumprimento da lei.
Na prática, isso significa que um único incidente de vazamento de dados pode gerar, simultaneamente: multa administrativa da ANPD, ações individuais de indenização por danos morais e, a depender do setor, demandas coletivas via ação civil pública. O judiciário brasileiro já acumula precedentes de condenações por falhas de segurança da informação — e os valores têm crescido.
O Que Fazer Agora: Diagnóstico Antes da Autuação
A conformidade com a LGPD não é um projeto de TI. É uma questão jurídica, estratégica e de gestão de riscos. O ponto de partida correto é um diagnóstico jurídico da situação atual da empresa: quais dados são tratados, em que condições, com que contratos com fornecedores e parceiros, e quais as exposições existentes.
Esse diagnóstico permite priorizar as ações — da atualização dos contratos com parceiros que tratam dados em nome da empresa à revisão das políticas internas — e documentar o processo de adequação, o que pode ser decisivo para reduzir sanções em caso de autuação.
A ANPD já deixou claro que considerará a boa-fé e o esforço de conformidade como atenuantes na dosimetria das multas. Empresas que nada fizeram não terão essa defesa disponível.
Conclusão
A Lei 15.352/2026 não criou novas obrigações materiais para as empresas — a LGPD já estava em vigor desde 2020. O que mudou foi a capacidade do Estado de exigir seu cumprimento. A ANPD agora tem estrutura, quadro técnico e autonomia para fiscalizar com efetividade.
Para o empresário que ainda não iniciou o processo de adequação, o momento de agir é agora — antes da autuação, não depois. O custo de um programa de conformidade é invariavelmente inferior ao custo de uma sanção, sem contar o dano reputacional que um incidente publicizado pode causar.
Ageu Camargo é advogado (OAB/SP 304.827), mestre em Direito, especialista em Planejamento Patrimonial, Sucessório e Direito Bancário.
Para entender como a LGPD e a Lei 15.352/2026 impactam especificamente o seu negócio, entre em contato pelo WhatsApp (11) 93403-5876 ou pelo e-mail contato@camargoadv.com.br.