Em 14 de agosto de 2020, quando a LGPD entrou em vigor, virou modinha corporativa. Workshop de 2 dias, comitê de privacidade no organograma, DPO terceirizado em contrato anual, e caixa marcado. Cinco anos depois, em 2026, a ANPD — Autoridade Nacional de Proteção de Dados — acumula mais de R$ 98 milhões em multas aplicadas desde 2023 e tem agenda regulatória cheia até 2027.
Quem tratou LGPD como projeto pontual de 2020 está descobrindo, tarde, que não era projeto. Era operação contínua.
O que aconteceu de 2023 pra cá: ANPD ganhou dentes
De 2020 a 2022, ANPD viveu período de "adaptação": orientações, recomendações, multas leves de divulgação. A virada começou em 2023, quando a ANPD foi convertida em autarquia de natureza especial pela Lei 14.460/2022 — saiu de "órgão da administração pública direta" pra regulador independente com poder sancionador equivalente ao do Bacen ou da ANS.
Três marcos publicados nos últimos 18 meses concentram o que mudou:
1. Resolução CD/ANPD nº 15 (Regulamento de Notificação de Incidentes)
Antes: empresa tinha que notificar incidente "em prazo razoável". Termo elástico, brigado em juízo. Agora: prazos definidos, conteúdo mínimo padronizado, e canal técnico oficial. Não notificou no prazo, virou agravante. Notificou tarde, virou agravante. Notificou sem o conteúdo mínimo, virou descumprimento.
Tradução prática: organização que tinha "plano de resposta a incidente" no PowerPoint mas nunca ensaiou está descobrindo, no caos do incidente real, que não tem como cumprir o prazo. O custo dessa descoberta é uma multa adicional sobre o incidente original.
2. Regulamento de Cálculo e Aplicação de Sanções
Esse é o que assustou advogado de empresa em outubro de 2023. ANPD publicou fórmula matemática pra cálculo de multa — antes era discricionário, varia entre fiscais. Agora é previsível: base de cálculo (faturamento), ponderação por gravidade (vazamento de dados sensíveis, número de titulares afetados, recorrência), e aplicação de atenuantes (boa-fé, autorregularização) ou agravantes.
O que isso muda? Vira modelagem de risco. Antes você não conseguia provisionar contingência LGPD direito porque a multa era opaca. Agora seu CFO pode calcular: "se vazarmos X dados sensíveis com Y titulares, exposição estimada é R$ Z". E essa conta entra na tomada de decisão de orçamento de segurança.
3. Agenda Regulatória 2025-2026
O documento mais importante da ANPD pra quem é gestor — e o menos lido. Lista 12+ temas com prazo de regulamentação:
- DPIA (Avaliação de Impacto) — vai virar obrigatória em situações que hoje são "recomendadas"
- Tratamento de dados biométricos — face, voz, digital — em sistemas de RH, segurança, atendimento
- Dados de menores e adolescentes — coleta de dados em escolas, plataformas educacionais, EAD
- Inteligência artificial — uso de modelos de IA com dados pessoais (regulamentação em diálogo com PL de IA)
- Tratamento de alto risco — definição formal do que conta como "alto risco" pra fins de LGPD
- Anonimização e pseudonimização — quando dado deixa de ser "dado pessoal"
Cada um desses temas é potencial fonte de obrigação nova nos próximos 18 meses. Empresa que está esperando a regulamentação "sair" pra começar a se mexer vai chegar atrasada.
O equívoco fundamental: tratar LGPD como projeto regulatório, com prazo de início e fim. Não é. É operação contínua que muda de forma a cada 12-18 meses, conforme ANPD amadurece.
As 4 lacunas que aparecem em quase toda fiscalização
De acordo com análise das sanções já aplicadas pela ANPD, há padrão claro do que cai primeiro em fiscalização:
Lacuna 1: ROPA desatualizado
Registro de Operações de Tratamento de Dados (ROPA) é a planilha que mapeia qual dado pessoal a empresa coleta, com qual base legal, por quanto tempo guarda, e com quem compartilha. Em 2020, todo mundo fez. Em 2023, ninguém atualizou. Em 2026, a empresa contratou 2 SaaS novos, mudou de provedor de payroll, abriu canal no WhatsApp Business, e nada disso entrou no ROPA.
Em fiscalização, o ROPA é a primeira coisa pedida. Inconsistência entre o ROPA e a operação real é interpretada como descumprimento — e a fórmula de cálculo de multa pondera por número de operações não-mapeadas.
Lacuna 2: Bases legais inadequadas
LGPD lista 10 bases legais possíveis pra tratar dado pessoal. A maioria das empresas só usa duas: "consentimento" e "execução de contrato". Em geral, mal escolhidas — "consentimento" pra tratamento que deveria ser "interesse legítimo", "execução de contrato" pra dado que sequer é necessário pro contrato.
Auditoria de base legal por finalidade é trabalho técnico chato — e o que pega quase todo mundo. Em geral, requer revisão de privacidade por sistema, por finalidade, por categoria de dado.
Lacuna 3: Direitos do titular sem operação
Empresa tem termo de privacidade dizendo que titular pode "acessar, corrigir, anonimizar, portar, eliminar" os próprios dados. Mas quando vem o pedido — pelo canal indicado no termo — ninguém sabe responder. Ninguém treinou. Sistema não tem botão pra exportar dado individual.
ANPD considera que oferecer direito sem operacionalizar é violação ativa. E direito de titular tem prazo legal pra resposta (15 dias). Falhou no prazo, virou multa.
Lacuna 4: Treinamento de equipe (ou ausência dele)
Em 2020, todos fizeram treinamento de LGPD. Em 2026, 70% da equipe é diferente. Treinamento de adesão (de novo colaborador) ficou pra trás. Treinamento de reciclagem (a cada 12-24 meses) virou "ano que vem".
Em incidente real, vaza dado porque colaborador compartilhou planilha com lista de clientes em grupo de WhatsApp pessoal. ANPD pede comprovante de treinamento do colaborador específico envolvido no incidente. Se não tem, vira agravante grave ("falha de cultura de proteção de dados").
O que muda no plano de 2026-2027
Três decisões concretas pra reavaliar nos próximos 90 dias:
1. Mapear a Agenda Regulatória da ANPD pro seu setor
Não tudo se aplica a você. Hospital tem peso forte em "dados sensíveis" e "DPIA". Escola tem peso em "dados de menores". Empresa de RH com biometria tem peso em "biométricos". Identifica os 2-3 temas mais críticos e segue calendário regulatório da ANPD — em geral, há consulta pública 60-120 dias antes da resolução final.
2. Provisionar contingência financeira de LGPD
Com fórmula de cálculo padronizada, dá pra estimar exposição máxima razoável. Multa pode chegar a 2% do faturamento brasileiro, limitado a R$ 50 milhões por infração. Pra empresa que processa volume razoável de dado pessoal, R$ 200-500k de provisão anual em compliance LGPD não é luxo — é proteção contra exposição muito maior.
3. Tratar incidente como exercício obrigatório, não evento
Empresa que ainda não fez exercício de incidente de proteção de dados nos últimos 12 meses está despreparada pro Regulamento de Notificação. Não é "se um dia rolar" — é "quando rolar". Exercício anual com cenário realista (vazamento via fornecedor, exposição de planilha em S3 público, phishing em colaborador-chave) é o que separa empresa que cumpre prazo de empresa que vira agravante na multa.
O ponto de fundo
LGPD não esfriou — só saiu do hype. Quem tratou como projeto de 2020 está, em 2026, em situação parecida com quem tratou Sarbanes-Oxley em 2002 e voltou a olhar em 2010: descobriu que enquanto não estava prestando atenção, o regulador fez muita coisa.
A boa notícia: ANPD ainda é, em sua maioria, regulador de orientação — sanção pesada vem em casos graves ou recorrentes. A janela pra se autorregularizar antes da primeira fiscalização ainda existe. Mas em 12-18 meses, com a agenda 2025-2026 em vigor, essa janela fecha.
Quem entende isso, para de tratar LGPD como projeto e passa a tratar como operação contínua — com KPIs, ROPA vivo, treinamento vigente e exercício de incidente anual. Quem não entende, vai descobrir tarde — e a fórmula de cálculo de sanção não tem clemência com quem demorou.
Quer aplicar isso na sua organização?
Em 5 minutos, faça um diagnóstico de prontidão e descubra onde sua operação ganha em organização, compliance e gestão.
Diagnóstico de prontidão Falar com a gente