ANPD vs. PROCON: a complementaridade na aplicação da LGPD no Brasil

Adequação à LGPD é um pré-requisito para uma operação empresarial responsável
Regulamento de Dosimetria para a LGPD

Outros temas relevantes para você:

Como a ANPD e o PROCON convergem na aplicação da LGPD

A Lei 13.709/2018, popularmente conhecida como Lei Geral de Proteção de Dados (LGPD), deu ao Brasil um marco que equipara o país às legislações de privacidade mais avançadas do mundo. Em 2022, o Congresso transformou a Autoridade Nacional de Proteção de Dados (ANPD) em autarquia de natureza especial, conferindo-lhe autonomia técnica, decisória e financeira para fiscalizar e sancionar agentes de tratamento—com multas que podem chegar a 2% do faturamento, limitadas a R$ 50 milhões por infração. Ou seja, pela LGPD, apenas a ANPD tem o poder de aplicar as penalidades definidas na lei. Ao mesmo tempo, os PROCONs estaduais e municipais continuaram aplicando o Código de Defesa do Consumidor (CDC) sempre que o mau uso das informações pessoais atinge a esfera de direitos do consumidor. Na prática, LGPD e CDC se sobrepõem: enquanto a ANPD concentra-se no ciclo de vida dos dados, os PROCONs punem a consequência comercial dessas práticas. O resultado é um ambiente de dupla fiscalização que obriga as empresas a manter governança sólida—e que produz decisões emblemáticas. Para as empresas, o recado é simples: privacidade e segurança são investimento, não despesa. Ignorar a LGPD em 2025 já não é mais apenas arriscado — é estrategicamente insustentável.

LGPD: Porque vale a pena investir no compliance?

As empresas que investem em privacidade não o fazem apenas por temor à multa. O custo médio de uma violação de dados no Brasil chegou a R$ 6,75 milhões em 2024, segundo o relatório Cost of a Data Breach da IBM

Além do impacto financeiro, a confiança do cliente também despenca: 41% dos consumidores afirmam abandonar marcas após um grande vazamento, de acordo com pesquisas citadas pela ANPD em pareceres recentes.

Mas há também a questão de se desenvolver uma operação responsável: Manter uma operação responsável significa não apenas cumprir integralmente a LGPD e outras normas setoriais, mas também adotar práticas que respeitem o ecossistema de parceiros, fornecedores e consumidores em que a empresa atua.

É compreender que cada dado coletado impacta pessoas, direta ou indiretamente. Ao evidenciar essa postura de governança — com políticas claras, controles técnicos relevantes e processos auditáveis — a organização se posiciona como fornecedora confiável nos rigorosos formulários de qualificação exigidos por grandes clientes, os quais analisam requisitos de privacidade, segurança da informação e sustentabilidade.

Essa mesma disciplina regulatória funciona como passaporte competitivo para o mercado internacional, onde blocos econômicos como União Europeia, Reino Unido e países latino-americanos já alinham suas legislações à GDPR, exigindo transparência e responsabilização (accountability) de todos os elos de sua cadeia de valor. Em síntese, investir em compliance não é custo, mas estratégia para escalar negócios de forma ética, abrir portas para contratos globais e construir relacionamentos duradouros em um mercado cada vez mais atento à responsabilidade corporativa.

A fiscalização da ANPD vem acontecendo

ANPD, pelo que estamos percebendo, está priorizando correção antes da punição em dinheiro, mas já aplica um “cardápio” completo de sanções — especialmente advertências públicas que geram desgaste reputacional.

Em fevereiro de 2024 a ANPD concluiu seus primeiros processos sancionadores, ambos contra órgãos públicos que haviam exposto dados sensíveis de 3.030 menores em formulários on-line. Apesar de não poder aplicar multa pecuniária a entes estatais, a Autoridade impôs quatro advertências: ausência de Registro das Operações de Tratamento, falta de Relatório de Impacto (RIPD), comunicação tardia aos titulares e inexistência de plano de resposta a incidentes. As decisões inauguraram na prática o Regulamento de Dosimetria, deixando claro que falhas de governança — e não apenas grandes vazamentos — já bastam para punição.

A fase seguinte veio com a “operação-relâmpago” de dezembro de 2024: vinte grandes companhias de setores como tecnologia, aviação e varejo foram fiscalizadas por não indicarem um DPO (Encarregado) nem um canal eficaz para titulares. Todas se adequaram até abril de 2025, quando a ANPD encerrou o dossiê, mas avisou que monitorará cada empresa por seis meses e poderá reabrir o caso se surgirem novas queixas.

No mesmo intervalo, a Autoridade abriu processo sancionador contra a Raia Drogasil por uso de reconhecimento facial e construção de perfis de saúde, com ameaça de multa de até R$ 50 milhões caso os ajustes de conduta não sejam adotados.

Juntas, as duas frentes mostram que a fiscalização ganhou escala: primeiro corrige, depois multa — e já mira infrações tanto estruturais quanto de marketing orientado por dados.

A participação do PROCON na conscientização para a adequação à LGPD

Embora os Procons possam exigir explicações, instaurar processos administrativos e aplicar multas sempre que o uso de dados pessoais afete direitos do consumidor—apoiando-se no Código de Defesa do Consumidor— o alcance dessas sanções limita-se à esfera consumerista.

Na prática, os Procons exercem um papel auxiliar e concorrente: podem autuar práticas abusivas ligadas a privacidade, requisitar provas de consentimento ou de base legal e, em casos de maior gravidade, encaminhar informações à ANPD conforme o acordo de cooperação firmado com a Secretaria Nacional do Consumidor (Senacon). Essa articulação evita dupla penalização, mas garante que o titular tenha dois canais de proteção—um voltado ao consumo e outro especificamente à governança de dados.

Em paralelo, os impactos financeiros de um “desrespeito à LGPD” não se esgotam nas multas administrativas da ANPD nem nas autuações dos Procons: qualquer titular que perceba prejuízo à sua vida privada pode demandar reparação na Justiça civil. A jurisprudência do Superior Tribunal de Justiça tem evoluído rapidamente: em outubro de 2024, o tribunal confirmou indenização a uma consumidora que teve seus dados vazados por uma concessionária de energia, consolidando a responsabilização objetiva das empresas em qualquer cenário.

Caso Banco Pan: a LGPD pela porta do Procon

Em abril de 2025, o Procon-SP multou o Banco Pan em R$ 13,5 milhões por ligações de telemarketing a consumidores inscritos no programa “Não Me Ligue”. A infração foi enquadrada no CDC, mas a fundamentação invocou também o direito à privacidade garantido pela LGPD, reforçando que o tratamento de dados para fins de marketing exige base legal e respeito à oposição do titular.

Caso Droga Raia: o papel do PROCON na proteção de dados de consumidores

Em 16 de dezembro de 2024 o Procon-MG, órgão vinculado ao Ministério Público de Minas Gerais, aplicou uma multa de R$ 8,5 milhões à Raia Drogasil (Droga Raia) por exigir o número de CPF dos clientes como condição para concluir a venda de medicamentos e liberar descontos em balcão e caixa. A autuação considerou que a prática viola o princípio da minimização previsto na LGPD, já que o CPF não é indispensável para a transação, além de ferir o Código de Defesa do Consumidor por subordinar benefícios à coleta de dado pessoal sensível que, na prática, permite formar perfis de saúde e alimentar plataformas de publicidade da própria rede. O processo ressaltou ainda a ausência de informação clara sobre a finalidade do dado e a inexistência de alternativa sem cadastro, fatores que ampliaram a gravidade e justificaram o valor milionário da penalidade.

Porque ainda há resistência na implementação da LGPD?

O argumento mais frequente é o “custo de adequação”—equação que só considera tecnologia e esquece processos e cultura. O erro central está em tratar a LGPD como projeto de TI, quando ela é, antes de tudo, reorganização de processos de negócio.

Soluções tecnológicas entram depois, como alicerce de controles já definidos. Adiar o investimento, portanto, significa aceitar riscos que se materializam não só em multas, mas em perda de mercado: muitas cadeias globais exigem comprovação de conformidade contratual antes de assinar qualquer fornecimento.

Outro equívoco recorrente é o de que startups, por serem ágeis, podem “corrigir depois”: o mito ignora que o custo de remediação cresce exponencialmente à medida que a empresa incorpora mais sistemas, terceiros e dados – estudos da IBM indicam que consertar falhas de segurança após o “go-live” pode custar até 30 vezes mais do que preveni-las na fase de design.

Soma-se a isso a noção de que “a lei ainda não pegou”, quando na verdade a ANPD já abriu processos punitivos de alcance nacional e os Procons utilizam a LGPD para majorar penalidades consumeristas, sinalizando que a janela de tolerância se fechou.

Muitos gestores também acreditam que ataques cibernéticos só miram grandes corporações, mas relatórios da Kaspersky e da Microsoft mostram que 60 % dos incidentes registrados em 2024 envolveram PMEs, justamente por terem defesas mais frágeis.

Por fim, persiste a ideia de que o mercado “ainda não exige” conformidade; contudo, cadeias globais de suprimento e fundos de investimento incluem hoje cláusulas de privacidade e ESG nos questionários de due diligence, tornando a adequação requisito de entrada em contratos estratégicos e rodadas de captação. Ignorar esses fatores transfere o custo da prevenção para a emergência — e o preço, financeiro e reputacional, costuma ser fatal para negócios em crescimento.

Cibersegurança: urgência extra para PMEs

O cenário de ameaças reforça a necessidade de ir além do compliance formal. No terceiro trimestre de 2024, o Brasil registrou aumento de 95% nos ciberataques, com 2.766 tentativas semanais por organização.

Pequenas e médias empresas são alvo recorrente: uma em cada três PMEs foi atacada em 2024, e o prejuízo médio por incidente chegou a US$ 250 mil—montante capaz de comprometer seriamente o caixa de negócios menores.

O papel das consultorias especializadas em LGPD

Consultorias que integram processos, tecnologia, cibersegurança e gestão de riscos ajudam a reduzir o ciclo de conformidade em até 40% ao:

  • mapear fluxos de dados e identificar pontos de não-conformidade antes que a fiscalização chegue,
  • implementar controles técnicos alinhados ao regulamento de dosimetria da ANPD,
  • treinar equipes de marketing, TI e jurídico para lidar com o dia a dia de pedidos de titulares,
  • estruturar planos de resposta a incidentes que satisfaçam o prazo de notificação exigido pela LGPD,
  • acompanhar as decisões recentes e processos da ANPD e tratá-los como lições aprendidas e base de conhecimento,
  • implementar uma atuação de DPO-as-a-Service, com equipes multidisciplinares para apoiar em todas as áreas com ações proativas em privacidade e proteção de dados.

Em 2025, a tanto PROCONs como a ANPD deixam claro que privacidade e segurança de dados já não são opcionais, mas sim requisitos de permanência em um mercado cada vez mais digital. A escolha é simples: investir proativamente em governança e cibersegurança ou arcar com o custo (financeiro e reputacional) de ser o próximo caso-teste na jurisprudência brasileira.

Sobre a Macher Tecnologia

A Macher Tecnologia é uma empresa especializada em soluções Digital, focada em privacidade e proteção de dados. No mercado desde 2018, suporta clientes de diferentes indústrias em suas jornadas de conformidade, de forma multidisciplinar e hands-on.

Com uma abordagem inovadora, a Macher Tecnologia auxilia empresas na implementação de estratégias eficazes de conformidade com LGPD e GDPR, fornecendo consultoria, treinamento e ferramentas tecnológicas para gestão de riscos e proteção de dados corporativos.

Entre em contato e saiba como podemos ajudar sua organização hoje mesmo!

Suportamos sua empresa na jornada de conformidade e adequação com a LGPD!

Conheça toda nossa linha de atuação consultiva na Lei Geral de Proteção de Dados.

CONSULTORIA, TREINAMENTOS E PROJETOS DE ADEQUAÇÃO

DPO AS A SERVICE