Acabou a fase educativa. A ANPD virou agência reguladora, lançou painel público de fiscalização e está auditando setores inteiros — não mais empresa isolada. Entenda quanto sua PME pode pagar e as 5 ações imediatas para reduzir o risco.
Por quase cinco anos, a Lei Geral de Proteção de Dados (LGPD) viveu uma espécie de carência informal: muita orientação, pouca multa. Empresa pequena olhava para o assunto e pensava “isso é problema do Facebook e do Itaú, não meu”. Em 2026, essa leitura deixou de ser segura.
Em outubro de 2025, o Congresso converteu em lei a MP 1.317/25 e a ANPD virou oficialmente agência reguladora, com autonomia funcional, técnica, decisória, administrativa e financeira (Fenati). Em dezembro de 2025, publicou o Mapa de Temas Prioritários 2026-2027 definindo eixos de fiscalização (ANPD/Portal Gov.br). Em novembro de 2025, lançou o Painel da Fiscalização — transparência pública de processos em curso. E em março de 2026, anunciou pelo menos dez ações de fiscalização envolvendo dados de saúde e biometria só até o fim do ano (LexLegal).
A leitura combinada é direta: a ANPD parou de orientar e começou a multar. Pior para quem ignorou: a fiscalização agora é temática e setorial, não mais apenas reativa caso a caso. Quem está num setor priorizado entrou no radar — independentemente do porte.
Neste artigo, a Minotto Contabilidade explica o que efetivamente mudou em 2026, quanto sua PME pode pagar (com base em fonte oficial, não em chute), quais setores estão na mira e as 5 ações imediatas para reduzir risco ainda este ano.
O que mudou em 2026 — fim da fase educativa
A LGPD entrou em vigor em setembro de 2020. As sanções administrativas, em agosto de 2021. Mas entre 2021 e 2024, a ANPD operou em modo predominantemente educativo: orientação, advertências, pouquíssimas multas efetivas.
Quatro fatos viraram o jogo:
1. ANPD virou agência reguladora (out/2025). A conversão da MP 1.317/25 deu à autoridade estrutura de carreira própria, autonomia financeira e poder sancionador robusto (Fenati). Na prática: orçamento maior, fiscais concursados, capacidade real de investigar.
2. Mapa de Temas Prioritários 2026-2027 (dez/2025). A ANPD publicou explicitamente os eixos de fiscalização do biênio. Quatro grandes blocos foram definidos (Lefosse):
– Dados biométricos (reconhecimento facial, digital, íris)
– Dados de saúde
– Dados financeiros
– Crianças e adolescentes no ambiente digital (alinhado ao ECA Digital — Lei 15.211/2025)
3. Painel da Fiscalização (nov/2025). Pela primeira vez, processos sancionadores em curso ficaram públicos. Isso significa: cliente, concorrente e jornalista veem antes da decisão. O dano reputacional começa muito antes da multa.
4. Fiscalização setorial, não mais caso a caso. A ANPD passou a abrir investigações por vertical inteira — ex: clínicas de estética que usam biometria, e-commerces que tratam dados de menores, planos de saúde que compartilham informações com seguradoras. Quem está no setor “errado” no momento “errado” entra no batch.
Em síntese: a porteira fechou. A pergunta não é mais “vão me fiscalizar?”, mas “quando minha vertical será o foco?”.
Multas — quanto realmente custa para uma PME
Aqui é onde o medo precisa ser bem dosado. A imprensa cita muito o teto de R$ 50 milhões, o que para uma PME soa irreal — e por isso muita gente ignora. Vamos aos números corretos.
A LGPD prevê, no Art. 52, II, multa simples de até 2% do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil, referente ao último exercício, excluídos os tributos, limitada a R$ 50 milhões por infração (ANPD — Regulamento de Dosimetria).
Em português claro: a multa é percentual sobre seu faturamento, com teto absoluto de R$ 50 milhões. Para a esmagadora maioria das PMEs, o teto absoluto é irrelevante — o que importa é o 2% do faturamento.
A ANPD aplica essa multa via Resolução CD/ANPD nº 4/2023 (Regulamento de Dosimetria), que considera fatores como gravidade, boa-fé, vantagem auferida, condição econômica do infrator, reincidência e grau do dano. O porte da empresa não isenta — como reforça nota oficial citada pelo Sebrae/SC: “o porte de uma empresa não altera o dever de cumprir a LGPD” (Sebrae/SC).
Para tirar do abstrato, o primeiro caso real sancionado pela ANPD foi uma microempresa (Telekall Infoservice), com multa de R$ 14.400 — exatamente porque o cálculo de 2% do faturamento bruto bateu nesse valor (ANPD — Primeira multa).
Tabela — Multas LGPD por porte (estimativa didática baseada em 2% do faturamento)
⚠️ Atenção: os valores abaixo são estimativas didáticas considerando o teto de 2% sobre o faturamento médio típico de cada porte. A multa real depende da dosimetria caso a caso e dos atenuantes/agravantes da Resolução CD/ANPD nº 4/2023. Não substitui análise jurídica.
| Porte da empresa | Faturamento anual de referência | Multa simples teórica (2%) por infração | Observação |
|---|---|---|---|
| MEI | até R$ 81 mil | até R$ 1.620 | Sujeito ao mesmo regime — caso Telekall mostrou isso |
| Microempresa (ME) | até R$ 360 mil | até R$ 7.200 | Caso ANPD #1: R$ 14.400 (faturamento bruto ≠ teto ME) |
| Empresa de Pequeno Porte (EPP) | até R$ 4,8 milhões | até R$ 96.000 | Faixa de risco típica para varejo, e-commerce, clínicas |
| Pequena indústria / médio comércio | R$ 4,8 mi – R$ 30 mi | R$ 96 mil – R$ 600 mil | Faixa observada em decisões recentes para infrações com dano |
| Média empresa | R$ 30 mi – R$ 300 mi | R$ 600 mil – R$ 6 mi | Risco real de impacto financeiro relevante |
| Grande empresa | R$ 300 mi+ | Até R$ 50 mi por infração | Teto absoluto começa a valer |
Fonte: cálculos próprios sobre Art. 52, II LGPD; faixas de faturamento conforme LC 123/2006; casos: ANPD — Sanções Administrativas, Mapa de Sanções 2026 — Confidata.
Dois pontos cruciais que aumentam o estrago real:
- Multa por infração, não por processo. Um único incidente pode gerar várias infrações somadas (falta de DPO + base legal inadequada + vazamento + não notificação = 4 multas).
- Multa diária para violações continuadas, com o mesmo teto de R$ 50 mi (Art. 52, III LGPD). Quem ignora notificação da ANPD acumula valor por dia.
Some a isso o dano reputacional (publicização da infração — Art. 52, IV) e o passivo de ações civis movidas por titulares lesados. A conta total raramente é só a multa.
Setores na mira — onde a fiscalização vai bater primeiro
O Mapa de Temas Prioritários 2026-2027 e o relatório de execução da Agenda Regulatória 2025-2026 da ANPD são explícitos. Os setores com maior probabilidade de fiscalização nos próximos 18 meses são:
🏥 Saúde — clínicas médicas, odontológicas, estéticas, laboratórios, planos de saúde e telemedicina. Compartilhamento de dados com seguradoras, prontuários sem controle de acesso, prescrições por WhatsApp. Pelo menos 10 ações de fiscalização programadas até dez/2026 envolvendo dados de saúde e biometria (LexLegal).
🔐 Empresas que usam biometria — academias, condomínios, controle de ponto eletrônico, reconhecimento facial em portarias e varejo. Dado biométrico é sensível (LGPD, Art. 5º, II) — exige base legal específica e tratamento reforçado.
💳 Setor financeiro e fintechs — bancos digitais, meios de pagamento, factoring, recuperação de crédito. Alvo histórico, agora com fiscalização programada.
🛒 E-commerce e marketplaces — coleta excessiva, cookies sem consentimento, compartilhamento com parceiros de marketing sem base legal, ausência de canal de titular.
🧒 Empresas que tratam dados de crianças e adolescentes — qualquer negócio com público menor de idade: cursos online, jogos, redes sociais, ensino, produtos infantis. O ECA Digital (Lei 15.211/2025) criou marco regulatório próprio e a ANPD definiu este como eixo central de 2026-2027 (ANPD — Mapa 2026-2027).
📞 Telemarketing e cobrança — primeira multa ANPD foi exatamente nesse setor. Continua sob lupa.
Setores aparentemente “fora do radar” (comércio físico tradicional, prestadores B2B, indústria leve) seguem expostos, mas com menor prioridade de fiscalização proativa. Continuam vulneráveis a fiscalização reativa: basta uma denúncia de cliente ou ex-funcionário.
5 ações imediatas para sua PME em 2026
Adequação completa à LGPD é projeto. Mas há 5 ações de baixo custo e alto impacto que reduzem materialmente o risco e que devem ser feitas ainda este ano — antes de qualquer fiscalização chegar à porta:
1. Faça o mapeamento dos dados (Data Mapping)
Liste todos os dados pessoais que sua empresa coleta, onde armazena, com quem compartilha e por quanto tempo guarda. Isso inclui: clientes, funcionários, fornecedores, prospects. Sem esse mapa, qualquer próximo passo é chute. É o documento que a ANPD pede primeiro em qualquer fiscalização.
2. Defina a base legal de cada tratamento
A LGPD tem 10 bases legais (Art. 7º) — consentimento é só uma delas, e nem sempre a melhor. Cobrança, gestão de funcionários e cumprimento de obrigação contábil/fiscal não exigem consentimento, mas exigem documentação da base correta. Trabalhar com base errada é infração imediata.
3. Nomeie um Encarregado (DPO) e crie canal de titular
A LGPD exige um Encarregado (Art. 41) acessível por canal público. Para PMEs, DPO terceirizado resolve sem onerar o RH — custa entre R$ 800 e R$ 3.500/mês dependendo da complexidade. O e-mail do DPO precisa estar visível no site, rodapé e contratos. Sem isso, a ANPD presume omissão.
4. Atualize Política de Privacidade e Termos de Uso
Documento genérico copiado de site de concorrente não protege. Política precisa refletir: bases legais reais, prazo de retenção, com quem compartilha, direitos do titular, contato do DPO. Revisão deve acontecer anualmente — e em 2026, com ECA Digital e Mapa 2026-2027 publicados, virou obrigatório atualizar.
5. Crie protocolo de incidente (vazamento)
A ANPD precisa ser notificada em até 3 dias úteis a contar do conhecimento do incidente de segurança que possa acarretar risco ou dano relevante aos titulares — prazo definido pela Resolução CD/ANPD nº 15/2024 (Regulamento de Comunicação de Incidente de Segurança). Quem descobre vazamento e não notifica vira dolo presumido na dosimetria. Tenha um protocolo escrito: quem comunica, prazo, modelo de comunicado a titulares e registro do incidente (obrigação de manter por 5 anos).
Bônus: se sua empresa atua em saúde, biometria, financeiro ou trata dados de menores, considere antecipar uma auditoria externa ainda em 2026. Custa entre R$ 8 mil e R$ 25 mil para uma PME — uma fração do risco de multa setorial.
Como começar a adequação — por onde sua empresa começa hoje
Adequação à LGPD em PME tem três fases bem definidas. Tentar fazer tudo de uma vez é o erro mais comum:
Fase 1 — Diagnóstico (30 a 45 dias). Inventário de dados, identificação de gaps, classificação de risco. Sai com um relatório do que existe, do que falta e do que custa muito caso seja fiscalizado. É o passo mais barato e o que mais reduz risco em curto prazo.
Fase 2 — Implementação (60 a 120 dias). Política de Privacidade revisada, contratos com fornecedores ajustados (cláusulas de operador), nomeação de DPO, canal de titular ativo, treinamento básico de equipe.
Fase 3 — Manutenção contínua (recorrente). Revisões anuais, atendimento de solicitações de titulares (prazo de 15 dias), atualização à medida que ANPD publica novas resoluções.
A Minotto Contabilidade acompanha de perto a agenda regulatória da ANPD e atua junto com escritórios parceiros especializados em LGPD. Para clientes da casa, o ponto de partida é simples: um diagnóstico inicial que mapeia exposição em até 30 dias, com plano de ação realista para o porte da empresa.
Sua empresa está adequada à LGPD? Faça o diagnóstico LGPD-Pronto com a Minotto — em 30 dias você tem um retrato claro do seu risco e do que precisa ser feito antes da fiscalização chegar. Fale com a gente.
FAQ — Perguntas frequentes
1. Minha empresa é pequena. A ANPD realmente vai me fiscalizar?
Sim — em três cenários: (a) seu setor entrou no Mapa de Temas Prioritários (saúde, biometria, financeiro, menores); (b) um cliente ou ex-funcionário fez denúncia; (c) sua empresa sofreu vazamento e isso viralizou. O porte não isenta — a primeira multa ANPD foi numa microempresa.
2. Qual o valor mínimo de multa que uma PME pode receber?
Não há piso oficial. O mínimo prático observado em casos publicados foi de cerca de R$ 14 mil (microempresa, caso Telekall). A média varia muito com a dosimetria. Empresas com faturamento entre R$ 4,8 mi e R$ 30 mi têm exposição teórica entre R$ 96 mil e R$ 600 mil por infração — sempre considerando o teto de 2% do faturamento.
3. Posso usar uma Política de Privacidade copiada da internet?
Não. Política genérica é praticamente o primeiro item que a ANPD identifica como inadequado. Cada empresa tem fluxos de dados próprios — a política precisa refletir a realidade, sob pena de configurar dolo.
4. Precisamos ter um DPO mesmo sendo uma empresa pequena?
A LGPD não isenta PMEs da nomeação de Encarregado (Art. 41). O Sebrae confirma: “o porte de uma empresa não altera o dever”. A solução prática é DPO terceirizado — custo acessível e cumpre a obrigação.
5. O que conta como “infração” — uma irregularidade ou várias?
Cada conduta irregular pode ser uma infração separada. Um único incidente pode gerar várias infrações cumuladas (falta de DPO + base legal inadequada + vazamento + não notificação). É por isso que multas se multiplicam rápido.
6. Quanto tempo leva para adequar uma PME à LGPD?
Diagnóstico inicial: 30 a 45 dias. Implementação completa: 60 a 120 dias adicionais. Manutenção: recorrente. Empresas em setores de risco (saúde, biometria) devem priorizar.
7. A ANPD avisa antes de fiscalizar?
Em fiscalização proativa (Mapa de Temas Prioritários), há ofício formal pedindo documentos — prazo curto para resposta. Em fiscalização reativa (denúncia), também há notificação, mas com prazo menor. Ignorar o ofício é o pior erro: configura má-fé na dosimetria.
Fontes consultadas:
– ANPD — Portal Oficial: gov.br/anpd
– ANPD — Mapa de Temas Prioritários 2026-2027: link oficial
– ANPD — Primeira multa aplicada: caso Telekall
– ANPD — Sanções Administrativas (lista pública): link oficial
– ANPD — Regulamento de Dosimetria: link oficial
– Lefosse — Prioridades de fiscalização ANPD 2026-2027
– LexLegal — Ampliação da fiscalização em saúde e biometria
– Codecortex — LGPD em 2026
– Sebrae/SC — LGPD e pequenos negócios
– Fenati — ANPD vira agência reguladora
– Confidata — Mapa de Sanções da ANPD 2026
Este artigo tem finalidade informativa e não substitui consultoria jurídica ou contábil individualizada. Os valores estimados na tabela de multas são exercícios didáticos baseados no Art. 52, II da LGPD — a multa real depende da dosimetria caso a caso aplicada pela ANPD.
