ANPD Brasil: Fiscalização do LGPD em 2024
A Autoridade Nacional de Proteção de Dados (ANPD) entrou em modo de fiscalização ativa em 2024. Aplicou as primeiras multas expressivas com base na Lei Geral de Proteção de Dados (LGPD) — Lei n.° 13.709/2018. O Brasil tem 215 milhões de pessoas cobertas por esta lei. Tem também 180 milhões de internautas — a maior economia digital da América Latina. A conformidade com o LGPD é agora uma exigência real e imediata.
LGPD: A Lei de Privacidade do Brasil
O LGPD foi inspirado no RGPD, mas apresenta diferenças importantes.
Multas máximas: Até 2% da receita anual no Brasil. O limite é de R$ 50 milhões (≈€9 M) por infração. O RGPD utiliza 4% da receita global. A base brasileira do LGPD resulta em penalidades máximas menores para multinacionais. Mas cria maior risco relativo para empresas exclusivamente brasileiras.
Categorias sensíveis: A lista do LGPD é próxima ao art. 9.° do RGPD. Abrange raça, opiniões políticas, religião, dados de saúde, dados genéticos, biometria e orientação sexual. As orientações da ANPD de 2024 estenderam essas regras ao art. 11.
Direitos dos titulares: Acesso, retificação, exclusão e portabilidade. Também informação sobre o compartilhamento de dados. O LGPD acrescenta um direito sem equivalente no RGPD: o direito de saber se foi usada inteligência artificial numa decisão.
Início da fiscalização: A ANPD aplicou as primeiras sanções em 2024. Principais alvos: telecomunicações, serviços financeiros e prestadores de saúde. Multinacionais que operam no Brasil são o foco de 2025.
Para uma visão mais ampla, consulte nosso guia sobre conformidade global de IIP.
Identificadores de IIP Brasileiros
O sistema de identificação do Brasil é complexo. É uma república federal onde alguns documentos variam por estado.
CPF: Um número de contribuinte de 11 dígitos (formato: XXX.XXX.XXX-XX). Dois dígitos verificadores com aritmética modular. O CPF é o principal identificador universal do Brasil para serviços bancários, fiscais, de saúde e governamentais. Todos os 215 milhões de brasileiros possuem um.
CNPJ: Um número de registro de empresa de 14 dígitos (formato: XX.XXX.XXX/XXXX-XX). Dois dígitos verificadores. Aparece em documentos comerciais relacionados a representantes da empresa.
RG: Uma carteira de identidade civil emitida pelo estado. O formato varia por estado. O RG de São Paulo difere do do Rio de Janeiro — e assim por diante nos 26 estados e no Distrito Federal. Uma ferramenta que só reconhece o formato de um estado deixará de detectar a maioria dos números de RG brasileiros.
CNH: Um número de carteira de motorista de 11 dígitos com um dígito verificador.
Título de Eleitor: Um identificador eleitoral de 12 dígitos. Codifica a zona de registro eleitoral.
PIS/PASEP: Um número de programa social de 11 dígitos. Aparece em registros de folha de pagamento e emprego.
Cartão SUS: Um identificador do sistema de saúde de 15 dígitos. Todo brasileiro tem um. Aparece em todos os documentos de saúde.
Nosso guia global de identificadores de IIP cobre o CPF ao lado do SSN, Aadhaar e outros documentos nacionais.
LGPD vs. RGPD: Diferenças Importantes
Ambos os marcos protegem dados pessoais, mas diferem em pontos relevantes.
Bases legais: O LGPD tem 10 bases legais; o RGPD tem 6. O LGPD inclui a "proteção do crédito" — uma base ligada à cultura fintech do Brasil. Não há equivalente no RGPD.
Sem decisão de adequação da UE para o Brasil: A UE não concedeu ao Brasil uma decisão de adequação. As transferências UE–Brasil exigem Cláusulas Contratuais Padrão ou Regras Corporativas Vinculantes — o mesmo que para transferências aos EUA.
Regras de consentimento: O consentimento no LGPD deve ser específico, informado, livre e claro — similar ao RGPD. Para categorias sensíveis, o LGPD permite consentimento mais amplo do que o padrão por finalidade do RGPD, desde que a finalidade seja indicada.
Prioridades de Fiscalização da ANPD em 2025
A ANPD publicou suas prioridades para 2025 com base nos resultados de 2024.
Dados de Saúde
O art. 11 exige consentimento explícito — ou base legal clara — para tratar dados de saúde. A ANPD constatou que muitos aplicativos e prestadores de saúde não tinham essa base para números do Cartão SUS e prontuários médicos.
Serviços Financeiros
Números de CPF em propostas de crédito, relatórios de crédito e apólices de seguro são os principais alvos. A ANPD verifica se os prazos de retenção correspondem às finalidades declaradas.
Conformidade de Plataformas de Tecnologia
Plataformas de redes sociais, e-commerce e streaming no Brasil são o foco de 2025. A ANPD examina práticas de perfilamento e transferências transfronteiriças.
O Que Fazer Agora
A base para conformidade brasileira é a detecção de CPF e CNPJ com validação de dígitos verificadores. Adicione detecção de RG com lógica de formato por estado. Inclua suporte a CNH, Título de Eleitor e Cartão SUS para cobertura completa. Consulte nosso guia de anonimização LGPD para detalhes de implementação.