LGPD e PMEs em 2026: a atenção que as empresas não podem mais ignorar

13jan, 2026

O ano de 2026 começa com um alerta que as pequenas e médias empresas não podem ignorar. O 3º Relatório de Ciclo de Monitoramento da Agência Nacional de Proteção de Dados (ANPD) , publicado em dezembro de 2025, demonstra que a atuação da ANPD deixou de ser apenas reativa e passou a ser fortemente provocada pelas demandas apresentadas pelos próprios titulares de dados.

Nesse cenário, a ausência de governança mínima, especialmente quando a empresa não possui um responsável claro pela coordenação, comunicação e encaminhamento do tratamento de dados pessoais, deixou de ser detalhe operacional e passou a ser critério concreto de risco regulatório. O tema PME sem encarregado de dados ganhou relevância prática porque o relatório evidencia que falhas recorrentes no atendimento aos direitos dos titulares são um dos principais gatilhos para monitoramentos e fiscalizações formais, portanto, não se trata de um risco teórico.

PMEs sem encarregado de dados e o que a LGPD realmente exige

A Lei nº 13.709/2018 (LGPD) estabelece, em seu artigo 41, que o controlador deve indicar um encarregado pelo tratamento de dados pessoais.

Esse profissional atua como canal de comunicação entre:

• os titulares de dados;
• a Agência Nacional de Proteção de Dados;
• os colaboradores internos.

Embora a Resolução CD/ANPD nº 2/2022, atualizada pela Resolução nº 15/2024, tenha previsto tratamento diferenciado para agentes de pequeno porte, isso não significa dispensa automática do encarregado.

O que a norma flexibiliza e o que ela não dispensa

Na prática:

• a PME pode não precisar de um encarregado em tempo integral;
• a PME não pode ficar sem responsável identificado;
• a PME não pode deixar de oferecer um canal funcional de comunicação.

A flexibilização é de forma, não de responsabilidade.

O que a ANPD está observando sobre PMEs sem encarregado de dados

O 3º Relatório de Ciclo de Monitoramento da ANPD¹ evidencia que a fiscalização deixou de ser apenas reativa. Atualmente, a atuação é orientada por dados, padrões de comportamento e reincidência de falhas.

Entre os principais pontos observados estão:

• ausência de resposta a titulares;
• inexistência ou ineficiência do canal do encarregado;
• dificuldade de contato com o controlador;
• repetição de falhas simples ao longo do tempo.

Em diversos monitoramentos, a existência de um encarregado atuante foi determinante para o encerramento do caso sem sanção ou, ao contrário, para a progressão à fiscalização formal quando inexistente ou inoperante.

Os riscos reais de uma PM sem encarregado de dados

A ausência de um encarregado ou responsável equivalente gera riscos simultâneos.

Risco regulatório

• abertura de procedimento de monitoramento;
• instauração de fiscalização;
• advertências com medidas corretivas obrigatórias;
• agravamento de sanções administrativas.

Risco operacional

• desorganização no atendimento aos direitos dos titulares;
• respostas fora de prazo ou inconsistentes;
• falhas na gestão de incidentes de segurança.

Risco reputacional e comercial

• perda de credibilidade perante clientes;
• dificuldades contratuais com empresas maiores;
• entraves em licitações e parcerias públicas.

Muitas empresas só percebem esses riscos quando a notificação da ANPD já chegou.

Encarregado não é custo, é mitigação de risco

Tratar o encarregado como mera burocracia é um erro comum. Na prática, ele funciona como:

• ponto focal de governança em privacidade;
• filtro técnico de demandas dos titulares;
• evidência concreta de boa-fé e responsabilidade.

A LGPD não exige estruturas complexas das PMEs, exige responsabilidade e capacidade mínima de resposta.

O encarregado pode ser interno ou externo, compartilhado ou contratado de forma proporcional à realidade da empresa. O que não é aceitável, do ponto de vista regulatório, é não ter ninguém.

O sinal de alerta para as PMEs

A pergunta deixou de ser “a PME é obrigada a ter encarregado?” e passou a ser “qual é o custo do risco de não ter?”.

Com o aumento de denúncias, petições de titulares e fiscalização orientada por dados, a ausência de encarregado tornou-se um sinal claro de fragilidade de governança.

Para refletir antes que vire problema

Se amanhã um titular exercer seus direitos, se ocorrer um incidente de segurança ou se a ANPD entrar em contato, quem responde pela sua empresa?

Se essa resposta não for clara, o risco já existe.

Quer reduzir esse risco de forma proporcional à sua empresa?

Se a sua empresa ainda não possui um responsável claro pelo tratamento de dados pessoais, pela comunicação com titulares e pela interlocução com a ANPD, o Encarregado de Dados Externo é uma alternativa segura, prática e alinhada às expectativas da Agência.

Esse modelo permite:
• atender às exigências da LGPD;
• manter um canal de comunicação efetivo com titulares e com a ANPD;
• demonstrar governança e boa-fé regulatória;
•reduzir riscos sem criar estruturas internas complexas.

👉 Conheça o serviço de Encarregado de Dados Externo do Farina & Antunes e avalie se ele faz sentido para a realidade da sua empresa: Clique aqui.

Perguntas frequentes

PME é obrigada a ter encarregado de dados?

A LGPD exige a indicação de um responsável. Para PMEs, a ANPD permite flexibilização, mas não a ausência total.

Posso ter um encarregado externo?

Sim. A contratação externa é aceita, desde que haja atuação efetiva.

Um formulário genérico substitui o encarregado?

Não. A ANPD já indicou que canais ineficientes não atendem ao artigo 41 da LGPD.

Pequenas empresas são fiscalizadas pela ANPD?

Sim. O relatório demonstra que PMEs também estão no radar, especialmente quando há reclamações recorrentes.

Fonte

3º RELATÓRIO DE CICLO DE MONITORAMENTO 2º Semestre de 2023 – 1º Semestre de 2025 – https://www.gov.br/anpd/pt-br/assuntos/fiscalizacao-2/saiba-como_fiscalizamos/relatoriociclodemonitoramento20232025_0610.pdf ↩︎