LGPD e PMEs em 2026: a atenção que as empresas não podem mais ignorar
O ano de 2026 começa com um alerta que as pequenas e médias empresas não podem ignorar. O 3º Relatório de Ciclo de Monitoramento da Agência Nacional de Proteção de Dados (ANPD) , publicado em dezembro de 2025, demonstra que a atuação da ANPD deixou de ser apenas reativa e passou a ser fortemente provocada pelas demandas apresentadas pelos próprios titulares de dados.
Nesse cenário, a ausência de governança mínima, especialmente quando a empresa não possui um responsável claro pela coordenação, comunicação e encaminhamento do tratamento de dados pessoais, deixou de ser detalhe operacional e passou a ser critério concreto de risco regulatório. O tema PME sem encarregado de dados ganhou relevância prática porque o relatório evidencia que falhas recorrentes no atendimento aos direitos dos titulares são um dos principais gatilhos para monitoramentos e fiscalizações formais, portanto, não se trata de um risco teórico.
PMEs sem encarregado de dados e o que a LGPD realmente exige
A Lei nº 13.709/2018 (LGPD) estabelece, em seu artigo 41, que o controlador deve indicar um encarregado pelo tratamento de dados pessoais.
Esse profissional atua como canal de comunicação entre:
• os titulares de dados;
• a Agência Nacional de Proteção de Dados;
• os colaboradores internos.
Embora a Resolução CD/ANPD nº 2/2022, atualizada pela Resolução nº 15/2024, tenha previsto tratamento diferenciado para agentes de pequeno porte, isso não significa dispensa automática do encarregado.
O que a norma flexibiliza e o que ela não dispensa
Na prática:
• a PME pode não precisar de um encarregado em tempo integral;
• a PME não pode ficar sem responsável identificado;
• a PME não pode deixar de oferecer um canal funcional de comunicação.
A flexibilização é de forma, não de responsabilidade.
O que a ANPD está observando sobre PMEs sem encarregado de dados
O 3º Relatório de Ciclo de Monitoramento da ANPD1 evidencia que a fiscalização deixou de ser apenas reativa. Atualmente, a atuação é orientada por dados, padrões de comportamento e reincidência de falhas.
Entre os principais pontos observados estão:
• ausência de resposta a titulares;
• inexistência ou ineficiência do canal do encarregado;
• dificuldade de contato com o controlador;
• repetição de falhas simples ao longo do tempo.
Em diversos monitoramentos, a existência de um encarregado atuante foi determinante para o encerramento do caso sem sanção ou, ao contrário, para a progressão à fiscalização formal quando inexistente ou inoperante.
Os riscos reais de uma PM sem encarregado de dados
A ausência de um encarregado ou responsável equivalente gera riscos simultâneos.
Risco regulatório
• abertura de procedimento de monitoramento;
• instauração de fiscalização;
• advertências com medidas corretivas obrigatórias;
• agravamento de sanções administrativas.
Risco operacional
• desorganização no atendimento aos direitos dos titulares;
• respostas fora de prazo ou inconsistentes;
• falhas na gestão de incidentes de segurança.
Risco reputacional e comercial
• perda de credibilidade perante clientes;
• dificuldades contratuais com empresas maiores;
• entraves em licitações e parcerias públicas.
Muitas empresas só percebem esses riscos quando a notificação da ANPD já chegou.
Encarregado não é custo, é mitigação de risco
Tratar o encarregado como mera burocracia é um erro comum. Na prática, ele funciona como:
• ponto focal de governança em privacidade;
• filtro técnico de demandas dos titulares;
• evidência concreta de boa-fé e responsabilidade.
A LGPD não exige estruturas complexas das PMEs, exige responsabilidade e capacidade mínima de resposta.
O encarregado pode ser interno ou externo, compartilhado ou contratado de forma proporcional à realidade da empresa. O que não é aceitável, do ponto de vista regulatório, é não ter ninguém.
O sinal de alerta para as PMEs
A pergunta deixou de ser “a PME é obrigada a ter encarregado?” e passou a ser “qual é o custo do risco de não ter?”.
Com o aumento de denúncias, petições de titulares e fiscalização orientada por dados, a ausência de encarregado tornou-se um sinal claro de fragilidade de governança.
Para refletir antes que vire problema
Se amanhã um titular exercer seus direitos, se ocorrer um incidente de segurança ou se a ANPD entrar em contato, quem responde pela sua empresa?
Se essa resposta não for clara, o risco já existe.
Quer reduzir esse risco de forma proporcional à sua empresa?
Se a sua empresa ainda não possui um responsável claro pelo tratamento de dados pessoais, pela comunicação com titulares e pela interlocução com a ANPD, o Encarregado de Dados Externo é uma alternativa segura, prática e alinhada às expectativas da Agência.
Esse modelo permite:
• atender às exigências da LGPD;
• manter um canal de comunicação efetivo com titulares e com a ANPD;
• demonstrar governança e boa-fé regulatória;
•reduzir riscos sem criar estruturas internas complexas.
👉 Conheça o serviço de Encarregado de Dados Externo do Farina & Antunes e avalie se ele faz sentido para a realidade da sua empresa: Clique aqui.
Perguntas frequentes
A LGPD exige a indicação de um responsável. Para PMEs, a ANPD permite flexibilização, mas não a ausência total.
Sim. A contratação externa é aceita, desde que haja atuação efetiva.
Não. A ANPD já indicou que canais ineficientes não atendem ao artigo 41 da LGPD.
Sim. O relatório demonstra que PMEs também estão no radar, especialmente quando há reclamações recorrentes.
Fonte
- 3º RELATÓRIO DE CICLO DE MONITORAMENTO 2º Semestre de 2023 – 1º Semestre de 2025 – https://www.gov.br/anpd/pt-br/assuntos/fiscalizacao-2/saiba-como_fiscalizamos/relatoriociclodemonitoramento20232025_0610.pdf ↩︎